尽管桌面虚拟化的BYOD安全效益,但它仍不是防止数据泄露的最好方法。要真正有一个安全的运行环境,你需要有严格控制数据访问控制的方法。
实现桌面虚拟化架构(VDI)可以解决一些BYOD安全问题,因为应用程序虽然是在客户机上运行,但实际上是部署在公用服务器上的,客户机上使用的是经过虚拟化部署的虚拟应用。这有助于防止侵入性的攻击,例如那些寄生在公共服务器程序中的病毒,当病毒离开公共服务器的,攻击就失效了。
面向BYOD安全的虚拟化桌面架构
对经常过时的IT设备和诸多的单位计算机的限制等不满的最终用户现在已经开始携带他们自己熟悉的设备去工作:例如iPad, iPhone,移动设备,MacBook,安卓设备等等。但是,当他们从这些设备访问公共的服务器(如Microsoft Excel电子表格,Adobe PDF文件等),网络就很难控制。即使用户只需简单从一个安全的公共环境发送一封电子邮件到其他人的个人设备,就可能导致BYOD的安全问题。
为了减轻这些风险,一些机构转向虚拟化部署,通常只是会话虚拟化,用户在公用服务器上运行程序。许多公司试用虚拟化桌面架构或基于计算机的传统服务器(如微软远程桌面服务和Citrix XenApp)。
为什么VDI无法完全杜绝安全问题
BYOD的安全问题不只是外部的威胁,数据溢出是另一个主要的安全问题,千里之堤毁于蚁穴,假如服务器被外部的计算机人员掌握,就很可能处于危险之中。
对于使用VDI的BYOD来说,不能只做好BYOD本身的安全问题。一旦部署了虚拟程序的和VDI桌面的服务器被病毒感染,那么BYOD的安全问题就很严重了,因为病毒会随着网络传播到客户机上,这时候本机就像完全不设防一样。
更多BYOD的安全问题:
VDI虚拟桌面可以让BYOD更加安全,但管理员经常忽略了将数据修改的权限集中于服务器的重要性。一旦用户可以连接到服务器,通过本地客户机打开或者修改文件。比如,如果你在客户机的Outlook建立一个规则,把你所有能接收的email都指向一个外部账户,你就可以把服务器上的数据都发送到安全网络之外。
这种数据泄露的后果有时候比病毒严重得多,所以你必须严格控制服务器数据的访问权限。
控制数据访问的方法
服务器上的数据很容易产生反弹式的泄露,病毒或者恶意程序会把数据从服务器内部发送到服务器外部,更甚者会产生0day漏洞的攻击。为了预防这些漏洞的产生,管理员必须严格控制好端口转发,白名单,可信任列表等。
要进一步控制数据的访问,管理员就得把控制好应用程序的执行。如限制程序的执行范围和执行时间,哪些客户端可以使用哪些应用程序,限制客户端通过内部网络可访问的外部网络等。
BYOD的安全问题需要管理员有主动防御的意识,而不是等到发生了问题再去不断地修复。所以管理员必须要对BYOD的安全有很好的了解,才能做到防范于未然。
