桌面虚拟化 管理及安全

白皮书
桌面虚拟化、
管理和安全性
作者：Jon Oltsik，首席分析师；
以及 Mark Bowker，高级分析师
2009 年 11 月
© 2010 Enterprise Strategy Group, Inc. 保留所有权利。

目录
目录 (2)
面向执行官的概述 (3)
PC 管理 — 一个永久性的 IT 问题 (3)
桌面虚拟化是解决之道？ (5)
纵向行业中的 VDI 使用案例 (6)
安全性如何呢？ (6)
安全保护必须具备虚拟智能和集成功能 (8)
CIO 待办事项列表 (9)
更全面的真相 (9)
所有商标名称是其各自公司的资产。

本出版物中包含的信息是由 Enterprise Strategy Group (ESG) 认为可靠的来源提供的，但 ESG 不保证其可靠性。

本出版物可能包含 ESG 的观点，这些观点会随时发生改变。

本出版物的版权归 Enterprise Strategy Group, Inc. 所有。

未经Enterprise Strategy Group, Inc. 明确许可，不得对本出版物的整体或部分以硬拷贝方式、电子方式或其他方式进行复制或将其分发给无权接收它的人，否则都将违反美国版权法并将引起民事损害诉讼，乃至刑事诉讼。

如有疑问，请与 ESG 客户关系部门联系，电话：(508) 482-0188。

此 ESG 白皮书是在 RSA Security（EMC 的安全产品分公司）协助和资金支持下编写的。

面向执行官的概述
桌面虚拟化最近变得声名鹊起。

但这只是业界的哗众取宠还是确实值得人们注意？ESG 相信在这种情况下，对桌面虚拟化的所有兴趣都是真实的。

此技术可帮助大型组织加强对现有混乱而复杂的台式机及笔记本电脑基础架构进行控制，同时提高桌面安全性。

虽然从理论上讲可能是如此，但用户是否在实际部署桌面虚拟化呢？安全性如何呢？本白皮书得出的结论是：
•大型组织正在用钱包来投票。

ESG 的数据表明，许多大型组织已经在部署、研究、测试和规划桌面虚拟化项目。

大多数组织目前正在缓慢地采用 VMware View 等技术，但预计会在未来 3 年更积极地进行实施。

在桌面虚拟化可帮助实现行业业务流程的场合，情况更是如此。

ESG 尤其在医疗保健、高等教育和公共部门等市场看到了对桌面虚拟化的强烈兴趣。

•虚拟化桌面的安全性仍然不明确。

桌面虚拟化可帮助实现基本配置一致性和修补程序管理，但是围绕身份验证、数据安全和安全性/法规遵从性管理的具体问题仍然突出。

如果这些问题未得到妥善处理，那么桌面虚拟化至多也只是在小范围内应用的技术。

•安全保护必须与桌面虚拟化环境紧密集成。

为克服缺陷，必须让安全保护成为联系用户、数据和虚拟桌面映像的中介，以便监控和强制执行安全策略。

安全工具还必须在虚拟与物理世界之间架起桥梁，因为物理桌面仍将是移动用户和超级用户的默认平台。

如果将安全保护智能正确地集成到虚拟桌面技术中，它可解决企业安全链中明显的“脆弱链路”问题，并可显著改进企业的总体安全性。

PC 管理 — 一个永久性的 IT 问题
PC 一度被认为是恶意设备，但现已与大型机、以太网交换机和存储阵列一起平等地跻身于 IT 基础架构组件之列。

既然如此，大型组织为什么要考虑用虚拟化技术来取代沿用已久的台式机和笔记本电脑呢？答案可用几个词来概括：管理和控制。

无论 IT 环境如何，大多数企业组织都会将管理和保护一大堆分散的台式机和笔记本电脑描述为“一场持久战”。

最近的 ESG 研究为这个论点提供了支持，该研究表明，大型组织明确表示 PC 为 IT 部门带来了持续的挑战，尤其是在法规遵从性、安全性和高昂的运营成本方面（请参见图 1）。

1
ESG 的数据无疑使得 PC 世界处于持续混乱状态这一看法大有可信之处。

用户下载最新的浏览器插件，添加消费类硬件，并在日常例行事务中交换机密文件。

为支持这些活动，IT 部门疲于应付服务台支持、软件修补程序安装和配置更改。

面对这种无休止的活动流，法规遵从性监管可能是一项艰巨的任务。

1来源：ESG 研究报告，Virtual Desktop Infrastructure Market Trends（《虚拟桌面基础架构市场趋势》），2009 年 2 月。

