保護(hù)終端用戶(hù)安全 虛擬桌面基礎(chǔ)設(shè)施幫忙

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

在尋找保護(hù)終端用戶(hù)安全的救世英雄時(shí)，企業(yè)不妨考慮一下虛擬桌面基礎(chǔ)設(shè)施。

目前，瘦客戶(hù)端（thin client）正卷土重來(lái)，這得感謝服務(wù)器虛擬化的潮流。我們都記得，前些年IT界曾嘗試過(guò)給商業(yè)桌面瘦身，讓它變得小巧精悍易于管理?？墒钱?dāng)用戶(hù)們得知一旦裝了瘦客戶(hù)端之后，就不能隨意安裝自己喜愛(ài)的應(yīng)用程序時(shí)，他們就變得猶豫不決了。無(wú)盤(pán)瘦客戶(hù)端提供了基于數(shù)據(jù)中心的操作系統(tǒng)，但其優(yōu)勢(shì)僅僅在于降低了邊際成本，增強(qiáng)了管理性能。專(zhuān)業(yè)的信息安全人員絕不會(huì)因?yàn)檫@些好處而青昧終端服務(wù)，因?yàn)樗麄儞?dān)心一旦入侵者攻入中央服務(wù)器，損失將難以估量。不過(guò)，現(xiàn)在服務(wù)器端的虛擬化為瘦客戶(hù)端在業(yè)界的普及鋪平了道路。在取悅終端用戶(hù)方面，如今的虛擬桌面基礎(chǔ)設(shè)施（virtual desktop infrastructure，下稱(chēng)VDI）和以往的瘦客戶(hù)端只在伯仲之間，兩者的主要區(qū)別在于VDI得到了IT和信息安全專(zhuān)業(yè)人員的廣泛關(guān)注和認(rèn)可。

在VDI 中，服務(wù)器內(nèi)存是在多臺(tái)虛擬機(jī)間分配的，因此更易管理，安全性也得到了顯著提高。這是桌面計(jì)算（desktop computing）的典型范例：安全、靈活且與平臺(tái)無(wú)關(guān)（platform independent）。說(shuō)客戶(hù)端“瘦”，是因?yàn)椴僮飨到y(tǒng)并未綁定到硬件上，而是集中存儲(chǔ)。連接客戶(hù)端和網(wǎng)絡(luò)的唯一橋梁是一個(gè)簡(jiǎn)潔的專(zhuān)用桌面管理程序（hypervisor）。

所有進(jìn)軍服務(wù)器虛擬化市場(chǎng)的知名廠商都有自己的虛擬桌面產(chǎn)品。VMware公司開(kāi)風(fēng)氣之先推出VDI，讓IT界意識(shí)到了它的存在。思杰系統(tǒng)公司（Citrix Systems）一直是終端服務(wù)領(lǐng)域的老大，它去年收購(gòu)了XenSource公司。今年3月，微軟公司（Microsoft，下稱(chēng)微軟）也宣布將收購(gòu) VDI廠商Kidaro公司。目前，虛擬桌面軟件和那些“臃腫”的普通應(yīng)用程序同樣都需要Windows許可證，所以微軟公司是左右逢源，處于雙贏的境地。當(dāng)然，虛擬環(huán)境并不能支持運(yùn)行所有的應(yīng)用程序，比如說(shuō)歐特克公司（Autodesk）就不建議在虛擬環(huán)境中使用它的Productstream或 Vault，但好在大多數(shù)主流軟件都能正常運(yùn)行。使用VDI的連帶好處，是你可以嚴(yán)格地管理許可證，確保只有那些有訪問(wèn)權(quán)限的用戶(hù)能在規(guī)定時(shí)間內(nèi)使用指定的應(yīng)用程序。此外，對(duì)需要非標(biāo)準(zhǔn)操作系統(tǒng)的遺留系統(tǒng)的支持也將變得更加容易。

硬件廠商們?cè)赩DI大潮中不甘落后，他們也推出了具有針對(duì)性的產(chǎn)品。從架構(gòu)上來(lái)說(shuō)，VDI將客戶(hù)端的存儲(chǔ)庫(kù)轉(zhuǎn)移至一臺(tái)或數(shù)臺(tái)中央服務(wù)器，這就需要大容量的快速存儲(chǔ)系統(tǒng)，一般來(lái)說(shuō)是存儲(chǔ)區(qū)域網(wǎng)絡(luò)（storage area network）。配有專(zhuān)為管理程序優(yōu)化后的CPU的系統(tǒng)將提供最佳的性能，讓用戶(hù)能獲得最新最強(qiáng)大的硬件輔助虛擬化（hardware-assisted virtualization）。為了協(xié)助VDI的推廣，英特爾公司（Intel，下稱(chēng)英特爾）在CPU中內(nèi)嵌了博銳技術(shù)（vPro）和虛擬化技術(shù)，而超微半導(dǎo)體公司(Advanced Micro Devices，下稱(chēng)AMD）亦是如此。

