打造安全的桌面虚拟化系统

桌面虚拟化是指将计算机的桌面进行虚拟化，用户可以通过任何终端设备，不受地点和时间限制，访问在网络上的属于个人的桌面系统。桌面虚拟化是一种基于服务器的计算模型，同时借用了传统的瘦客户端模型。桌面虚拟化具备两个方面的特点，一是将所有桌面虚拟机在数据中心进行托管并统一管理，二是用户能够获得完整的计算机使用体验。由于桌面虚拟化技术本身是一种利用网络、动态可伸缩的虚拟化资源计算模式，符合云计算的特点，所以也经常称桌面虚拟化技术为桌面云技术。

近年来，虚拟化桌面系统已逐步应用于各领域，特别是教育、金融等行业应用最为广泛。通过桌面虚拟化，将逐渐脱离传统的、静态的计算模式，转而迁移到动态的、灵活的、可扩展的基础架构，这种架构可轻松应对业务需求变化，还能够能大幅节约成本。

桌面虚拟化技术提升管理效率

随着服务器虚拟技术的逐步成熟，桌面虚拟化技术也经历了一个发展过程。第一代桌面虚拟化技术，将远程桌面的远程访问能力与虚拟操作系统结合了起来，使得桌面虚拟化的应用成为可能。第二代桌面虚拟化技术进一步将桌面系统的运行环境与安装环境拆分、应用与桌面拆分、配置文件拆分，从而大大降低了管理复杂度与成本，提高了管理效率。

VDI虚拟桌面架构是基于早期的RDP协议和瘦客户机逐步演变而来的，也是VMware等国外虚拟化厂商采用的模式。VDI旨在为智能分布式计算带来较好的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全。

VOI 虚拟桌面构架的实现，从桌面应用提升到了操作系统层面，与传统的VDI 设计不同之处在于终端对本机系统资源的充分利用不再依靠于GPU 虚拟化，而是直接在I/O 层实现对物理存储介质的数据重定向，以达到虚拟化的操作系统完全工作于本机物理硬件之上，从驱动程序、应用程序到各种设备均不存在远程端口映射关系，而是直接的内部地址。

天翼TVD智能桌面虚拟化，是基于X86标准计算机系统下实现桌面的集中管理、控制、存储、维护的桌面虚拟化技术。天翼TVD与VDI最大的区别在于前者使用集中管理、分布运算机制，而后者采用的是集中管理、集中计算，后者对于服务器的依赖要远远超过前者。

远程托管桌面

多台终端使用客户端软件登录到服务器，而用户在终端的显示器上获得服务器端用户的桌面图像，以及来回传送键盘和鼠标的输入信号。多用户之间共享应用程序和操作系统实例，以及磁盘空间等资源。

远程虚拟应用程序

与共享桌面不同的地方是，它只需要浏览器和标准的Web协议(HTTP、HTTPS和SSL)来创建安全连接、传输图像和数据。最终用户的机器可能处理应用程序的一些逻辑或图形，也可能只打开显示器、向服务器发送鼠标点击，具体取决于应用程序的设计。

远程托管专用虚拟桌面

用户在服务器上使用的虚拟桌面并不与其他的用户共享文件目录或应用程序，而是在该用户才能访问的虚拟桌面里面有一套独立的系统。虚拟机可以在服务器上运行，与其他专用的虚拟机共享资源;也可以在刀片PC上独自运行。既可以远程托管，也可以流式传送。

本地虚拟应用程序

应用程序从服务器下载到客户机，然后在客户机上运行，使用本地内存和处理功能。但应用程序在"沙箱"(sandbox)里面运行，而沙箱为本地机器可以进行什么操作、可连接至什么设备制定了一套规则。

本地虚拟操作系统

分为两种方式，第一种方式虚拟机管理程序可以在笔记本电脑或台式机上创建一个虚拟机，虚拟机可充当一个完全独立的单元，与虚拟机之外的客户机上的软硬件隔离开来。第二种方式，虚拟机管理程序在机器的BIOS上运行，允许用户运行多个操作系统。

