VDI 是組織尋求降低成本、實現運營敏捷性和增加收入等,最受歡迎的虛擬化技術之一。對於許多企業而言,實體端點設備在管理、軟體修補和防範網路威脅方面,流程非常繁瑣。另一方面,VDI可以讓 IT 管理人員,為用戶提供集中管理的桌面環境及資源。不僅在筆記型電腦上,在任何具有顯示器的設備上幾乎都沒問題。無論使用者從何處發動存取連線,VDI 都可以集中和安全的方式存取和管理資訊。但這並不意味著資安管理部門,可以忽略監視使用者及系統的活動,疏忽了識別其他安全威脅的可能。別忘了,VDI 裡面也可能有被惡意程式破壞,也可能外洩資訊,這些是VDI沒有能力完全自行解決的議題。
VDI 可能面臨的挑戰
執行應用程式本身就具備一定風險,不論它是在端點的作業系統中、雲端,還是在虛擬桌面上被執行。即便傳統的資安解決方案也大多可以應用在VDI上,例如防毒軟體在Desktop 模式與一般端點設備或VM 運作方式無異。但是由於並未針對VDI 環境最佳化,可能會產生不良影響。例如開機啟動效能,可能因為架構造成更新障礙。這導致管理上無止盡手動調整的不便,用戶端的工作效率也不彰。事實上,過當部署的安全解決方案,會使 IT 決策者對其安全性有錯誤認知。
在存取控制上面,VDI 本身也提供了裝置存取控制,搭配閘道端的網路存取控制;還有產品具備了實境錄影,將使用者操作活動及命令記錄下來,以便還原重現場景。
為了防禦虛擬環境受到將來的威脅,組織需要一種解決方案,不僅可以在 VM 內提供足夠安全保護,還須保護虛擬桌面受到作業系統外部 (Host OS) 的影響,並同時實現整合一體的管理和增進營運效率。這代表著,不單單是虛擬桌面,虛擬APP,連同提供平台的作業系統,也必須被保護。
一個好的 VDI 安全解決方案,應使用輕量級的用戶端安全工具,並且有效管理與調適分配資源。這意味著讓桌面應用程式有更多的執行運算資源,減少反應延遲並改善用戶體驗。
VDI 在資安上的先天優勢
VDI 最初構想是源自於可用性和可回復性為主要設計目標,將虛擬桌面重點放在持續維運上面。但可以把VDI想像成有一種限度保護的隔離環境,的確先天具備一定程度的安全性。萬一有任何問題,直接銷毀VM防止擴散;或者切斷虛擬交換器,用虛擬防火牆隔離等。這類的隔離防擴散機制確實比實體環境要方便許多。
但就以使用者內部威脅,或應用程式弱點被利用這方面觀點來看;其面臨的風險與一般端點電腦並無二致。在桌面產生之初,就依已分配好的政策生成VM,確實限制了使用者可以使用的內容,這方面比起準備實體機要方便得多。如果使用適當的端點防護軟體,實體機一樣具備相同效果。
VDI 其他防護上的挑戰
- 使用者裝置
當我們推行VDI時,預計可能用戶端的裝置是哪一種? 可能是公司配發的Thin Client,可能是合作廠商的個人電腦,可能是公司外出業務的NB。在遠距上班需求下,更可能是員工自家的裝置。
- 資料的使用與存放
虛擬桌面在使用期間,免不了會有資料往來。VDI系統可以限制存取,限制儲存到實體裝置,達到資料不落地的目的。但面對業務上的往來,還是會有必要的輸出。也就是說政策上合法存取的行為,應該具備稽核手段,保留稽核記錄。
- 記錄與證據保全
不論是否採用VDI方案,不只是限制作業就可以解決;必要的業務活動還是得正常運作。在任何可能的外洩、不當存取檔案、應用程式活動、作業系統活動等,應該留下可靠的相關記錄。虛擬桌面應用上大多會重置到發佈狀態,當時的事件記錄已不復存在。採用方案考慮記錄應該集中保存,將來稽核檢討、追蹤軌跡,甚至資安事件調查才有依據。
- 適合的安全防護解決方案
大多數的解決方案適用於一般實體設備,少有專為VDI環境設計的方案。二者處理方式大不相同。業界大廠也開發專為虛擬桌面環境的防護方案,並不需要在每一個VM中安裝代理程式(Agent),而是在Hypervisor 之上或虛擬閘道上進行處理。這意味著,面臨相同規模的資安問題,VDI上的方案選擇要比實體設備少的很多。再者除了Desktop,還需考慮支援APP模式。