daas提供商通常會宣稱由其托管的桌面比傳統vdi更加高效和安全,但是雲安全确是一個無法回避的問題。想要使用daas的企業必須無條件信任提供商的員工以及其内部安全防護措施。
企業在選擇使用daas之前所面臨的最大問題之一就是無法回避的雲安全性。
桌面即服務(daas)提供商宣稱相比于傳統的本地vdi方式,其提供的daas服務可以讓企業更加輕松、高效、廉價、安全地使用托管桌面,并且他們擁有充分的理由可以證明這一點。對原本分散的桌面進行大規模、集中化管理是daas的優勢之一,通過提供批量服務,daas 提供商可以提高資源配置設定的針對性,這種方式相比于企業——特别是小型和中小型企業——自己進行部署來說,可以大幅提升安全性。
但是it管理者和決策制定者不能完全信任daas提供商所承諾的安全性。即便是vdi宣稱的強化安全性也隻不過是一套由it管理者來部署和操作、适用于虛拟環境的系統和流程,vdi自身并不包含任何實體環境所不具有的安全特性。類似地,相比于其他雲服務,daas受到安全漏洞影響的幾率也是相同的。
信任daas提供商的it員工
管理大型桌面環境并非易事,而管理本地vdi環境卻更加困難。一些企業選擇使用daas,因為這樣可以将許多系統管理任務轉交給雲服務提供商,其已經擁有管理虛拟桌面所需的基礎架構和相關經驗。但是作為代價,管理者必須放棄大量的控制權限。
當企業将桌面管理權轉交給daas提供商之後,必須無條件相信daas提供商的it員工能夠為他們建構一個安全的桌面環境,然而這是一個極其複雜的過程。如果服務提供商沒有投入足夠的精力會怎樣呢?
技術人員可能會使用設計上存在缺陷的應用程式程式設計接口(api)或者不安全的應用程式,還有可能無意間錯誤配置hypervisor和虛拟機,又或是在整個系統當中安裝了無效的惡意軟體防護工具。考慮到daas所需的基礎架構複雜性——并且需要為多個使用者同時提供服務——是以當有人意識到某些地方出現問題的時候,可能為時已晚。
此外,雲服務必須能夠支援多種終端類型,比如桌上型電腦、筆記本、智能手機和平闆電腦。所有這些裝置通過網際網路連接配接到daas提供商,意味着服務提供商的員工必須負責端口、連接配接、防火牆、透明協定以及其他所有保證資料安全傳輸的元件。
其他雲安全問題
不幸的是,daas基礎架構可能存在的缺陷隻是使用daas所面臨的衆多風險之一。企業需要信任daas提供商可以保證業務安全運作,但是無法要求daas提供商在任何時候、對于所有任務都保持高度警覺性。
比如,daas提供商可能在系統審計、安全更新檔或者實時病毒防護方面出現問題。他們需要綜合考慮所有因素,而不能僅僅根據安全一個方面做出決定,比如提前釋出惡意軟體威脅分析報告,以避免對系統性能産生負面影響。
選擇使用daas的企業還必須信任服務提供商的所有員工,特别是對于vdi環境擁有直接通路權限的員工。員工的相關情況是否已經經過驗證?是否通過了背景審查?哪些人擁有密鑰的通路權限?
理想情況下,daas提供商的内部員工需要遵守非常嚴格的安全規定。也就是說,即便是那些進行正常操作的員工,也有可能成為網絡罪犯的利用工具。
比如,摩根大通的報告宣稱7600萬個家庭和700萬家小型企業最近受到了網絡攻擊的影響。黑客使用一位員工的登陸賬号擷取了通路web開發伺服器的權限。通過這些賬戶,黑客可以任意浏覽銀行的安全網絡。
安全專家推測黑客将會利用被盜的資料對受影響的家庭和企業進行釣魚欺騙攻擊。如果daas提供商的基礎架構也存在類似的漏洞,那麼使用這項服務的企業将會面臨很大的風險。
使用daas這種雲服務需要面臨的另外一種風險是如果服務提供商不再提供相關業務,企業應該如何應對。需要關心的不隻是業務方面的損失,還需要確定相關基礎架構和虛拟機的安全性。資料中心應該在任何時候都受到全方位保護,不管是硬體故障還是來自于網際網路的攻擊,因為保護過程中的任何差錯都有可能導緻無法挽回的結果。如果公司不再購買相關服務,那麼不會有人告訴你應該如何對伺服器進行保護,即便對所有靜态資料進行加密,黑客還是有可能入侵正在運作的任何機器。
作者:robert sheldon
來源:51cto