桌面虛擬化存在的安全風險
通過桌面虛擬化技術實現了多樣的接入方式和方便的管理模式,桌面系統的靈活性、安全性、可控制和可管理性得到了有效的保障。但從虛擬化桌面系統的整體安全角度來看,從接入層面、傳輸層面、管理與服務層面、數據存儲層面和用戶層面等各個方面,都會產生安全風險,忽略任何一個細節都會導致全局的安全問題。
對虛擬化安全的認知
桌面虛擬化技術的使用,解決了傳統桌面系統固有的安全風險,使得分散的桌面系統易于管理、易于配置。但大多數用戶并未意識到虛擬環境的安全性問題,也沒有意識到虛擬化技術同樣可以帶來安全風險。桌面虛擬化技術在帶來大量安全性的同時,將不安全性更加隱藏起來,使得用戶更難以發現桌面虛擬化技術背后深層次的安全問題。
接入層面的安全問題
在桌面虛擬化技術的應用環境中,只要有訪問權限,任何智能終端都可以訪問服務端的桌面環境,即隨時隨地的系統訪問。如果單純的依靠用戶名和口令作為合法用戶身份認證,一旦用戶名和口令泄露就意味著非授權用戶可以在任何位置訪問到桌面系統,并獲取相關數據。
傳輸層面的安全問題
由于虛擬桌面需要在網絡上進行大量的文件遷移,文件遷移過程使得在局域網內的用戶容易產生信息泄露。同時大量的文件系統遷移對網絡性能要求很高,還使得在遷移過程中的不確定性被增加了。同時用戶在進行遠程桌面系統調用時,并非所有的智能終端都支持相應的VPN技術。
管理與服務層面的安全問題
在桌面虛擬化技術的架構中,后臺服務器端通常會采用橫向擴展的方式,在大并發的使用環境下,系統前端會使用負載均衡器,將用戶的連接請求發送給當前仍有剩余計算能力的服務器處理,這種架構很容易遭到分布式拒絕攻擊。
由于采用虛擬化技術集中了核心數據資源,使得管理員認為只關注核心數據資源就可以保障虛擬化桌面的整體安全,但是由于沒有集中審計和訪問控制措施,使得每個虛擬化桌面客戶端沒有權限的差別,在這種工作環境中,不得不考慮的風險就是低級別的虛擬化桌面越過權限訪問高級別的虛擬化桌面數據空間。
數據存儲層面的安全問題
采用桌面虛擬化技術之后,所有的信息都會存儲在后臺的磁盤陣列中,為了滿足文件系統的訪問需要,一般會采用NAS架構的存儲系統。這種數據存儲方式使得管理員對核心數據的控制力度過大,以前需要從多臺電腦上獲得的數據現在較容易就可以獲得了,而且數據是集中存儲的。管理員的權限增加帶來的風險使得管理員進行泄密和破壞的成本降到最低,即便是數據進行了加密,管理員也可以將整盤數據進行拷貝,然后再進行破解。
用戶層面的安全問題
使用桌面虛擬化技術后,用戶的桌面特性被統一化和定制化,但在很多情況下各個用戶的軟件需求不同,各個業務部門的軟件需求也不同,虛擬化的桌面特性只能滿足部分人員和部門的需求。如果滿足所有用戶的需求就需要盡可能的增加鏡像文件的容量,管理員將面臨著虛擬主機的快速增長,造成對虛擬化桌面系統的管理非常困難,同時虛擬機的利用率也有很大程度的降低,每個用戶面對的多數是自己無用的程序。
