重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
1 争论 |
在安全的问题上,物理桌面和虚拟桌面那个更有优势一直以来都存在争论?很多人认为虚拟桌面只是将桌面集中部署到数据中心,本质上没有改变桌面的使用方式,所以安全上没有改善,这种观点的主要论据如下:
创新互联建站是一家专业从事成都网站设计、成都做网站、外贸网站建设的网络公司。作为专业网站建设公司,创新互联建站依托的技术实力、以及多年的网站运营经验,为您提供专业的成都网站建设、营销型网站建设及网站设计开发服务!桌面OS和软件没有变化,2种类型桌面还是会遭遇***,感染病毒等。
用户行为在使用2种桌面时没有区别。所以用户行为导致的安全威胁无论在哪种桌面上都存在。比如VDI用户还可以在通过邮件、网盘等方法向外传送数据。用户还是有可能浏览被种马的网页,打开被感染的文档。
虚拟桌面能防范的安全威胁,如不会因设备丢失导致数据丢失,在物理桌面上也早就有大量安全应对方案,如Symantec的PGP加密,微软EFS等,而且成本相对部署VDI更便宜。
虚拟桌面带来了新的安全威胁。如同一个主机上的虚拟机之间的隔离问题,hypervisor本身的安全性问题等
2 个人看法 |
从我个人的经历来讲,以上的论据都没有问题,虚拟桌面不是一剂万能良药,不要期望其能够解决所有的安全问题,如果有人仅仅以安全为由向你推销虚拟桌面,那么,对方肯定是个骗子。但是,从我管理物理桌面和虚拟桌面经验来看,我认为虚拟桌面安全方面有天然的优势,下面我们从多个方面来说明这个问题:
2.1 防止PC丢失导致数据泄露 |
传统PC也可以通过加密解决这个问题,但是做个PC管理的从业人员都知道,部署加密软件从来就是一个苦力活:
每台PC上面需要安装加密软件客户端。客户端可能针对操作系统版本不同有不同的版本。OS升级之后,加密软件可能也需要升级,升级过程中可能会出现很多异常。另外,还需要考虑加密软件和其他软件的兼容性,比如我就碰到过加密软件和杀毒软件、备份软件不兼容的状况。
取决于磁盘/数据量大小,首次全盘加密需要可能长达1天。这个期间用户不能使用,PC管理员还需要经常检查加密进展状况。
PC的性能受影响,用户向IT抱怨。这个是显而易见的。
管理成本提升。用户忘记密码或者离职之后没有留下解密密码,那么加密软件管理员需要被卷入进来。
上了加密之后最痛苦的是什么?是不能解密!很多PC管理员有过这样的经历:用户PC没法解密,原因有几种,硬盘可能出现坏道,系统不能启动,数据要拿出来要先解密,但是很多时候因为硬盘坏道解密过程进行不下去,最后数据全没了。还有的加密软件自身的问题导致不能解密,笔者已经见过很多个这样的例子。而且发生问题的还是鼎鼎大名的厂商的产品,如Symantec、Checkpoint的产品。
而虚拟桌面因为集中部署,不会因为客户端设备丢失导致数据泄露。
一般企业里面出现中毒情况,主要2种场景:
场景 | 传统桌面应对方法 | 虚拟桌面应对方法 |
杀毒软件没有安装或者没有更新到最新导致中病毒 | 需要安装杀毒软件或者杀毒软件升级到最新进行病毒查杀,这个一般需要几个小时 | 将桌面刷新到健康镜像查杀用户数据即可,相对查杀系统和用户数据快很多。甚至如果仅仅系统数据感染,病毒立刻清除 |
杀毒软件不能够查杀病毒导致中病毒 | 只能将该PC隔离,直到杀毒软件更新到能查杀该病毒为止。PC不能使用 | 快速生成新的桌面供用户使用。 |
2.3 安全补丁和策略应用 |
PC管理员都有这样经历:补丁服务器或者防病毒服务器上发现部分PC没有更新,由于种种原因(如用户断开网络,用户休假,将PC带离公司网络等)物理PC很多时候是处于离线的状态,无法应用企业内部安全更新或者AD策略。该PC在线之后可能不能应对安全威胁。而虚拟桌面一直处于在线状况,更新速度更快,被威胁的几率更小。
2.4 安全隔离和隐藏 |
由于脱离企业防火墙、威胁防护网关的保护,对于离开企业安全环境的PC而言,直面互联网威胁导致的安全风险更高。而虚拟桌面和互联网之间始终有安全设备进行隔离,相对而言更加安全。进一步来讲,从企业拥有的整理PC数量而言,已物理桌面方式部署相对于以虚拟桌面方式部署,前者遭受***的面更广。
2.5集中管理更加有利于数据的备份 |
就算所有的安全策略失效,数据遭到破坏,如感染勒索病毒,通过备份数据可以恢复回来。虚拟桌面的用户数据大多数时候重定向到集中位置(如NAS存储或者文件服务器),非常备份;反观物理PC的数据备份,完完全全就是个噩梦,特别是大规模的PC环境。这也说明,虽然这一点上虚拟桌面没有表现的更安全,但是却给IT管理员一个提供快速摆脱安全问题的途径。
2.6 集中管理减轻安全管理开销 |
对于安全人员来讲,最担心的是有安全策略部署的死角。比如有不受管的PC,特别是PC上部署的安全策略被“聪明”的用户绕过或者破坏的情况。这可能因为”一粒老鼠屎,坏了一锅汤“,前面99%的努力全部白费。
但是企业往往存在这种情形,比如某天突然发现网内有一台完全不受管的PC,经查证,这台PC原来是部门人员离职后闲置下来的,期间甚至OS都已经被某些不可查证的离职员工重新安装过了,可能杀毒软件都没有,甚至已经访问过无数的未经许可的外设(U盘、SD卡、光盘等),病毒也是一大堆。这就是物理PC分散部署的弊端凸显。
而虚拟桌面这方面具有天然的优势,桌面更多的是在IT人员掌控当中。
3 总结 |
总而言之,虚拟桌面不是万能良药,其本身不是安全解决方案,只是他的部署方式相对于物理桌面,天然带有一些安全的特性。主要来讲,我认为虚拟桌面的部署给我们带来更多的是:它本身没有改变用户习惯,桌面的软件环境,但是你可以更加全面、快速和简单地应用你的安全策略。
以上仅仅从安全的角度进行比对,没有整体上对比部署物理桌面和虚拟桌面的优劣。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。