九大措施確保VMware View安全

作者：Brian Knudtson 2011-10-19 09:35:51

云計算

虛擬化 VMware View的安全對虛擬桌面至關(guān)重要。你可以使用眾多的與保護物理桌面最佳實踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進行一些額外的考慮。

創(chuàng)新互聯(lián)成立于2013年，先為東昌等服務(wù)建站，東昌等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為東昌企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

　　VMware View的安全對虛擬桌面至關(guān)重要。你可以使用眾多的與保護物理桌面最佳實踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進行一些額外的考慮。

　　防病毒軟件

　　對許多虛擬環(huán)境來說，防病毒當然是VMware View安全的一個重要組件。但是防病毒是少有的不能使用VMware ThinApp這類產(chǎn)品進行虛擬化的應(yīng)用之一，因此防病毒軟件必須使用基礎(chǔ)鏡像安裝。對于基于View Composer的資源池來說，你可以很輕松地使用最新的防病毒程序?qū)μ摂M機進行更新，然后重組整個資源池。對于單個虛擬桌面來說，你通?？梢圆捎门c物理桌面相同的方式對虛擬桌面進行防病毒管理。

　　為減少對內(nèi)存、CPU和磁盤的使用，一些管理員在虛擬桌面中放棄了防病毒。如果你在基礎(chǔ)設(shè)施中其他的所有環(huán)節(jié)實施了恰當?shù)腣DI安全，那么這一風險可以接受。確保VDI安全的其他措施包括了過濾潛在的惡意網(wǎng)站，對文件服務(wù)器和郵件服務(wù)器進行防病毒掃描，恰當?shù)倪吔绨踩鹊取?/p>

　　不用安裝防病毒軟件仍能夠提升VMware View安全的更好方式是使用VMware提供的vShield Endpoint，它卸載了虛擬機和虛擬設(shè)備上的防病毒進程。使用vShield Endpoint，單一的定義更新會自動保護所有的虛擬桌面，不必對整個資源池進行重組。vShield Endpoint同樣將用于提供防病毒功能的系統(tǒng)資源進行了集中化，減少了對系統(tǒng)資源的使用。

　　防火墻

　　VDI的安全性原則實際上并不要求管理員在每個本地桌面上運行防火墻，但是引入VMware View后可能需要對網(wǎng)絡(luò)防火墻規(guī)則進行改變。在VMware知識庫文章中對VMware View不同組件之間可能必需的一些防火墻規(guī)則進行了概括。你必須創(chuàng)建或更改的最為常見的規(guī)則就是與DMZ區(qū)域中組件相關(guān)的規(guī)則,DMZ區(qū)域中的組件包括VMware View 安全服務(wù)器及傳輸服務(wù)器。

　　遠程訪問

　　即使用戶通過遠程訪問基礎(chǔ)設(shè)施，確保VMware View的安全仍舊是可能的。DMZ不允許終端用戶的設(shè)備直接訪問安全網(wǎng)絡(luò)，為終端用戶提供了一個進入基礎(chǔ)設(shè)施的一個連接點，通過將一個或多個安全服務(wù)器放入DMZ中就可以達到最好的桌面安全性。

　　如果你想將訪客隔離至不能與安全網(wǎng)絡(luò)進行通信的網(wǎng)段中，那么這一安全措施同樣有效，此時虛擬桌面具有完全的網(wǎng)絡(luò)訪問權(quán)限。

　　補丁與更新

　　虛擬桌面操作系統(tǒng)內(nèi)部經(jīng)過簡化的補丁與更新是VDI相對于復(fù)雜的物理桌面的一個主要優(yōu)勢。通過更新父鏡像，進行測試，然后重組資源池，你就可以快速、可靠地將虛擬桌面更新至最新版本。

　　雙因素認證

　　VMware View對智能卡以及RSA SecurID提供了內(nèi)置支持。在使用智能卡進行身份認證時，如果移除智能卡連接將自動中斷，這確保了良好的桌面安全性。這一情景在醫(yī)療保健領(lǐng)域非常流行，一旦護士離開病人的房間，便會自動終止該護士的會話。

　　傳遞驗證

　　默認情況下，用戶登錄到VMware View 基礎(chǔ)設(shè)施后就能夠登錄到虛擬桌面，即使在使用雙因素認證機制時也是如此。傳遞認證提供了更加平滑的終端用戶體驗。然而，如果VMware View的安全性是一個關(guān)注點，你可能希望強制用戶兩次輸入憑證或者要求用戶使用一個與訪問VMware 基礎(chǔ)設(shè)施不同的單獨帳戶登錄到虛擬桌面上。為了禁用傳遞驗證，在VMware View 代理 AMD模板中將AllowSingleSignon選項設(shè)置為禁用，然后應(yīng)用到你的虛擬桌面即可。

　　USB和打印機重定向

　　同樣可以在VMware基礎(chǔ)設(shè)施，桌面資源池或單個用戶策略中禁用USB與打印機的重定向。由于數(shù)據(jù)不能被拷貝至本地便攜存儲設(shè)備或者打印到不安全的打印機，該設(shè)置提升了VMware View的安全性。

　　隔離桌面池

　　在vSphere中使用vShield Edge擴展組件，管理員能夠?qū)ψ烂娉剡M行隔離。隔離為VDI安全性提供了一個附加層，而這一措施通常在物理桌面部署中很難實現(xiàn)。對于需要與組織的其他部分比如人力資源，承包商或開發(fā)人員進行隔離的虛擬桌面來說，提供一個隔離與訪問控制層非常有幫助。

　　SSL認證

　　默認情況下，VMware View基礎(chǔ)設(shè)施中的所有組件包括vCenter Server，使用自簽名證書確保SSL通道安全。作為VDI安全性的一個最佳實踐，你應(yīng)該使用可信的證書頒發(fā)機構(gòu)創(chuàng)建的證書，這能夠降低中間人攻擊的可能性，而且避免了vSphere Client以及 View管理控制臺用戶在連接時收到相關(guān)的告警。

　　以上九大注意事項能夠增強VMware View的安全性，使部署環(huán)境更容易管理。VMware的View安全強化指南以及防病毒最佳實踐同樣能夠幫助你提升VDI及虛擬桌面的安全性。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_54038.htm

網(wǎng)站名稱：九大措施確保VMwareView安全
本文鏈接：http://www.dlmjj.cn/article/djeggje.html