许多组织正以传统的物理安全防御观念来部署虚拟桌面架构(VDI),却没有意识到有许多可用的新功能可以为VDI环境带来立竿见影的安全好处。 虚拟安全滞后于VDI的使用没什么可惊讶的。根据趋势科技(Trend Micro)在2011年年初实施的一项全球调查,当被问及“你的组织使用VDI有多长时间?”时,67%的企业回答为不超过两年,9%的企业有超过四年的VDI使用经验。对于安全团队来说,虚拟化环境的最佳实践仍在发展,还有很多机会来改进现有的安全模型。
图为VDI使用经验的时长调查结果 (从上到下,依次为:4%的企业不确定或不知道使用VDI,6%的企业部署时间少于6个月,23%的企业使用时间为……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
许多组织正以传统的物理安全防御观念来部署虚拟桌面架构(VDI),却没有意识到有许多可用的新功能可以为VDI环境带来立竿见影的安全好处。
虚拟安全滞后于VDI的使用没什么可惊讶的。根据趋势科技(Trend Micro)在2011年年初实施的一项全球调查,当被问及“你的组织使用VDI有多长时间?”时,67%的企业回答为不超过两年,9%的企业有超过四年的VDI使用经验。对于安全团队来说,虚拟化环境的最佳实践仍在发展,还有很多机会来改进现有的安全模型。
图为VDI使用经验的时长调查结果
(从上到下,依次为:4%的企业不确定或不知道使用VDI,6%的企业部署时间少于6个月,23%的企业使用时间为6-11个月,40%的企业使用了1-2年,20%的企业使用了3-4年,9%的企业使用了超过四年。)
这里有令人激动的新改进能帮助确保你的虚拟桌面基础架构安全,下列各项观念应成为每个VDI部署中的一部分(注意:以下提到的供应商旨在帮助识别分类,这决对不是唯一的)。
只部署针对VDI安全的反病毒产品。草率地把物理安全产品和桌面虚拟机器绑在一起会引起资源争夺的问题,极大地限制了VM(虚拟机)的磁盘可用空间。尤其是,当多个桌面虚拟机同时更新特征文件并实施系统扫描时,将使虚拟服务器崩溃。最好的方法是:
? 运行单独的安全虚拟机来处理位于虚拟服务器上所有桌面虚拟机的反病毒任务——确保同时只有一个更新特征文件并协调系统扫描(如Trend Micro公司、VMware公司的产品)。
? 在每个桌面虚拟机器上安装反病毒软件,但是当虚拟服务器处于严重的性能压力时使用高级的共享扫描缓存(advanced shared scan caches)和统计后退算法(statistical back-off algorithms)来减轻反病毒软件操作的影响(如Symantec公司的产品)。
? 在每个桌面虚拟机上使用应用白名单(如CoreTrace公司产品)。
确保使用专门针对VDI需要的终端安全产品,且不会产生AV风暴。
使用配置软件或应用NAC准则来保持虚拟桌面的合规性。在许多情况下虚拟桌面不满足合规性,比如虚拟机可能含有淘汰版本的应用软件或安全策略已经改变。每天重新配置桌面的方法之一,是确保只使用最新版本的软件(如Citrix公司、 DynamicOps公司的产品),这样做的额外的好处是当桌面虚拟机过期后任何恶意软件都会失效。偏好使用长期的桌面虚拟机的组织应该独立评估它们的合规性以便让安全团队进行补救工作(如ForeScout公司的产品)。
评估用户的虚拟化使用促进从物理环境平稳过渡到虚拟和云环境。用户使用虚拟和物理终端(包括桌面电脑和智能手机)时的差异,可能导致安全漏洞。用户虚拟化产品将与用户相关的桌面组件进行分离,确保用户在他们的应用和计算环境中获得相同的体验,同时为安全团队提供元素的可见性和控制(如AppSense公司、RES Software公司、RingCube公司的产品)。
将虚拟桌面的概念扩展到远程访问。大多数的组织依靠VPN来确保业务远程访问时的安全,但是某个感染恶意软件的终端对于攻击者来说是个安全通道、可为其打开连接网络的受信任路径。配有IT部门配置的浏览器、VPN代理、虚拟桌面部署以及安全软件的虚拟桌面,为防范恶意软件提供了更为安全的远程访问环境,使企业更信任地扩展他们的网络(如Check Point公司、IronKey公司、MokaFive公司的产品)。
关于作者:
Eric Ogren是Ogren Group分析咨询公司的创始人和首席分析师,为关注于虚拟化和安全的厂商提供行业分析服务。在建立Ogren Group前,Eric作为安全行业分析顾问为市场研究公司扬基集团(Yankee Group)和分析咨询公司ESG服务。Ogren也曾是安全软件开发公司Okena、Sequation有限公司和数据库审计厂商Tizor的市场副总裁。
作者
相关推荐
-
传统网络边界消弭,企业安全需从IT架构建起
随着云计算、移动化等技术的发展,企业网络边界变得模糊,传统的边界安全无法再很好地保护企业安全,为此,企业需要转变防御观念,从架构角度出发建立起新的IT安全架构,以应对无处不在的网络威胁。
-
汇总:虚拟环境下的网络安全模式
企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。
-
山石网科:虚拟弹性架构筑数据中心安全防线
山石网科参加了在京举行的CSA2014云安全联盟高峰论坛,会上,山石网科研发副总裁蒋东毅重点阐述了在SDN、虚拟化等技术的引领下,网络技术发展给数据中心带来的影响和变化。
-
反病毒软件采购名录金山产品强势入围 赛门、卡巴确已出局
一则出口转内销的“人民日报Twitter帐号”发布的英文消息,今天在信息安全行业掀起轩然大波。这一消息,将中国政府去“IOE”浪潮后的国产化采购行动,正式延展到了反病毒软件产品。