九大措施確保VMware View安全
VMware View的安全對虛擬桌面至關重要。你可以使用眾多的與保護物理桌面最佳實踐相同的方式確保虛擬桌面基礎設施的安全,但是確保VMware View足夠安全需要進行一些額外的考慮。
防病毒軟件
對許多虛擬環境來說,防病毒當然是VMware View安全的一個重要組件。但是防病毒是少有的不能使用VMware ThinApp這類產品進行虛擬化的應用之一,因此防病毒軟件必須使用基礎鏡像安裝。對于基于View Composer的資源池來說,你可以很輕松地使用最新的防病毒程序對虛擬機進行更新,然后重組整個資源池。對于單個虛擬桌面來說,你通常可以采用與物理桌面相同的方式對虛擬桌面進行防病毒管理。
為減少對內存、CPU和磁盤的使用,一些管理員在虛擬桌面中放棄了防病毒。如果你在基礎設施中其他的所有環節實施了恰當的VDI安全,那么這一風險可以接受。確保VDI安全的其他措施包括了過濾潛在的惡意網站,對文件服務器和郵件服務器進行防病毒掃描,恰當的邊界安全等等。
不用安裝防病毒軟件仍能夠提升VMware View安全的更好方式是使用VMware提供的vShield Endpoint,它卸載了虛擬機和虛擬設備上的防病毒進程。使用vShield Endpoint,單一的定義更新會自動保護所有的虛擬桌面,不必對整個資源池進行重組。vShield Endpoint同樣將用于提供防病毒功能的系統資源進行了集中化,減少了對系統資源的使用。
防火墻
VDI的安全性原則實際上并不要求管理員在每個本地桌面上運行防火墻,但是引入VMware View后可能需要對網絡防火墻規則進行改變。在VMware知識庫文章中對VMware View不同組件之間可能必需的一些防火墻規則進行了概括。你必須創建或更改的最為常見的規則就是與DMZ區域中組件相關的規則,DMZ區域中的組件包括VMware View 安全服務器及傳輸服務器。
遠程訪問
即使用戶通過遠程訪問基礎設施,確保VMware View的安全仍舊是可能的。DMZ不允許終端用戶的設備直接訪問安全網絡,為終端用戶提供了一個進入基礎設施的一個連接點,通過將一個或多個安全服務器放入DMZ中就可以達到最好的桌面安全性。
如果你想將訪客隔離至不能與安全網絡進行通信的網段中,那么這一安全措施同樣有效,此時虛擬桌面具有完全的網絡訪問權限。
補丁與更新
虛擬桌面操作系統內部經過簡化的補丁與更新是VDI相對于復雜的物理桌面的一個主要優勢。通過更新父鏡像,進行測試,然后重組資源池,你就可以快速、可靠地將虛擬桌面更新至最新版本。
雙因素認證
VMware View對智能卡以及RSA SecurID提供了內置支持。在使用智能卡進行身份認證時,如果移除智能卡連接將自動中斷,這確保了良好的桌面安全性。這一情景在醫療保健領域非常流行,一旦護士離開病人的房間,便會自動終止該護士的會話。
傳遞驗證
默認情況下,用戶登錄到VMware View 基礎設施后就能夠登錄到虛擬桌面,即使在使用雙因素認證機制時也是如此。傳遞認證提供了更加平滑的終端用戶體驗。然而,如果VMware View的安全性是一個關注點,你可能希望強制用戶兩次輸入憑證或者要求用戶使用一個與訪問VMware 基礎設施不同的單獨帳戶登錄到虛擬桌面上。為了禁用傳遞驗證,在VMware View 代理 AMD模板中將AllowSingleSignon選項設置為禁用,然后應用到你的虛擬桌面即可。
USB和打印機重定向
同樣可以在VMware基礎設施,桌面資源池或單個用戶策略中禁用USB與打印機的重定向。由于數據不能被拷貝至本地便攜存儲設備或者打印到不安全的打印機,該設置提升了VMware View的安全性。
隔離桌面池
在vSphere中使用vShield Edge擴展組件,管理員能夠對桌面池進行隔離。隔離為VDI安全性提供了一個附加層,而這一措施通常在物理桌面部署中很難實現。對于需要與組織的其他部分比如人力資源,承包商或開發人員進行隔離的虛擬桌面來說,提供一個隔離與訪問控制層非常有幫助。
SSL認證
默認情況下,VMware View基礎設施中的所有組件包括vCenter Server,使用自簽名證書確保SSL通道安全。作為VDI安全性的一個最佳實踐,你應該使用可信的證書頒發機構創建的證書,這能夠降低中間人攻擊的可能性,而且避免了vSphere Client以及 View管理控制臺用戶在連接時收到相關的告警。
以上九大注意事項能夠增強VMware View的安全性,使部署環境更容易管理。VMware的View安全強化指南以及防病毒最佳實踐同樣能夠幫助你提升VDI及虛擬桌面的安全性。
原文鏈接:http://www.searchvirtual.com.cn/showcontent_54038.htm
