保護終端用戶安全 虛擬桌面基礎(chǔ)設(shè)施幫忙

申請免費試用、咨詢電話：400-8352-114

在尋找保護終端用戶安全的救世英雄時，企業(yè)不妨考慮一下虛擬桌面基礎(chǔ)設(shè)施。

目前，瘦客戶端（thin client）正卷土重來，這得感謝服務(wù)器虛擬化的潮流。我們都記得，前些年IT界曾嘗試過給商業(yè)桌面瘦身，讓它變得小巧精悍易于管理?？墒钱斢脩魝兊弥坏┭b了瘦客戶端之后，就不能隨意安裝自己喜愛的應(yīng)用程序時，他們就變得猶豫不決了。無盤瘦客戶端提供了基于數(shù)據(jù)中心的操作系統(tǒng)，但其優(yōu)勢僅僅在于降低了邊際成本，增強了管理性能。專業(yè)的信息安全人員絕不會因為這些好處而青昧終端服務(wù)，因為他們擔(dān)心一旦入侵者攻入中央服務(wù)器，損失將難以估量。不過，現(xiàn)在服務(wù)器端的虛擬化為瘦客戶端在業(yè)界的普及鋪平了道路。在取悅終端用戶方面，如今的虛擬桌面基礎(chǔ)設(shè)施（virtual desktop infrastructure，下稱VDI）和以往的瘦客戶端只在伯仲之間，兩者的主要區(qū)別在于VDI得到了IT和信息安全專業(yè)人員的廣泛關(guān)注和認可。

在VDI 中，服務(wù)器內(nèi)存是在多臺虛擬機間分配的，因此更易管理，安全性也得到了顯著提高。這是桌面計算（desktop computing）的典型范例：安全、靈活且與平臺無關(guān)（platform independent）。說客戶端“瘦”，是因為操作系統(tǒng)并未綁定到硬件上，而是集中存儲。連接客戶端和網(wǎng)絡(luò)的唯一橋梁是一個簡潔的專用桌面管理程序（hypervisor）。

所有進軍服務(wù)器虛擬化市場的知名廠商都有自己的虛擬桌面產(chǎn)品。VMware公司開風(fēng)氣之先推出VDI，讓IT界意識到了它的存在。思杰系統(tǒng)公司（Citrix Systems）一直是終端服務(wù)領(lǐng)域的老大，它去年收購了XenSource公司。今年3月，微軟公司（Microsoft，下稱微軟）也宣布將收購 VDI廠商Kidaro公司。目前，虛擬桌面軟件和那些“臃腫”的普通應(yīng)用程序同樣都需要Windows許可證，所以微軟公司是左右逢源，處于雙贏的境地。當然，虛擬環(huán)境并不能支持運行所有的應(yīng)用程序，比如說歐特克公司（Autodesk）就不建議在虛擬環(huán)境中使用它的Productstream或 Vault，但好在大多數(shù)主流軟件都能正常運行。使用VDI的連帶好處，是你可以嚴格地管理許可證，確保只有那些有訪問權(quán)限的用戶能在規(guī)定時間內(nèi)使用指定的應(yīng)用程序。此外，對需要非標準操作系統(tǒng)的遺留系統(tǒng)的支持也將變得更加容易。

硬件廠商們在VDI大潮中不甘落后，他們也推出了具有針對性的產(chǎn)品。從架構(gòu)上來說，VDI將客戶端的存儲庫轉(zhuǎn)移至一臺或數(shù)臺中央服務(wù)器，這就需要大容量的快速存儲系統(tǒng)，一般來說是存儲區(qū)域網(wǎng)絡(luò)（storage area network）。配有專為管理程序優(yōu)化后的CPU的系統(tǒng)將提供最佳的性能，讓用戶能獲得最新最強大的硬件輔助虛擬化（hardware-assisted virtualization）。為了協(xié)助VDI的推廣，英特爾公司（Intel，下稱英特爾）在CPU中內(nèi)嵌了博銳技術(shù)（vPro）和虛擬化技術(shù)，而超微半導(dǎo)體公司(Advanced Micro Devices，下稱AMD）亦是如此。

