保護終端用戶安全 虛擬桌面基礎設施幫忙

申請免費試用、咨詢電話：400-8352-114

在尋找保護終端用戶安全的救世英雄時，企業(yè)不妨考慮一下虛擬桌面基礎設施。

目前，瘦客戶端（thin client）正卷土重來，這得感謝服務器虛擬化的潮流。我們都記得，前些年IT界曾嘗試過給商業(yè)桌面瘦身，讓它變得小巧精悍易于管理?？墒钱斢脩魝兊弥坏┭b了瘦客戶端之后，就不能隨意安裝自己喜愛的應用程序時，他們就變得猶豫不決了。無盤瘦客戶端提供了基于數據中心的操作系統(tǒng)，但其優(yōu)勢僅僅在于降低了邊際成本，增強了管理性能。專業(yè)的信息安全人員絕不會因為這些好處而青昧終端服務，因為他們擔心一旦入侵者攻入中央服務器，損失將難以估量。不過，現(xiàn)在服務器端的虛擬化為瘦客戶端在業(yè)界的普及鋪平了道路。在取悅終端用戶方面，如今的虛擬桌面基礎設施（virtual desktop infrastructure，下稱VDI）和以往的瘦客戶端只在伯仲之間，兩者的主要區(qū)別在于VDI得到了IT和信息安全專業(yè)人員的廣泛關注和認可。

在VDI 中，服務器內存是在多臺虛擬機間分配的，因此更易管理，安全性也得到了顯著提高。這是桌面計算（desktop computing）的典型范例：安全、靈活且與平臺無關（platform independent）。說客戶端“瘦”，是因為操作系統(tǒng)并未綁定到硬件上，而是集中存儲。連接客戶端和網絡的唯一橋梁是一個簡潔的專用桌面管理程序（hypervisor）。

所有進軍服務器虛擬化市場的知名廠商都有自己的虛擬桌面產品。VMware公司開風氣之先推出VDI，讓IT界意識到了它的存在。思杰系統(tǒng)公司（Citrix Systems）一直是終端服務領域的老大，它去年收購了XenSource公司。今年3月，微軟公司（Microsoft，下稱微軟）也宣布將收購 VDI廠商Kidaro公司。目前，虛擬桌面軟件和那些“臃腫”的普通應用程序同樣都需要Windows許可證，所以微軟公司是左右逢源，處于雙贏的境地。當然，虛擬環(huán)境并不能支持運行所有的應用程序，比如說歐特克公司（Autodesk）就不建議在虛擬環(huán)境中使用它的Productstream或 Vault，但好在大多數主流軟件都能正常運行。使用VDI的連帶好處，是你可以嚴格地管理許可證，確保只有那些有訪問權限的用戶能在規(guī)定時間內使用指定的應用程序。此外，對需要非標準操作系統(tǒng)的遺留系統(tǒng)的支持也將變得更加容易。

硬件廠商們在VDI大潮中不甘落后，他們也推出了具有針對性的產品。從架構上來說，VDI將客戶端的存儲庫轉移至一臺或數臺中央服務器，這就需要大容量的快速存儲系統(tǒng)，一般來說是存儲區(qū)域網絡（storage area network）。配有專為管理程序優(yōu)化后的CPU的系統(tǒng)將提供最佳的性能，讓用戶能獲得最新最強大的硬件輔助虛擬化（hardware-assisted virtualization）。為了協(xié)助VDI的推廣，英特爾公司（Intel，下稱英特爾）在CPU中內嵌了博銳技術（vPro）和虛擬化技術，而超微半導體公司(Advanced Micro Devices，下稱AMD）亦是如此。

說起信息安全，你也許聽過下面的一些術語：硬件輔助虛擬化、統(tǒng)一威脅管理（unified threat management）、自適應安全（adaptive security）、可信平臺模塊（Trusted Platform Modules）。賽門鐵克公司（Symantec，下稱賽門鐵克）承諾在18月內為英特爾的博銳平臺提供虛擬安全設備。用戶可以在VDI瘦客戶機上以訪客身份運行虛擬機，同時運行一個安全虛擬機或虛擬安全設備。廠商們知道，對那些考慮采用VDI的企業(yè)來說，信息安全遲早會成為一個重要的決定因素。目前廠商吸引企業(yè)的方法有兩種：一是制造更安全、更易于管理、更加智能化、具有虛擬化感知能力（virtualization-aware）的處理器，這是英特爾和AMD等廠商的做法，二是幫助企業(yè)完全擺脫傳統(tǒng)的客戶端-服務器模式，轉投新型的架構，這是VMware公司、Pano Logic公司和Stoneware公司等廠商的做法。

我們不能因為廠商的推銷說詞而盲目地購買產品，并且VDI的普及也還有一段長路要走。不過，我們認為信息安全專業(yè)人士還是應該好好研究一下VDI在安全方面的優(yōu)勢，否則他們也許會錯失良機。

精打細算

企業(yè)在采用VDI時，應當綜合考慮產品的成本以及它對企業(yè)競爭力、業(yè)務一致性以及信息安全的影響，在預算緊張的情況下更是如此。假如你擁有足夠的數據中心預算來支持額外需要的服務器，那么從各方面來看VDI都是項合理的投資。采用VDI必須確保有足夠的設備來提供計算能力，如果企業(yè)內的機房空間有限、電力供應功率不足或者空調通風系統(tǒng)不堪重負的話，那在決策之前你最好還是先精打細算一番。

VDI 的最大好處來自于集中化。VDI對操作系統(tǒng)進行了抽象化，從而極大簡化了對桌面端鏡像進行更改所需的步驟。從經濟角度來說，我們希望通過采用VDI來延長瘦客戶端硬件的壽命，減少花費在硬件導致的操作系統(tǒng)錯誤上的時間，降低軟件部署的工作量，從而達到削減成本的目的。業(yè)務持續(xù)性則是另一大收獲。如果公司政策要求在本地存儲數據，那你就不得不自己進行備份，這時VDI就能為你排憂解難。那些可能包含敏感信息的文件將不會再儲存于容易被入侵的客戶端，所有的文件都被集中儲存到了服務器端，而那里的一連串數據管理選項將會啟動保護功能。

如果你同時也在使用混搭（Mashup），或是正熱火朝天地打造服務導向架構（service-oriented architecture），那VDI會不會與它們產生沖突呢？事實上，VDI與Web 2.0趨勢是井水不犯河水。相反，把軟件當作一項服務購買正好為實行虛擬化的必要性提供了佐證，因為“軟件即服務”（SaaS）的實質不過是從互聯(lián)網部署虛擬應用程序而已。VDI和SaaS相輔相成，成為主流生產率應用程序的有效補充。