使用VDI的安全優(yōu)勢,保護VDI的最佳實踐
      
                                    
                                
      
                                
      
                                    
      采用虛擬桌面基礎(chǔ)架構(gòu) (VDI) 的企業(yè)期望獲得各種安全優(yōu)勢,例如對已安裝應用程序和桌面的集中管理以及改進的補丁管理流程。然而,即使有這些好處,組織也必須解決一些有效的 VDI 安全問題。
      

      使用VDI的安全優(yōu)勢,保護VDI的最佳實踐-南華中天
      

      不安全的端點、受損的桌面會話或被盜的密碼很容易使組織面臨多種威脅,例如惡意軟件、勒索軟件或網(wǎng)絡嗅探。詳細了解 VDI 如何增強安全性,并發(fā)現(xiàn)實現(xiàn) VDI 安全性的最佳實踐。
      

      使用 VDI 的安全優(yōu)勢
      

      VDI 允許 IT 管理員將虛擬化應用程序和桌面分發(fā)到組織中的不同端點。在安全方面,這對組織是有利的,因為:
      

      基線圖像的集中管理
      

      IT 管理員可以從單個控制臺控制分配給每個端點的基線圖像類型。例如,假設某個操作系統(tǒng)被感染并且補丁不可用。在這種情況下,IT 管理員只需刪除該操作系統(tǒng)版本并為每個終端設備分配不同的版本。
      

      敏感數(shù)據(jù)保留在數(shù)據(jù)中心
      

      使用 VDI,數(shù)據(jù)永遠不會離開數(shù)據(jù)中心,數(shù)據(jù)中心受到更多保護。這減少了對端點保護的需求。在數(shù)據(jù)中心集中安全操作還簡化了醫(yī)療保健和金融等受監(jiān)管行業(yè)的審計報告要求。
      

      用于遠程訪問的強大安全基礎(chǔ)架構(gòu)
      

      通過 VDI 訪問企業(yè)資源比使用虛擬專用網(wǎng)絡 (VPN)等其他技術(shù)安全得多。使用 VPN,如果端點通過公共 Wi-Fi 受到威脅,整個公司局域網(wǎng) (LAN) 就會暴露在端點上執(zhí)行的任何內(nèi)容中。另一方面,VDI 具有較低的風險和攻擊面,因為數(shù)據(jù)集中在數(shù)據(jù)中心。
      

      VDI 的常見安全風險
      

      毫無疑問,與傳統(tǒng)的 PC 基礎(chǔ)架構(gòu)相比,VDI 提供了一種更具適應性和靈活性的安全方法。但是,VDI 并不是所有企業(yè)安全方面的靈丹妙藥,因為存在各種風險,例如:
      

        

      • 劫持。超級劫持是一種黑客惡意控制管理程序并在虛擬機 (VM) 中創(chuàng)建虛假虛擬環(huán)境的攻擊。通過超級劫持,攻擊者幾乎可以訪問連接到主機的所有東西——從服務器到虛擬機和存儲資源。
        • 

      

        

      • 未打補丁的虛擬機。每個 VM 在虛擬化環(huán)境中都有自己的操作系統(tǒng)和配置。對于擁有多個虛擬機的大型組織,IT 管理員可能會發(fā)現(xiàn)手動修補和維護虛擬機具有挑戰(zhàn)性。對 VDI 應用安全更新或補丁的延遲可能會使整個 VDI 環(huán)境面臨安全漏洞的風險。
        • 

      • 內(nèi)部威脅。大多數(shù) VDI 部署要求用戶通過密碼對企業(yè)網(wǎng)絡進行身份驗證。端點或帳戶受到威脅的用戶可以嘗試破壞服務器或其他用戶的桌面。惡意員工還可以故意闖入數(shù)據(jù)中心并直接破壞服務器。
        • 

      • 受損的網(wǎng)絡。雖然所有網(wǎng)絡都容易受到攻擊,但虛擬網(wǎng)絡環(huán)境尤其容易受到攻擊,因為它們共享類似的網(wǎng)絡資源,例如路由器和交換機。例如,如果攻擊者破壞了虛擬網(wǎng)絡的一部分,如果不進行分段,其他網(wǎng)絡中的所有資源也可能面臨風險。
        • 

      

      保護 VDI 的最佳實踐
      

      為了最大限度地提高 VDI 部署的安全性,IT 管理員必須遵守以下最佳實踐:
      

      限制或禁用服務
      

      安全的 VDI 環(huán)境允許用戶僅訪問他們需要的服務。允許用戶訪問不必要的服務可能會給組織帶來重大的安全風險。例如,惡意員工可以將敏感的公司文件從虛擬桌面復制到本地 USB。在這方面,IT 管理員應禁止訪問不必要的服務,例如 USB 驅(qū)動器或打印機驅(qū)動程序。
      

      使用端點保護保護設備
      

      雖然 VDI 部署允許最終用戶通過安全協(xié)議連接到數(shù)據(jù)中心,但攻擊者可以破壞端點并訪問組織的敏感數(shù)據(jù)和應用程序。組織可以通過利用端點檢測和響應 (EDR)工具快速檢測和響應違規(guī)行為來處理此類違規(guī)行為。
      

      需要多重身份驗證 (MFA)
      

      MFA要求用戶以各種方式證明其身份,包括密碼、短信服務 (SMS) 或指紋掃描,從而提供分層安全性。始終啟用 MFA 以最大程度地減少黑客破壞憑據(jù)以未經(jīng)授權(quán)訪問 VDI 平臺的機會。
      

      在數(shù)據(jù)中心部署額外的安全工具
      

      IT 管理員必須實施基本的安全協(xié)議,例如入侵保護系統(tǒng)/入侵檢測系統(tǒng) (IPS/IDS) 和防火墻。此外,他們還必須確保在每個 VM 上運行端點保護軟件,例如防病毒軟件以及應用程序和內(nèi)容白名單應用程序。
      

      保護 VDI 部署的實用工具
      

      與傳統(tǒng) IT 基礎(chǔ)架構(gòu)不同,VDI 部署具有獨特的安全問題。IT 管理員可以通過集成管理方法、實時監(jiān)控、漏洞掃描和數(shù)據(jù)盜竊預防來保護 VDI 部署。
      

        

      • 綜合管理方法。IT 管理員必須在需求出現(xiàn)時動態(tài)地將計算、網(wǎng)絡和存儲等資源分配給端點,從而跟上快節(jié)奏的 IT 環(huán)境。但是,跟蹤這些資源分配機制可能具有挑戰(zhàn)性。集成的虛擬化平臺不僅可以簡化而且可以加速此類環(huán)境中的資源配置。
        • 

      • 實時監(jiān)控。資源的實時監(jiān)控使 IT 管理員能夠檢測 VDI 部署中的異常和突然變化。然后,他們可以采取快速行動來維護虛擬應用程序和桌面的完整性。它還可以幫助企業(yè)證明符合通用數(shù)據(jù)保護條例 (GDPR) 和健康保險流通與責任法案 (HIPAA) 等標準。
        • 

      • 漏洞掃描。漏洞可能隨時發(fā)生在 VDI 部署的任何部分。漏洞掃描提供系統(tǒng)弱點的自動檢測和分類。如果 VDI 部署受到攻擊或威脅,它還可以預測對策的有效性。
        • 

      • 數(shù)據(jù)盜竊預防。數(shù)據(jù)是當今數(shù)字時代企業(yè)的重要組成部分。因此,組織應始終以所有必要的手段保護它。這涉及加密 VM、虛擬磁盤 (vdisk) 文件和核心轉(zhuǎn)儲文件。
        •