說起信息安全，你也許聽過下面的一些術(shù)語：硬件輔助虛擬化、統(tǒng)一威脅管理（unified threat management）、自適應(yīng)安全（adaptive security）、可信平臺模塊（Trusted Platform Modules）。賽門鐵克公司（Symantec，下稱賽門鐵克）承諾在18月內(nèi)為英特爾的博銳平臺提供虛擬安全設(shè)備。用戶可以在VDI瘦客戶機上以訪客身份運行虛擬機，同時運行一個安全虛擬機或虛擬安全設(shè)備。廠商們知道，對那些考慮采用VDI的企業(yè)來說，信息安全遲早會成為一個重要的決定因素。目前廠商吸引企業(yè)的方法有兩種：一是制造更安全、更易于管理、更加智能化、具有虛擬化感知能力（virtualization-aware）的處理器，這是英特爾和AMD等廠商的做法，二是幫助企業(yè)完全擺脫傳統(tǒng)的客戶端-服務(wù)器模式，轉(zhuǎn)投新型的架構(gòu)，這是VMware公司、Pano Logic公司和Stoneware公司等廠商的做法。

我們不能因為廠商的推銷說詞而盲目地購買產(chǎn)品，并且VDI的普及也還有一段長路要走。不過，我們認為信息安全專業(yè)人士還是應(yīng)該好好研究一下VDI在安全方面的優(yōu)勢，否則他們也許會錯失良機。

精打細算

企業(yè)在采用VDI時，應(yīng)當綜合考慮產(chǎn)品的成本以及它對企業(yè)競爭力、業(yè)務(wù)一致性以及信息安全的影響，在預(yù)算緊張的情況下更是如此。假如你擁有足夠的數(shù)據(jù)中心預(yù)算來支持額外需要的服務(wù)器，那么從各方面來看VDI都是項合理的投資。采用VDI必須確保有足夠的設(shè)備來提供計算能力，如果企業(yè)內(nèi)的機房空間有限、電力供應(yīng)功率不足或者空調(diào)通風(fēng)系統(tǒng)不堪重負的話，那在決策之前你最好還是先精打細算一番。

VDI 的最大好處來自于集中化。VDI對操作系統(tǒng)進行了抽象化，從而極大簡化了對桌面端鏡像進行更改所需的步驟。從經(jīng)濟角度來說，我們希望通過采用VDI來延長瘦客戶端硬件的壽命，減少花費在硬件導(dǎo)致的操作系統(tǒng)錯誤上的時間，降低軟件部署的工作量，從而達到削減成本的目的。業(yè)務(wù)持續(xù)性則是另一大收獲。如果公司政策要求在本地存儲數(shù)據(jù)，那你就不得不自己進行備份，這時VDI就能為你排憂解難。那些可能包含敏感信息的文件將不會再儲存于容易被入侵的客戶端，所有的文件都被集中儲存到了服務(wù)器端，而那里的一連串數(shù)據(jù)管理選項將會啟動保護功能。

如果你同時也在使用混搭（Mashup），或是正熱火朝天地打造服務(wù)導(dǎo)向架構(gòu)（service-oriented architecture），那VDI會不會與它們產(chǎn)生沖突呢？事實上，VDI與Web 2.0趨勢是井水不犯河水。相反，把軟件當作一項服務(wù)購買正好為實行虛擬化的必要性提供了佐證，因為“軟件即服務(wù)”（SaaS）的實質(zhì)不過是從互聯(lián)網(wǎng)部署虛擬應(yīng)用程序而已。VDI和SaaS相輔相成，成為主流生產(chǎn)率應(yīng)用程序的有效補充。