說(shuō)起信息安全，你也許聽(tīng)過(guò)下面的一些術(shù)語(yǔ)：硬件輔助虛擬化、統(tǒng)一威脅管理（unified threat management）、自適應(yīng)安全（adaptive security）、可信平臺(tái)模塊（Trusted Platform Modules）。賽門(mén)鐵克公司（Symantec，下稱(chēng)賽門(mén)鐵克）承諾在18月內(nèi)為英特爾的博銳平臺(tái)提供虛擬安全設(shè)備。用戶(hù)可以在VDI瘦客戶(hù)機(jī)上以訪客身份運(yùn)行虛擬機(jī)，同時(shí)運(yùn)行一個(gè)安全虛擬機(jī)或虛擬安全設(shè)備。廠商們知道，對(duì)那些考慮采用VDI的企業(yè)來(lái)說(shuō)，信息安全遲早會(huì)成為一個(gè)重要的決定因素。目前廠商吸引企業(yè)的方法有兩種：一是制造更安全、更易于管理、更加智能化、具有虛擬化感知能力（virtualization-aware）的處理器，這是英特爾和AMD等廠商的做法，二是幫助企業(yè)完全擺脫傳統(tǒng)的客戶(hù)端-服務(wù)器模式，轉(zhuǎn)投新型的架構(gòu)，這是VMware公司、Pano Logic公司和Stoneware公司等廠商的做法。

我們不能因?yàn)閺S商的推銷(xiāo)說(shuō)詞而盲目地購(gòu)買(mǎi)產(chǎn)品，并且VDI的普及也還有一段長(zhǎng)路要走。不過(guò)，我們認(rèn)為信息安全專(zhuān)業(yè)人士還是應(yīng)該好好研究一下VDI在安全方面的優(yōu)勢(shì)，否則他們也許會(huì)錯(cuò)失良機(jī)。

精打細(xì)算

企業(yè)在采用VDI時(shí)，應(yīng)當(dāng)綜合考慮產(chǎn)品的成本以及它對(duì)企業(yè)競(jìng)爭(zhēng)力、業(yè)務(wù)一致性以及信息安全的影響，在預(yù)算緊張的情況下更是如此。假如你擁有足夠的數(shù)據(jù)中心預(yù)算來(lái)支持額外需要的服務(wù)器，那么從各方面來(lái)看VDI都是項(xiàng)合理的投資。采用VDI必須確保有足夠的設(shè)備來(lái)提供計(jì)算能力，如果企業(yè)內(nèi)的機(jī)房空間有限、電力供應(yīng)功率不足或者空調(diào)通風(fēng)系統(tǒng)不堪重負(fù)的話，那在決策之前你最好還是先精打細(xì)算一番。

VDI 的最大好處來(lái)自于集中化。VDI對(duì)操作系統(tǒng)進(jìn)行了抽象化，從而極大簡(jiǎn)化了對(duì)桌面端鏡像進(jìn)行更改所需的步驟。從經(jīng)濟(jì)角度來(lái)說(shuō)，我們希望通過(guò)采用VDI來(lái)延長(zhǎng)瘦客戶(hù)端硬件的壽命，減少花費(fèi)在硬件導(dǎo)致的操作系統(tǒng)錯(cuò)誤上的時(shí)間，降低軟件部署的工作量，從而達(dá)到削減成本的目的。業(yè)務(wù)持續(xù)性則是另一大收獲。如果公司政策要求在本地存儲(chǔ)數(shù)據(jù)，那你就不得不自己進(jìn)行備份，這時(shí)VDI就能為你排憂(yōu)解難。那些可能包含敏感信息的文件將不會(huì)再儲(chǔ)存于容易被入侵的客戶(hù)端，所有的文件都被集中儲(chǔ)存到了服務(wù)器端，而那里的一連串?dāng)?shù)據(jù)管理選項(xiàng)將會(huì)啟動(dòng)保護(hù)功能。

如果你同時(shí)也在使用混搭（Mashup），或是正熱火朝天地打造服務(wù)導(dǎo)向架構(gòu)（service-oriented architecture），那VDI會(huì)不會(huì)與它們產(chǎn)生沖突呢？事實(shí)上，VDI與Web 2.0趨勢(shì)是井水不犯河水。相反，把軟件當(dāng)作一項(xiàng)服務(wù)購(gòu)買(mǎi)正好為實(shí)行虛擬化的必要性提供了佐證，因?yàn)椤败浖捶?wù)”（SaaS）的實(shí)質(zhì)不過(guò)是從互聯(lián)網(wǎng)部署虛擬應(yīng)用程序而已。VDI和SaaS相輔相成，成為主流生產(chǎn)率應(yīng)用程序的有效補(bǔ)充。