桌面虚拟化存在的安全风险

通过桌面虚拟化技术实现了多样的接入方式和方便的管理模式，桌面系统的灵活性、安全性、可控制和可管理性得到了有效的保障。但从虚拟化桌面系统的整体安全角度来看，从接入层面、传输层面、管理与服务层面、数据存储层面和用户层面等各个方面，都会产生安全风险，忽略任何一个细节都会导致全局的安全问题。

对虚拟化安全的认知

桌面虚拟化技术的使用，解决了传统桌面系统固有的安全风险，使得分散的桌面系统易于管理、易于配置。但大多数用户并未意识到虚拟环境的安全性问题，也没有意识到虚拟化技术同样可以带来安全风险。桌面虚拟化技术在带来大量安全性的同时，将不安全性更加隐藏起来，使得用户更难以发现桌面虚拟化技术背后深层次的安全问题。

接入层面的安全问题

在桌面虚拟化技术的应用环境中，只要有访问权限，任何智能终端都可以访问服务端的桌面环境，即随时随地的系统访问。如果单纯的依靠用户名和口令作为合法用户身份认证，一旦用户名和口令泄露就意味着非授权用户可以在任何位置访问到桌面系统，并获取相关数据。

传输层面的安全问题

由于虚拟桌面需要在网络上进行大量的文件迁移，文件迁移过程使得在局域网内的用户容易产生信息泄露。同时大量的文件系统迁移对网络性能要求很高，还使得在迁移过程中的不确定性被增加了。

同时用户在进行远程桌面系统调用时，并非所有的智能终端都支持相应的VPN技术。

管理与服务层面的安全问题

在桌面虚拟化技术的架构中，后台服务器端通常会采用横向扩展的方式，在大并发的使用环境下，系统前端会使用负载均衡器，将用户的连接请求发送给当前仍有剩余计算能力的服务器处理，这种架构很容易遭到分布式拒绝攻击。

由于采用虚拟化技术集中了核心数据资源，使得管理员认为只关注核心数据资源就可以保障虚拟化桌面的整体安全，但是由于没有集中审计和访问控制措施，使得每个虚拟化桌面客户端没有权限的差别，在这种工作环境中，不得不考虑的风险就是低级别的虚拟化桌面越过权限访问高级别的虚拟化桌面数据空间。

数据存储层面的安全问题

采用桌面虚拟化技术之后，所有的信息都会存储在后台的磁盘阵列中，为了满足文件系统的访问需要，一般会采用NAS架构的存储系统。这种数据存储方式使得管理员对核心数据的控制力度过大，以前需要从多台电脑上获得的数据现在较容易就可以获得了，而且数据是集中存储的。管理员的权限增加带来的风险使得管理员进行泄密和破坏的成本降到最低，即便是数据进行了加密，管理员也可以将整盘数据进行拷贝，然后再进行破解。

用户层面的安全问题

使用桌面虚拟化技术后，用户的桌面特性被统一化和定制化，但在很多情况下各个用户的软件需求不同，各个业务部门的软件需求也不同，虚拟化的桌面特性只能满足部分人员和部门的需求。如果满足所有用户的需求就需要尽可能的增加镜像文件的容量，管理员将面临着虚拟主机的快速增长，造成对虚拟化桌面系统的管理非常困难，同时虚拟机的利用率也有很大程度的降低，每个用户面对的多数是自己无用的程序。

保障桌面虚拟化的安全

鉴于桌面虚拟化存在多个层面的安全问题，可以从以下几个方面加强桌面虚拟化的安全保障。

加强用户身份认证

为保障用户接入的安全，虚拟化桌面系统需具备更加严格的终端身份认证机制，需支持丰富的认证、鉴权模式。虚拟化桌面系统采用LDAP等实现用户身份认证，并与上网行为管理系统相结合，实现基于用户、用户组、地址段等的用户访问互联网行为的监管。同时，桌面虚拟化系统支持用户通过瘦终端、物理PC等，采用外接智能卡方式，实现用户远程接入的身份认证。

