許多組織正以傳統(tǒng)的物理安全防御觀念來(lái)部署虛擬桌面架構(gòu)（VDI），卻沒(méi)有意識(shí)到有許多可用的新功能可以為VDI環(huán)境帶來(lái)立竿見(jiàn)影的安全好處。

虛擬安全滯后于VDI的使用沒(méi)什么可驚訝的。根據(jù)趨勢(shì)科技（Trend Micro）在2011年年初實(shí)施的一項(xiàng)全球調(diào)查，當(dāng)被問(wèn)及“你的組織使用VDI有多長(zhǎng)時(shí)間？”時(shí)，67%的企業(yè)回答為不超過(guò)兩年，9%的企業(yè)有超過(guò)四年的VDI使用經(jīng)驗(yàn)。對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō)，虛擬化環(huán)境的最佳實(shí)踐仍在發(fā)展，還有很多機(jī)會(huì)來(lái)改進(jìn)現(xiàn)有的安全模型。

　　圖為VDI使用經(jīng)驗(yàn)的時(shí)長(zhǎng)調(diào)查結(jié)果

(從上到下，依次為：4%的企業(yè)不確定或不知道使用VDI，6%的企業(yè)部署時(shí)間少于6個(gè)月，23%的企業(yè)使用時(shí)間為6-11個(gè)月，40%的企業(yè)使用了1-2年，20%的企業(yè)使用了3-4年，9%的企業(yè)使用了超過(guò)四年。)

這里有令人激動(dòng)的新改進(jìn)能幫助確保你的虛擬桌面基礎(chǔ)架構(gòu)安全，下列各項(xiàng)觀念應(yīng)成為每個(gè)VDI部署中的一部分（注意：以下提到的供應(yīng)商旨在幫助識(shí)別分類，這決對(duì)不是唯一的）。

只部署針對(duì)VDI安全的反病毒產(chǎn)品。草率地把物理安全產(chǎn)品和桌面虛擬機(jī)器綁在一起會(huì)引起資源爭(zhēng)奪的問(wèn)題，極大地限制了VM（虛擬機(jī)）的磁盤(pán)可用空間。尤其是，當(dāng)多個(gè)桌面虛擬機(jī)同時(shí)更新特征文件并實(shí)施系統(tǒng)掃描時(shí)，將使虛擬服務(wù)器崩潰。最好的方法是：

• 運(yùn)行單獨(dú)的安全虛擬機(jī)來(lái)處理位于虛擬服務(wù)器上所有桌面虛擬機(jī)的反病毒任務(wù)——確保同時(shí)只有一個(gè)更新特征文件并協(xié)調(diào)系統(tǒng)掃描（如Trend Micro公司、VMware公司的產(chǎn)品）。

• 在每個(gè)桌面虛擬機(jī)器上安裝反病毒軟件，但是當(dāng)虛擬服務(wù)器處于嚴(yán)重的性能壓力時(shí)使用高級(jí)的共享掃描緩存（advanced shared scan caches）和統(tǒng)計(jì)后退算法（statistical back-off algorithms）來(lái)減輕反病毒軟件操作的影響（如Symantec公司的產(chǎn)品）。

• 在每個(gè)桌面虛擬機(jī)上使用應(yīng)用白名單（如CoreTrace公司產(chǎn)品）。

確保使用專門(mén)針對(duì)VDI需要的終端安全產(chǎn)品，且不會(huì)產(chǎn)生AV風(fēng)暴。

使用配置軟件或應(yīng)用NAC準(zhǔn)則來(lái)保持虛擬桌面的合規(guī)性。在許多情況下虛擬桌面不滿足合規(guī)性，比如虛擬機(jī)可能含有淘汰版本的應(yīng)用軟件或安全策略已經(jīng)改變。每天重新配置桌面的方法之一，是確保只使用最新版本的軟件（如Citrix公司、 DynamicOps公司的產(chǎn)品），這樣做的額外的好處是當(dāng)桌面虛擬機(jī)過(guò)期后任何惡意軟件都會(huì)失效。偏好使用長(zhǎng)期的桌面虛擬機(jī)的組織應(yīng)該獨(dú)立評(píng)估它們的合規(guī)性以便讓安全團(tuán)隊(duì)進(jìn)行補(bǔ)救工作（如ForeScout公司的產(chǎn)品）。

評(píng)估用戶的虛擬化使用促進(jìn)從物理環(huán)境平穩(wěn)過(guò)渡到虛擬和云環(huán)境。用戶使用虛擬和物理終端（包括桌面電腦和智能手機(jī)）時(shí)的差異，可能導(dǎo)致安全漏洞。用戶虛擬化產(chǎn)品將與用戶相關(guān)的桌面組件進(jìn)行分離，確保用戶在他們的應(yīng)用和計(jì)算環(huán)境中獲得相同的體驗(yàn)，同時(shí)為安全團(tuán)隊(duì)提供元素的可見(jiàn)性和控制（如AppSense公司、RES Software公司、RingCube公司的產(chǎn)品）。

將虛擬桌面的概念擴(kuò)展到遠(yuǎn)程訪問(wèn)。大多數(shù)的組織依靠VPN來(lái)確保業(yè)務(wù)遠(yuǎn)程訪問(wèn)時(shí)的安全，但是某個(gè)感染惡意軟件的終端對(duì)于攻擊者來(lái)說(shuō)是個(gè)安全通道、可為其打開(kāi)連接網(wǎng)絡(luò)的受信任路徑。配有IT部門(mén)配置的瀏覽器、VPN代理、虛擬桌面部署以及安全軟件的虛擬桌面，為防范惡意軟件提供了更為安全的遠(yuǎn)程訪問(wèn)環(huán)境，使企業(yè)更信任地?cái)U(kuò)展他們的網(wǎng)絡(luò)（如Check Point公司、IronKey公司、MokaFive公司的產(chǎn)品）。