VMware View的安全对虚拟桌面至关重要。你可以使用众多的与保护物理桌面最佳实践相同的方式确保虚拟桌面基础设施的安全,但是确保VMware View足够安全需要进行一些额外的考虑。
防病毒软件
对许多虚拟环境来说,防病毒当然是VMware View安全的一个重要组件。但是防病毒是少有的不能使用VMware ThinApp这类产品进行虚拟化的应用之一,因此防病毒软件必须使用基础镜像安装。对于基于View Composer的资源池来说,你可以很轻松地使用最新的防病毒程序对虚拟机进行更新,然后重组整个资源池。对于单个虚拟桌面来说,你通常可以采用与物理桌面相同的方式对虚拟桌面进行防病毒管理。
为减少对内存、CPU和磁盘的使用,一些管理员在虚拟桌面中放弃了防病毒。如果你在基础设施中其他的所有环节实施了恰当的VDI安全,那么这一风险可以接受。确保VDI安全的其他措施包括了过滤潜在的恶意网站,对文件服务器和邮件服务器进行防病毒扫描,恰当的边界安全等等。
不用安装防病毒软件仍能够提升VMware View安全的更好方式是使用VMware提供的vShield Endpoint,它卸载了虚拟机和虚拟设备上的防病毒进程。使用vShield Endpoint,单一的定义更新会自动保护所有的虚拟桌面,不必对整个资源池进行重组。vShield Endpoint同样将用于提供防病毒功能的系统资源进行了集中化,减少了对系统资源的使用。
防火墙
VDI的安全性原则实际上并不要求管理员在每个本地桌面上运行防火墙,但是引入VMware View后可能需要对网络防火墙规则进行改变。在VMware知识库文章中对VMware View不同组件之间可能必需的一些防火墙规则进行了概括。你必须创建或更改的最为常见的规则就是与DMZ区域中组件相关的规则,DMZ区域中的组件包括VMware View 安全服务器及传输服务器。
远程访问
即使用户通过远程访问基础设施,确保VMware View的安全仍旧是可能的。DMZ不允许终端用户的设备直接访问安全网络,为终端用户提供了一个进入基础设施的一个连接点,通过将一个或多个安全服务器放入DMZ中就可以达到最好的桌面安全性。
如果你想将访客隔离至不能与安全网络进行通信的网段中,那么这一安全措施同样有效,此时虚拟桌面具有完全的网络访问权限。
补丁与更新
虚拟桌面操作系统内部经过简化的补丁与更新是VDI相对于复杂的物理桌面的一个主要优势。通过更新父镜像,进行测试,然后重组资源池,你就可以快速、可靠地将虚拟桌面更新至最新版本。
双因素认证
VMware View对智能卡以及RSA SecurID提供了内置支持。在使用智能卡进行身份认证时,如果移除智能卡连接将自动中断,这确保了良好的桌面安全性。这一情景在医疗保健领域非常流行,一旦护士离开病人的房间,便会自动终止该护士的会话。
传递验证
默认情况下,用户登录到VMware View 基础设施后就能够登录到虚拟桌面,即使在使用双因素认证机制时也是如此。传递认证提供了更加平滑的终端用户体验。然而,如果VMware View的安全性是一个关注点,你可能希望强制用户两次输入凭证或者要求用户使用一个与访问VMware 基础设施不同的单独帐户登录到虚拟桌面上。为了禁用传递验证,在VMware View 代理 AMD模板中将AllowSingleSignon选项设置为禁用,然后应用到你的虚拟桌面即可。
USB和打印机重定向
同样可以在VMware基础设施,桌面资源池或单个用户策略中禁用USB与打印机的重定向。由于数据不能被拷贝至本地便携存储设备或者打印到不安全的打印机,该设置提升了VMware View的安全性。
隔离桌面池
在vSphere中使用vShield Edge扩展组件,管理员能够对桌面池进行隔离。隔离为VDI安全性提供了一个附加层,而这一措施通常在物理桌面部署中很难实现。对于需要与组织的其他部分比如人力资源,承包商或开发人员进行隔离的虚拟桌面来说,提供一个隔离与访问控制层非常有帮助。
SSL认证
默认情况下,VMware View基础设施中的所有组件包括vCenter Server,使用自签名证书确保SSL通道安全。作为VDI安全性的一个最佳实践,你应该使用可信的证书颁发机构创建的证书,这能够降低中间人攻击的可能性,而且避免了vSphere Client以及 View管理控制台用户在连接时收到相关的告警。
以上九大注意事项能够增强VMware View的安全性,使部署环境更容易管理。VMware的View安全强化指南以及防病毒最佳实践同样能够帮助你提升VDI及虚拟桌面的安全性。
原文链接:http://www.searchvirtual.com.cn/showcontent_54038.htm
