九大措施確保VMware View安全

作者：Brian Knudtson 2011-10-19 09:35:51

云計(jì)算

虛擬化 VMware View的安全對(duì)虛擬桌面至關(guān)重要。你可以使用眾多的與保護(hù)物理桌面最佳實(shí)踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進(jìn)行一些額外的考慮。

創(chuàng)新互聯(lián)成立于2013年，先為東昌等服務(wù)建站，東昌等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢(xún)服務(wù)。為東昌企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

　　VMware View的安全對(duì)虛擬桌面至關(guān)重要。你可以使用眾多的與保護(hù)物理桌面最佳實(shí)踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進(jìn)行一些額外的考慮。

　　防病毒軟件

　　對(duì)許多虛擬環(huán)境來(lái)說(shuō)，防病毒當(dāng)然是VMware View安全的一個(gè)重要組件。但是防病毒是少有的不能使用VMware ThinApp這類(lèi)產(chǎn)品進(jìn)行虛擬化的應(yīng)用之一，因此防病毒軟件必須使用基礎(chǔ)鏡像安裝。對(duì)于基于View Composer的資源池來(lái)說(shuō)，你可以很輕松地使用最新的防病毒程序?qū)μ摂M機(jī)進(jìn)行更新，然后重組整個(gè)資源池。對(duì)于單個(gè)虛擬桌面來(lái)說(shuō)，你通?？梢圆捎门c物理桌面相同的方式對(duì)虛擬桌面進(jìn)行防病毒管理。

　　為減少對(duì)內(nèi)存、CPU和磁盤(pán)的使用，一些管理員在虛擬桌面中放棄了防病毒。如果你在基礎(chǔ)設(shè)施中其他的所有環(huán)節(jié)實(shí)施了恰當(dāng)?shù)腣DI安全，那么這一風(fēng)險(xiǎn)可以接受。確保VDI安全的其他措施包括了過(guò)濾潛在的惡意網(wǎng)站，對(duì)文件服務(wù)器和郵件服務(wù)器進(jìn)行防病毒掃描，恰當(dāng)?shù)倪吔绨踩鹊取?/p>

　　不用安裝防病毒軟件仍能夠提升VMware View安全的更好方式是使用VMware提供的vShield Endpoint，它卸載了虛擬機(jī)和虛擬設(shè)備上的防病毒進(jìn)程。使用vShield Endpoint，單一的定義更新會(huì)自動(dòng)保護(hù)所有的虛擬桌面，不必對(duì)整個(gè)資源池進(jìn)行重組。vShield Endpoint同樣將用于提供防病毒功能的系統(tǒng)資源進(jìn)行了集中化，減少了對(duì)系統(tǒng)資源的使用。

　　防火墻

　　VDI的安全性原則實(shí)際上并不要求管理員在每個(gè)本地桌面上運(yùn)行防火墻，但是引入VMware View后可能需要對(duì)網(wǎng)絡(luò)防火墻規(guī)則進(jìn)行改變。在VMware知識(shí)庫(kù)文章中對(duì)VMware View不同組件之間可能必需的一些防火墻規(guī)則進(jìn)行了概括。你必須創(chuàng)建或更改的最為常見(jiàn)的規(guī)則就是與DMZ區(qū)域中組件相關(guān)的規(guī)則,DMZ區(qū)域中的組件包括VMware View 安全服務(wù)器及傳輸服務(wù)器。

　　遠(yuǎn)程訪問(wèn)

　　即使用戶(hù)通過(guò)遠(yuǎn)程訪問(wèn)基礎(chǔ)設(shè)施，確保VMware View的安全仍舊是可能的。DMZ不允許終端用戶(hù)的設(shè)備直接訪問(wèn)安全網(wǎng)絡(luò)，為終端用戶(hù)提供了一個(gè)進(jìn)入基礎(chǔ)設(shè)施的一個(gè)連接點(diǎn)，通過(guò)將一個(gè)或多個(gè)安全服務(wù)器放入DMZ中就可以達(dá)到最好的桌面安全性。

