探索中国CIO人才现状 | 第四季调研报告
桌面即服务:隐藏的风险与机遇
2014-12-01  来源:techtarget

虚拟技术和云服务正不断发展,并且,随着时间的推移,云计算开始获得认可,因为它带来更低的成本、更好的灵活性和更低的运营开销,这也让很多企业开始试图扩展云计算模式以求在其他领域实现同样的好处。

其中特别有趣的做法是扩展云计算模式到虚拟桌面基础架构(VDI),即“桌面即服务”。虽然从企业和用户体验的角度来看,这个概念很有趣,但从安全的角度来看,这会带来很多风险。有些人认为云托管VDI在安全方面具有挑战性;有些人(特别是供应商社区)则驳斥了这种说法,声称这种模式其实可以提高安全性。

很多人都在和你一样在想“到底是怎样?”。这种矛盾的说法可能会让正在考虑是否部署的企业更加伤脑筋。并且,与很多事物一样,这并不是非此即彼;在有些情况下,桌面即服务不利于安全性,而有些情况也可能提高安全性。这取决于你的企业如何、在哪里以及为什么使用它。

何谓桌面即服务?

在我们讨论它的安全特性时,我们有必要花点时间谈谈“桌面即服务”的定义。桌面即服务是指云托管的多租户虚拟桌面,它具有自动化功能,例如自动配置(例如在用户或组级别)、软件许可证管理自动化、性能监控等。

与任何云计算一样,桌面即服务可以由内部服务提供商部署和提供(即使用由内部组集中部署的技术),外部服务提供商也可以提供这种商业服务。后者中知名产品包括Amazon WorkSpaces、VMware Horizon DaaS(原为Desktone)以及(即将推出的)微软Azure RemoteApp。

桌面即服务的概念在于,你的企业可以像使用任何其他云服务一样使用VDI:对要使用的部分获得许可,并且,割让底层技术的部分管理给供应商。在这种技术的具体情况中,供应商通常会维护部分应用基础、操作系统和支持基础设施的管理,部分存储(不过,根据不同的部署,这可能可以利用现有存储),以及连接到虚拟桌面的机制。

安全优劣一览

与任何其他企业云部署一样,桌面即服务可能会对安全产生正面或负面的影响。

这个道理几乎是不言而喻的,但在客户方面,应该进行一定程度的尽职调查,以确保云计算的正确使用,以及特定云服务提供商适合你的企业的安全需求。例如,你应该评估服务提供商,讨论(或者可能需要协商)在什么情况下他们需要访问你企业的数据,询问安全流程的问题(例如打补丁、网络安全、监控和整体安全情况),评估供应商的财务状况以确保他们在正常运营,询问有关数据/实例所有权以避免锁定等。对于任何云计算供应商都应该做这些事情,而不只是桌面即服务提供商。

然而,桌面即服务在有些方面不太相同,并且在你部署之前你需要做的事情也略有不同。首先也是最重要的是,了解数据和应用将如何提供给虚拟工作区的用户。请记住,员工会像使用其办公室桌面相同的应用以及访问相同的数据。这种访问将如何进行?内部托管的业务应用能否支持远程托管基础设施上的虚拟桌面?你将如何授权这些应用,你的用户将如何(或者根据服务提供商,“如何能够”)访问企业存储?这些都是应该提前详细探讨的事项。

其次,你的安全团队还应该考虑身份验证和访问控制方案,来确定特定供应商是否将满足企业需求;数据泄露事故或未经授权登录服务不仅将影响个人用户的系统,还会影响整个VDI。例如,你是否对某些用户(例如管理员)有多因素身份验证的要求?如果是这样,请记住,并不是每个服务提供商都支持多因素身份验证。如果你对远程访问有多因素身份验证要求(例如,在PCI监管环境),而你选择不提供该功能的服务提供商时,你是否会招致监管风险?你的环境是否让你能够明确哪些用户可访问哪些应用?例如,当涉及到软件许可时,这是很重要的考虑因素。

这就是说,虽然有些情况还需要严格审查,但也有些情况下,从安全角度看,桌面即服务是有利的。例如,业务连续性。在断电的情况下,虚拟环境可能会继续保持运行—如果环境中有所有员工需要访问的应用,这会是非常有吸引力的业务连续性/灾难恢复工具。

此外,对于对数据访问有着严格要求的企业,云托管的VDI可能听起来很可怕,但可以考虑其替代方案。用户不能下载和访问在移动设备或远程机器的敏感数据,你现在可以选择要求企业数据位于内部,而只输出访问的方法(虚拟工作区)。在这种情况下,桌面即服务可以帮助执行数据保护机制。

最后,考虑安全措施活动对大多数企业支持团队的困难度。漏洞修复、维护反恶意软件、监控等,这些任务都需要很多的精力,以及昂贵的技术投资。使用虚拟桌面环境可以帮助确保从始至终使用强大的硬化的标准化的镜像。

从安全的角度来看,桌面即服务真正改变了游戏规则。当然它也有优势(这是应该考虑的范畴),但真正重要的是使用情况和尽职调查。桌面即服务可以是你的工具箱中非常强大的工具,然而最终,你的规划将决定部署桌面即服务的最佳方式,以确保它满足你企业的安全需求。