保护终端用户安全 虚拟桌面基础设施帮忙

　　在寻找保护终端用户安全的救世英雄时，企业不妨考虑一下虚拟桌面基础设施。

　　目前，瘦客户端(thin client)正卷土重来，这得感谢服务器虚拟化的潮流。我们都记得，前些年IT界曾尝试过给商业桌面瘦身，让它变得小巧精悍易于管理。可是当用户们得知一旦装了瘦客户端之后，就不能随意安装自己喜爱的应用程序时，他们就变得犹豫不决了。无盘瘦客户端提供了基于数据中心的操作系统，但其优势仅仅在于降低了边际成本，增强了管理性能。专业的信息安全人员绝不会因为这些好处而青昧终端服务，因为他们担心一旦入侵者攻入中央服务器，损失将难以估量。不过，现在服务器端的虚拟化为瘦客户端在业界的普及铺平了道路。在取悦终端用户方面，如今的虚拟桌面基础设施(virtual desktop infrastructure，下称VDI)和以往的瘦客户端只在伯仲之间，两者的主要区别在于VDI得到了IT和信息安全专业人员的广泛关注和认可。

　　在VDI 中，服务器内存是在多台虚拟机间分配的，因此更易管理，安全性也得到了显著提高。这是桌面计算(desktop computing)的典型范例：安全、灵活且与平台无关(platform independent)。说客户端“瘦”，是因为操作系统并未绑定到硬件上，而是集中存储。连接客户端和网络的唯一桥梁是一个简洁的专用桌面管理程序(hypervisor)。

　　所有进军服务器虚拟化市场的知名厂商都有自己的虚拟桌面产品。VMware公司开风气之先推出VDI，让IT界意识到了它的存在。思杰系统公司(Citrix Systems)一直是终端服务领域的老大，它去年收购了XenSource公司。今年3月，微软公司(Microsoft，下称微软)也宣布将收购 VDI厂商Kidaro公司。目前，虚拟桌面软件和那些“臃肿”的普通应用程序同样都需要Windows许可证，所以微软公司是左右逢源，处于双赢的境地。当然，虚拟环境并不能支持运行所有的应用程序，比如说欧特克公司(Autodesk)就不建议在虚拟环境中使用它的Productstream或 Vault，但好在大多数主流软件都能正常运行。使用VDI的连带好处，是你可以严格地管理许可证，确保只有那些有访问权限的用户能在规定时间内使用指定的应用程序。此外，对需要非标准操作系统的遗留系统的支持也将变得更加容易。

　　硬件厂商们在VDI大潮中不甘落后，他们也推出了具有针对性的产品。从架构上来说，VDI将客户端的存储库转移至一台或数台中央服务器，这就需要大容量的快速存储系统，一般来说是存储区域网络(storage area network)。配有专为管理程序优化后的CPU的系统将提供最佳的性能，让用户能获得最新最强大的硬件辅助虚拟化(hardware-assisted virtualization)。为了协助VDI的推广，英特尔公司(Intel，下称英特尔)在CPU中内嵌了博锐技术(vPro)和虚拟化技术，而超微半导体公司(Advanced Micro Devices，下称AMD)亦是如此。

　　说起信息安全，你也许听过下面的一些术语：硬件辅助虚拟化、统一威胁管理(unified threat management)、自适应安全(adaptive security)、可信平台模块(Trusted Platform Modules)。赛门铁克公司(Symantec，下称赛门铁克)承诺在18月内为英特尔的博锐平台提供虚拟安全设备。用户可以在VDI瘦客户机上以访客身份运行虚拟机，同时运行一个安全虚拟机或虚拟安全设备。厂商们知道，对那些考虑采用VDI的企业来说，信息安全迟早会成为一个重要的决定因素。目前厂商吸引企业的方法有两种：一是制造更安全、更易于管理、更加智能化、具有虚拟化感知能力(virtualization-aware)的处理器，这是英特尔和AMD等厂商的做法，二是帮助企业完全摆脱传统的客户端-服务器模式，转投新型的架构，这是VMware公司、Pano Logic公司和Stoneware公司等厂商的做法。

　　我们不能因为厂商的推销说词而盲目地购买产品，并且VDI的普及也还有一段长路要走。不过，我们认为信息安全专业人士还是应该好好研究一下VDI在安全方面的优势，否则他们也许会错失良机。

　　精打细算

　　企业在采用VDI时，应当综合考虑产品的成本以及它对企业竞争力、业务一致性以及信息安全的影响，在预算紧张的情况下更是如此。假如你拥有足够的数据中心预算来支持额外需要的服务器，那么从各方面来看VDI都是项合理的投资。采用VDI必须确保有足够的设备来提供计算能力，如果企业内的机房空间有限、电力供应功率不足或者空调通风系统不堪重负的话，那在决策之前你最好还是先精打细算一番。

　　VDI 的最大好处来自于集中化。VDI对操作系统进行了抽象化，从而极大简化了对桌面端镜像进行更改所需的步骤。从经济角度来说，我们希望通过采用VDI来延长瘦客户端硬件的寿命，减少花费在硬件导致的操作系统错误上的时间，降低软件部署的工作量，从而达到削减成本的目的。业务持续性则是另一大收获。如果公司政策要求在本地存储数据，那你就不得不自己进行备份，这时VDI就能为你排忧解难。那些可能包含敏感信息的文件将不会再储存于容易被入侵的客户端，所有的文件都被集中储存到了服务器端，而那里的一连串数据管理选项将会启动保护功能。

　　如果你同时也在使用混搭(Mashup)，或是正热火朝天地打造服务导向架构(service-oriented architecture)，那VDI会不会与它们产生冲突呢?事实上，VDI与Web 2.0趋势是井水不犯河水。相反，把软件当作一项服务购买正好为实行虚拟化的必要性提供了佐证，因为“软件即服务”(SaaS)的实质不过是从互联网部署虚拟应用程序而已。VDI和SaaS相辅相成，成为主流生产率应用程序的有效补充。

标签： 安全 标准 服务器 服务器端 服务器内存 服务器虚拟化 互联网 机房 企业 权限 推广 网络 信息安全 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。