在VDI环境中,管理员需要确保组织对恶意软件的防护,但是这个过程并不包含可能会引起问题的杀毒软件。
对于虚拟桌面基础设施(VDI)中的恶意软件防护问题,目前还没有被大家普遍接受的标准。每个VDI供应商都使用自己的方式来实施防护计划,所以现在VDI环境中还没有明确的、详细的教程来讲解如何部署恶意软件防护方案。但是,总体来说有三个方面需要进行防护——VDI服务器、虚拟桌面镜像和用户配置文件夹。
VDI服务器防护
在大多数情况下,你都可以使用保护其他服务器的方法和技术来保护VDI服务器。然而,这个准则中一个最大的例外是,对于运行虚拟桌面的hypervisor需要进行特别的考虑。
此外,根据使用的供应商和产品的不同,具体情况也会存在很大差异。即便是这样,在恶意软件扫描流程中也需要排除一些流程和文件夹。比如,在微软的环境中,你必须排除所有构成虚拟桌面的虚拟硬盘。还有一些特定的系统文件夹需要被排除。根据使用的特定hypervisor类型来查询文档以决定你的恶意软件防护需求。
保护虚拟桌面镜像
除此之外,镜像保护的方式依赖于你正在使用的产品,但是通常最简单的方式可能是将杀毒软件直接安装到虚拟桌面镜像中。即便如此,这种方式也不总是最好的方案。首先,扫面过程会影响虚拟桌面的性能表现。其次,需要保持杀毒软件的实时更新。
通常在VDI环境中,虚拟桌面镜像都是静态的。每台单独的虚拟桌面都使用连接到静态虚拟桌面镜像的差分磁盘。在这种情况下,虚拟桌面镜像面临着一些被感染的风险,因为镜像是只读的。因此,需要在将镜像投入到生产环境之前对其进行扫描,而不是尝试在运行过程当中对其进行监测。
保护用户配置文件夹
对于恶意软件防护来说,用户配置目录是到目前为止最为困难的一部分。这些目录存储了终端用户创建的所有文件和文件夹。通常,用户个人配置目录被存放在差分磁盘上。
在用户配置目录当中通常有两种潜在的恶意软件问题主要来源。首先,其中包含了用户自己的文档。其次,用户的浏览器缓存也可能成为感染源。
你可以使用多种技术来保护用户个人配置目录,但是有一种最好的方式。使用这种方式,数据文件被重定向到文件服务器或者用户存储设备的SharePoint服务器(服务器包含了自己的恶意软件防护措施)上。这样可以防止任何实际的数据存储在用户配置文件当中。
因为并没有数据存储在用户配置目录当中,在所有VDI会话结束时,差分磁盘上存储的用户配置文件会被清空。通过这种方式,任何可能从互联网上下载的恶意文件都会在会话结束时和浏览器缓存中的其他内容一起被清除。因此,用户每次建立连接时获得的都是最初的状态。
要记得这只是保护用户配置文件的一种方式,其并不适用于所有情况。对于需要更高安全等级的组织来说,应该忽略性能因素,而在单独的虚拟机内运行防恶意软件。
保护虚拟机不受恶意软件攻击是一种平衡的艺术。需要在安全和性能之间保持平衡。总之,你必须通过某种方式实现恶意软件防护,避免底层的虚拟化主机受到影响。
