虚拟桌面基础架构或简称 VDI,是一种桌面虚拟化技术,它在数据中心的集中式服务器上的虚拟机 (VM) 内托管桌面环境。VDI 并不是一项新技术,因为它在我们身边已经存在了三十多年。然而,随着它变得越来越普遍,理解和应对其在充满挑战的网络安全环境中的地位至关重要。
随着组织竞相将远程工作解决方案集成到其长期运营目标中,VDI 数据安全计划需要成为 IT 管理员的优先事项。在这篇文章中,我们探讨了为什么组织应该制定完善的 VDI 数据安全计划、VDI 风险以及需要在提供商中寻找的最佳功能。
什么是 VDI 安全性?
VDI 安全性是指组织可以实施以保护虚拟工作负载的所有技术和最佳实践。VDI 通过网络将集中托管的虚拟工作负载(操作系统 (OS)、应用程序和桌面)交付给传统 PC、瘦客户端或智能手机等端点。
反过来,用户可以在任何位置从任何端点平台访问虚拟应用程序和桌面,使 VDI 成为混合工作环境的理想解决方案。在某些方面,该技术提供了自己的保护措施。例如,VDI 确保数据永远不会离开数据中心,即使用户可以从任何端点访问他们的虚拟工作负载。
它还将应用程序与操作系统分离,这意味着如果 VM 中的应用程序受到威胁,它不会影响整个系统。然而,虽然 VDI 有自己的内置安全机制,但它也可以创建攻击面。受感染的设备或桌面会话很容易使公司面临各种网络安全威胁,例如网络嗅探、恶意软件、勒索软件或内部威胁。这就是保护远程访问数据的能力如此重要的原因。
制定 VDI 安全计划的重要性是什么?
桌面虚拟化技术的持续创新和对灵活工作方式的需求导致了 VDI 的广泛采用。组织从 VDI 中获得了许多好处(不幸的是,这些好处同时也带来了安全风险),其中最大的好处是降低了总拥有成本 (TCO)。
通过允许员工在自带设备 (BYOD)框架下利用他们喜欢的设备,VDI 不仅提高了他们的生产力,而且还消除了企业购买昂贵的企业自有设备的需要。在许多情况下,通过允许多个异构设备访问公司资源来削减成本的压力也导致了攻击者可以利用的安全漏洞。根据Tenable最近的一项研究,近三分之二的影响业务的网络安全攻击针对的是远程员工。
端点安全可能是 VDI 安全中最薄弱的环节,因为几乎所有组织都允许员工、合作伙伴和供应商将他们的设备连接到企业网络。其中一些端点经常通过互联网访问关键任务资产,包括敏感工作负载和专有源代码,而设备很少符合公司的安全政策。
随着 BYOD 越来越突出,员工更喜欢灵活的工作方式,企业资源的安全性成为当务之急。实施 VDI 数据安全计划为员工利用混合工作场所提供了更好的连续性机制。
VDI 中存在哪些风险?
VDI 是一项关键任务技术,可管理组织中的关键敏感工作负载。即使该技术有自己的内置安全措施,VDI 环境也不能免受风险和威胁。让我们探讨 VDI 解决方案带来的一些风险。
- 劫持。威胁参与者可以使用恶意软件来访问主机的操作系统,并通过称为超级劫持的过程控制虚拟机管理程序。一旦他们侵入系统,他们就可以访问连接到主机的所有内容,包括虚拟机和存储资源。
- 未打补丁的虚拟机。修补、更新和维护虚拟机既繁琐又耗时,因为每个虚拟机都有自己的客户操作系统和配置。如果没有自动化流程,攻击者可以利用部署补丁和更新的延迟来破坏整个 VDI 堆栈。
- 网络攻击。就像物理网络一样,虚拟网络也容易受到攻击。例如,成功设法破坏虚拟网络的一部分的攻击者也可以破坏其他部分,因为虚拟网络共享相同的物理资源。
- 内部威胁。帐户或端点被盗的员工可以将组织的数据暴露给威胁参与者。
在托管 VDI 提供商中寻找哪些最佳功能?
为员工提供 VDI 解决方案是一项至关重要的业务决策。随着越来越多的组织提供远程和混合工作场所,Parallels® RAS 等 VDI 解决方案越来越受欢迎,因为安全远程访问为本地和远程员工提供了好处。当您调查要在组织中部署哪种 VDI 解决方案时,需要考虑以下一些功能:
- 网络安全。VDI 解决方案通过网络将虚拟应用程序和桌面从提供商的服务器传输到用户的端点。因此,您应该检查以确保提供商提供端到端的安全性。您可以在提供商中寻找的一些措施包括传输层安全 (TLS) 传输中的数据加密、互联网协议 (IP) 限制、分布式拒绝服务 (DDoS) 缓解措施等。
- IT 合规性。组织在医疗保健或金融等特定行业运营时必须遵守各种形式的合规标准。其中一些法规包括健康保险流通与责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI DSS)。例如,如果您的组织在医疗保健部门运营,请确保 VDI 解决方案符合 HIPAA。
- 操作系统和应用程序安全。修补操作系统和应用程序是 VDI 安全性的重要组成部分。因此,您必须检查以确保提供商正在部署有效的补丁和防病毒管理程序。
- 组策略。几乎所有公司都由多个部门组成,每个部门都有自己的计算要求。选择 VDI 提供商时,您应确保该解决方案提供组策略。例如,IT 团队可以利用组策略根据其部门允许或拒绝向员工提供某些资源。
- 身份和访问管理 (IAM)。作为一种远程工作解决方案,VDI 产品有助于将虚拟工作负载交付到端点,这可能会导致该级别的安全问题。您应该检查以确保 VDI 已实施有效的 IAM 策略来授权身份、用户和设备。