打造“虚拟化”桌面的安全措施

远程托管桌面

多台终端使用客户端软件登录到服务器，而用户在终端的显示器上获得服务器端用户的桌面图像，以及来回传送键盘和鼠标的输入信号。多用户之间共享应用程序和操作系统实例，以及磁盘空间等资源。

远程虚拟应用程序

与共享桌面不同的地方是，它只需要浏览器和标准的Web协议(HTTP、HTTPS和SSL)来创建安全连接、传输图像和数据。最终用户的机器可能处理应用程序的一些逻辑或图形，也可能只打开显示器、向服务器发送鼠标点击，具体取决于应用程序的设计。

远程托管专用虚拟桌面

用户在服务器上使用的虚拟桌面并不与其他的用户共享文件目录或应用程序，而是在该用户才能访问的虚拟桌面里面有一套独立的系统。虚拟机可以在服务器上运行，与其他专用的虚拟机共享资源;也可以在刀片PC上独自运行。既可以远程托管，也可以流式传送。

本地虚拟应用程序

应用程序从服务器下载到客户机，然后在客户机上运行，使用本地内存和处理功能。但应用程序在"沙箱"(sandbox)里面运行，而沙箱为本地机器可以进行什么操作、可连接至什么设备制定了一套规则。

本地虚拟操作系统

分为两种方式，第一种方式虚拟机管理程序可以在笔记本电脑或台式机上创建一个虚拟机，虚拟机可充当一个完全独立的单元，与虚拟机之外的客户机上的软硬件隔离开来。第二种方式，虚拟机管理程序在机器的BIOS上运行，允许用户运行多个操作系统。

桌面虚拟化存在的安全风险

通过桌面虚拟化技术实现了多样的接入方式和方便的管理模式，桌面系统的灵活性、安全性、可控制和可管理性得到了有效的保障。但从虚拟化桌面系统的整体安全角度来看，从接入层面、传输层面、管理与服务层面、数据存储层面和用户层面等各个方面，都会产生安全风险，忽略任何一个细节都会导致全局的安全问题。

对虚拟化安全的认知

桌面虚拟化技术的使用，解决了传统桌面系统固有的安全风险，使得分散的桌面系统易于管理、易于配置。但大多数用户并未意识到虚拟环境的安全性问题，也没有意识到虚拟化技术同样可以带来安全风险。桌面虚拟化技术在带来大量安全性的同时，将不安全性更加隐藏起来，使得用户更难以发现桌面虚拟化技术背后深层次的安全问题。

接入层面的安全问题

在桌面虚拟化技术的应用环境中，只要有访问权限，任何智能终端都可以访问服务端的桌面环境，即随时随地的系统访问。如果单纯的依靠用户名和口令作为合法用户身份认证，一旦用户名和口令泄露就意味着非授权用户可以在任何位置访问到桌面系统，并获取相关数据。

传输层面的安全问题

由于虚拟桌面需要在网络上进行大量的文件迁移，文件迁移过程使得在局域网内的用户容易产生信息泄露。同时大量的文件系统迁移对网络性能要求很高，还使得在迁移过程中的不确定性被增加了。

同时用户在进行远程桌面系统调用时，并非所有的智能终端都支持相应的VPN技术。

管理与服务层面的安全问题

在桌面虚拟化技术的架构中，后台服务器端通常会采用横向扩展的方式，在大并发的使用环境下，系统前端会使用负载均衡器，将用户的连接请求发送给当前仍有剩余计算能力的服务器处理，这种架构很容易遭到分布式拒绝攻击。

由于采用虚拟化技术集中了核心数据资源，使得管理员认为只关注核心数据资源就可以保障虚拟化桌面的整体安全，但是由于没有集中审计和访问控制措施，使得每个虚拟化桌面客户端没有权限的差别，在这种工作环境中，不得不考虑的风险就是低级别的虚拟化桌面越过权限访问高级别的虚拟化桌面数据空间。