这很有可能是你公司最容易忽视的一件大事

蓝天二号

    提起桌面虚拟化，相信很多人都不陌生。桌面虚拟化（虚拟桌面基础设施，或VDI）是指将计算机的终端系统（桌面）进行虚拟化，以达到桌面使用的安全性和灵活性。你可以用任何设备，在任何地点，任何时间只需通过网络远程访问桌面系统，就能获得和PC完全一致的体验；管理员也只要通过借助于虚拟桌面，将所有的桌面管理收到了后端的数据中心，足不出户就能就可以轻松完成所有的管理工作。



  这种技术的普及有两大商业原因，分别为降低成本和简化系统管理任务。桌面虚拟化在带来极大便利的同时，也悄悄地带来了不安全性，用户是很难去发现和了解的，加上有些虚拟化厂家售前会刻意吹嘘虚拟化的先进性，而掩饰了其中存在的问题。

尽管传说虚拟系统天生具备安全性，但是虚拟设施所需要的保护同物理设施没有区别。目前几乎所有存在的威胁同样也能够感染虚拟机。



   传统的标准安全产品目前已无法满足虚拟环境的安全需求，主要问题来自虚拟化环境的主要优势，即节省资源。虚拟管理程序将这些资源分配给多个虚拟机使用。因此，每台虚拟机上运行的进程需要的资源越多，那基础设施能够支持的虚拟机数量就越少。此外，资源缺乏也会影响整个系统的可靠性。

  同时，每台虚拟机上都运行相同的软件，部署虚拟化基础设施的物理服务器的CPU相当于要负责执行多份一样的任务。除此之外，行为风暴问题在很多虚拟机中部署一样的软件的环境下尤其棘手。

  软件的资源消耗是不断变化的。安全产品大多数时间都处于待机状态，等待攻击的发生，但是，安全产品偶尔也需要扫描整个计算机。请想象一下所有的虚拟机中的安全软件同时开始扫描系统。会导致什么样的后果呢？会导致整个系统过载和变慢。

   为了保护虚拟化环境，卡巴斯基实验室采用了两种手段，并将其部署于卡巴斯基虚拟化安全解决方案中。第一种保护手段是卡巴斯基虚拟化安全|无代{过}{滤}理版，这种解决方案无需在虚拟机上安装任何代{过}{滤}理程序，而是在基础设施上运行，受VMwarevSphere的控制。第二种保护手段是卡巴斯基虚拟化安全|轻代{过}{滤}理版，需要在每台虚拟机上安装一个轻量（但是功能全面）的安全解决方案。这种保护手段适用于多种平台：VMware、Microsoft Hyper-V、Citrix和KVM。我们认为，轻代{过}{滤}理解决方案是保护VDI最有效的手段，因为这种保护手段支持大多数常见的桌面虚拟解决方案、CitrixXenDesktop和VMware Horizon。

   卡巴斯基虚拟化解决方案的核心是使用一台专门的虚拟机（安全虚拟机，或安全虚拟工具（SVM）），其中包含所有用于抵御网络威胁的工具。轻代{过}{滤}理版程序能够有效保护虚拟机，因为它能够直接访问虚拟机的内存和核心系统进程。代{过}{滤}理程序还能够使用高级安全技术，例如网页控制、应用程序控制和设备控制。

    内存进程管理尤其重要，因为网络罪犯会试图开发仅运行于内存中的恶意软件（无需在磁盘上存储文件）。轻代{过}{滤}理能够抵御虚拟中的这类高级攻击技巧。不仅如此，基于进程行为的追踪手段能够帮助检测采用了混淆代码（伪装或混淆代码，目的是阻碍对进程和进程算法进行分析）的恶意软件，而文件系统层面无法检测这种恶意代码。

   卡 巴斯基虚拟化安全|轻代{过}{滤}理版中还集成了自动漏洞入侵防护功能，能够避免漏洞被利用，包括零日漏洞攻击。针对虚拟机安全最有效的主动保护层为基于动态白名单的应用程序控制功能。这项技术能够拦截应用程序的启动，除非这些应用程序在系统管理员创建的可信任软件列表中，或者包含于定期更新的可信任软件云数据库中。



不仅如此，轻代{过}{滤}理程序还能够让卡巴斯基虚拟化安全解决方案检测和拦截端口扫描行为（黑客在收集目标机器数据时经常采用的手段）

在开发卡巴斯基虚拟化安全|轻代{过}{滤}理版时，我们还非常注意高效的资源管理。尤其是中央安全虚拟机（SVM）支持共享缓存，允许文件在一个节点上扫描一次，就无需再重复进行扫描（因为检测数据早已经存储在缓存中）。

卡巴斯基虚拟化安全|轻代{过}{滤}理版不仅能够提供可靠的针对虚拟化环境的保护，而且不会让基础设施过载，达到节省资源的目的。

桌面虚拟化在带来极大便利的同时，也存在着一定不安全性。因此，加强虚拟化桌面的安全保障措施，提升虚拟化桌面的信息安全保障是目前企业的当务之急。

柯林

最安全的远程管理——每一个工作环境封闭（物理隔离成内部局域网），通过电话或电报遥控指挥操作员进行相关操作

须要联通互联网采集数据的，专门备一台机子（与内部局域网物理隔离）！有本事你来攻击

蓝天二号

柯林 发表于 2016-7-18 11:44
最安全的远程管理——每一个工作环境封闭（物理隔离成内部局域网），通过电话或电报遥控指挥操作员进行相关 ...

我发现你好像这么方面很有研究。。。