此外，通过限定MAC地址对允许访问虚拟化桌面系统的客户端进行一个范围限定，虽然牺牲了一定灵活性，但可以大幅提升用户的可控性。

建立健全的访问控制机制

需要在虚拟机的内部和外部建立完善的权限和访问控制机制，建立集中和合理化访问控制方法，以减少冗余和效率低下。提供细化的访问控制粒度，以适应虚拟资源类型、用户角色和访问控制协议。进一步保证每个虚拟机的权限和资源访问能力，应该建立基于虚拟机的程序控制列表，使得每台虚拟化桌面可以访问不同的应用程序，可以获得不同的虚拟化桌面。

虚拟化桌面系统盘支持差分模式和独立运行模式，差分模式允许用户在共享系统盘的基础上，保留自己的私有数据，包括应用和系统数据;独立运行模式不允许用户修改系统盘，所有的修改在虚拟桌面重启后均会丢失。任何人员(包括管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息。

实现传输通道的安全保护

可以通过硬件建立虚拟桌面的加密传输通道，保证系统在迁移的过程中不会被“整盘拷贝”。为远程接入设备提供安全连接点，供在防火墙保护以外的设备远程接入，智能终端等设备一般可采用专业安全厂商提供的定制化VPN技术。同时虚拟化桌面和服务端的通讯可以通过SSL协议进行传输加密，确保整体传输过程中的安全性。

提高数据集中存储的安全性

桌面虚拟化技术中对集中存储的保护是最重要的部分，一旦集中存储遭到破坏，整个虚拟架构就会受到严重的影响。在虚拟桌面的环境中，一般采用专业的加密设备进行加密存储的方式，并且为了满足合规规范的要求，加密算法应当可以由用户指定。同时，在数据管理上需要考虑三权分立的措施，即需要系统管理员、安全审核员和数据所有人同时确认才能够允许信息的发送，这样可以实现主动防泄密。此外，还需要通过审计方式确保所有操作的可追溯性。

加强运维管理的安全性

建立完善的管理员配置审计和用户日志审计手段，使得管理员的行为和用户的行为都有详细的审计记录，从而保证每个用户的行为有据可查。

桌面虚拟化技术应支持两类系统管理员的管理，一类是系统业务维护管理员，负责进行创建虚拟化桌面，附加和解除用户关系，修改、注销、查看虚拟桌面，桌面资源计算等工作。另一类是系统日志管理员，负责对用户和系统业务维护管理员使用桌面虚拟化系统的日志记录的查看、审计等工作;

要求两类管理员严格独立，系统业务维护管理员的任何操作均需产生日志，并由系统日志管理员统一管理。

提高系统运行的可靠性

虚拟化桌面系统的稳定运行主要依靠服务器、存储系统、业务网络、系统软件和虚拟桌面资源池的可靠性进行保障。具体的可靠性保障包括：

服务器和存储系统均需具备电信级的可靠性。

通过网络架构和路由协议，保证系统的网络可靠性，包括：无单点故障、有丰富的路由、有相应安全技术保障等。

所有软件系统均需采用负载均衡、主/备份等方式实现，单个部件故障对业务无影响。

虚拟桌面以资源池的方式进行管理，单个主机/部件发生故障时，在其上使用的用户只需重新登录，即可重新进行资源分配，实现用户的迁移。

系统管理软件运行在虚拟机上，并实现HA功能，虚拟机发生故障时可自动进行迁移。

当前虚拟化技术主要包括服务器虚拟化、应用虚拟化和桌面虚拟化等，其中桌面虚拟化技术是当前发展最快、最具应用前景的技术。桌面虚拟化技术可以在数据中心集中应用软件，从而简化治理、充分利用硬件资源以及尽量减少软件冲突等。由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。用户可以灵活访问与普通桌面功能相同的虚拟桌面。

桌面虚拟化技术在带来极大便利的同时，也悄然的引进了不安全性，作为用户是极难去发现和了解。因此,加强虚拟化桌面系统的安全保障措施的实施，提升虚拟化桌面系统的信息安全保障能力是政府部门、企事业单位的当务之急。