　　如果你想將訪客隔離至不能與安全網(wǎng)絡(luò)進(jìn)行通信的網(wǎng)段中，那么這一安全措施同樣有效，此時(shí)虛擬桌面具有完全的網(wǎng)絡(luò)訪問(wèn)權(quán)限。

　　補(bǔ)丁與更新

　　虛擬桌面操作系統(tǒng)內(nèi)部經(jīng)過(guò)簡(jiǎn)化的補(bǔ)丁與更新是VDI相對(duì)于復(fù)雜的物理桌面的一個(gè)主要優(yōu)勢(shì)。通過(guò)更新父鏡像，進(jìn)行測(cè)試，然后重組資源池，你就可以快速、可靠地將虛擬桌面更新至最新版本。

　　雙因素認(rèn)證

　　VMware View對(duì)智能卡以及RSA SecurID提供了內(nèi)置支持。在使用智能卡進(jìn)行身份認(rèn)證時(shí)，如果移除智能卡連接將自動(dòng)中斷，這確保了良好的桌面安全性。這一情景在醫(yī)療保健領(lǐng)域非常流行，一旦護(hù)士離開(kāi)病人的房間，便會(huì)自動(dòng)終止該護(hù)士的會(huì)話。

　　傳遞驗(yàn)證

　　默認(rèn)情況下，用戶(hù)登錄到VMware View 基礎(chǔ)設(shè)施后就能夠登錄到虛擬桌面，即使在使用雙因素認(rèn)證機(jī)制時(shí)也是如此。傳遞認(rèn)證提供了更加平滑的終端用戶(hù)體驗(yàn)。然而，如果VMware View的安全性是一個(gè)關(guān)注點(diǎn)，你可能希望強(qiáng)制用戶(hù)兩次輸入憑證或者要求用戶(hù)使用一個(gè)與訪問(wèn)VMware 基礎(chǔ)設(shè)施不同的單獨(dú)帳戶(hù)登錄到虛擬桌面上。為了禁用傳遞驗(yàn)證，在VMware View 代理 AMD模板中將AllowSingleSignon選項(xiàng)設(shè)置為禁用，然后應(yīng)用到你的虛擬桌面即可。

　　USB和打印機(jī)重定向

　　同樣可以在VMware基礎(chǔ)設(shè)施，桌面資源池或單個(gè)用戶(hù)策略中禁用USB與打印機(jī)的重定向。由于數(shù)據(jù)不能被拷貝至本地便攜存儲(chǔ)設(shè)備或者打印到不安全的打印機(jī)，該設(shè)置提升了VMware View的安全性。

　　隔離桌面池

　　在vSphere中使用vShield Edge擴(kuò)展組件，管理員能夠?qū)ψ烂娉剡M(jìn)行隔離。隔離為VDI安全性提供了一個(gè)附加層，而這一措施通常在物理桌面部署中很難實(shí)現(xiàn)。對(duì)于需要與組織的其他部分比如人力資源，承包商或開(kāi)發(fā)人員進(jìn)行隔離的虛擬桌面來(lái)說(shuō)，提供一個(gè)隔離與訪問(wèn)控制層非常有幫助。

　　SSL認(rèn)證

　　默認(rèn)情況下，VMware View基礎(chǔ)設(shè)施中的所有組件包括vCenter Server，使用自簽名證書(shū)確保SSL通道安全。作為VDI安全性的一個(gè)最佳實(shí)踐，你應(yīng)該使用可信的證書(shū)頒發(fā)機(jī)構(gòu)創(chuàng)建的證書(shū)，這能夠降低中間人攻擊的可能性，而且避免了vSphere Client以及 View管理控制臺(tái)用戶(hù)在連接時(shí)收到相關(guān)的告警。

　　以上九大注意事項(xiàng)能夠增強(qiáng)VMware View的安全性，使部署環(huán)境更容易管理。VMware的View安全強(qiáng)化指南以及防病毒最佳實(shí)踐同樣能夠幫助你提升VDI及虛擬桌面的安全性。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_54038.htm

本文題目：九大措施確保VMwareView安全
網(wǎng)站網(wǎng)址：http://www.5511xx.com/article/djeggje.html