图 1. 最重要的 PC 挑战
来源：Enterprise Strategy Group ，2009 年。

3%
2%
2%
2%
6%
8%
5%
4%
6%
6%
10%
10%
9%
12%
14%
33%
39%
39%
41%
45%
51%
53%
54%
54%
54%
54%
56%
58%
60%
66%
0%
20%
40%60%80%
Power consumption associated with desktop/laptop
PCs
Difficulty managing user profile transfers
Difficulty managing employee termination / device
decommissioning
New client access device provisioning time and/or
complexity Capital cost of new client access devices
OS deployment/upgrade time and/or complexity
Recovering end-user desktop environments and
data in event of disaster Patch management time and/or complexity Unauthorized application usage or configuration
changes by end-users
Providing consistent computing experience for
remote/mobile users No consistent backup of desktops, laptops, and
other client access devices Operational cost of IT staff required to support end-users/client access devices
Application deployment/upgrade time and/or
complexity Securing confidential data resident on client access
devices
Enforcing end-user compliance with regulatory requirements (e.g., information security, privacy,
data retention, etc.)Organizations' current operational and business challenges with respect to desktop/laptop PCs and other client access devices providing general-purposes PC functionality (Percent of respondents, N=480, multiple responses accepted)All
operation al and business challenges
Biggest operation al and business challenge
桌面虚拟化是解决之道？
虽然围绕传统 PC 的许多挑战正在变得越来越严峻，但这些挑战本身对 IT 人员来说不一定陌生。

因此，IT 部门多年来一直在实施各种管理环境，以便能够从中心位置高效地访问、管理和保护 PC ，希望借此减少与重复的劳动力密集型 PC 管理任务相关的时间和成本。

在理想的情况下，这可以帮助组织降低运营成本、提高服务级别和满足法规遵从性及信息安全要求，同时保持完全相同的最终用户体验，并在某些情况下改进最终用户体验。

与服务器虚拟化相关的好处有据可查，因此许多组织看到了桌面虚拟化技术的相同潜力，并开始进行初步的研究、测试甚至开发工作。

事实上，ESG 研究表明，21% 的大型组织已经实施了某种类型的桌面虚拟化解决方案，同时另外 39% 的大型组织正在计划部署虚拟桌面基础架构或对此感兴趣（请参见图 2）。

2
当前的大多数桌面虚拟化实施都相对仅限于有限的生产或测试/开发部署，因此绝大多数组织已虚拟化的 PC 或其他客户端设备到目前为止还不到 10%。

但是，随着企业将 Virtual Desktop Infrastructure (VDI) 项目从测试/开发推进到全面的生产应用，预计这种情况将会显著改观。

ESG 研究表明，近一半 (45%) 的 VDI 用户预期会在未来 3 年虚拟化 50% 以上的客户端访问设备。

3
图 2. Virtual Desktop Infrastructure 技术的采用
来源：Enterprise Strategy Group ，2009 年。

We are currently using a VDI solution,
21%We have not yet
deployed a VDI
solution, but we plan to do so (includes active evaluations), 8%
We have not yet deployed a VDI solution, but would consider it, 31%
We have not yet deployed a VDI solution and we
have no current
plans to do so , 41%
What are your organization's plans regarding virtual desktop infrastructure
technology? (Percent of respondents, N=480)
桌面虚拟化市场的推动因素仍然多种多样，但是出现了几个共同主题。

一般来说，许多企业希望桌面虚拟化成为降低资金开销、优化运营和简化操作系统部署的方法。

毫不奇怪的是，图 1 中提到的组织面临的 PC 挑战正是桌面虚拟化市场的推动因素，并将由相应的解决方案来一一化解。

2 来源：Ibid 。

3
来源：Ibid 。

纵向行业中的 VDI 使用案例
显然，ESG 的数据表明，PC 管理及安全保护方面的普遍挑战正在提高各行各业的企业级组织对桌面虚拟化技术的兴趣。

同时，某些行业还将桌面虚拟化视为特定类型的纵向行业业务流程的促成技术。

桌面虚拟化可以：
•促进医疗保健组织实现高效的资源共享。

医疗保健组织面临独特的 PC 挑战：通常，PC 是共享资源（亦即“流动的工作站”），它们必须为医师、医生和护士等不同医疗保健专业人员提供定制的服务。

在此使用案例中，桌面虚拟化提供了新型解决方案，以集中管理应用程序、实现改进的个性化服务，并基于工作人员身份和权限提供对病例的访问控制。

例如，VDI 可为医师提供“跟随”功能支持，当医师值班期间在患者之间或在工作站之间走访时可保留桌面状态。

桌面虚拟化还通过将桌面映像转移到集中化的数据中心、消除终端设备上存储的任何数据，以及整合事件日志以实现监控、监督和审核，从而帮助医院遵从 HIPAA 隐私条例。

•帮助教育机构平衡个人自由与控制。

高校往往赋予学生选择他们希望使用的 PC 和使用 Internet 资源进行学术及娱乐活动的自由。

遗憾的是，这种开明模式也会加剧安全事件、桌面支持成本和网络流量管理难题。

桌面虚拟化正日益被视为一种平衡这些不同目标的有效途径。

与管理单独的系统和用户不同，高校可以创建一些分别由教员、职工和学生使用的虚拟桌面映像类型。

每个组仅将该映像用于学术或管理目的，同时为个人使用维护一个完全不同的桌面环境。

这可以在机构计算环境与娱乐计算环境之间创建一道“防火墙”，从而帮助减少安全事件、简化 PC 配置管理、减少服务台呼叫和削减 IT 运营成本。

•公共部门组织需要可扩展性和灵活性。

对于大型的州和联邦政府机构，PC 管理已变得几乎无法实现 — 许多机构现在报告说该负担正在阻止他们的组织完成任务。

在此情况下，桌面虚拟化正在被视为潜在的“改变游戏规则”的技术，可大大简化支持用户、实现 IT 基础架构现代化和推出新的通用应用程序等工作。

随着州和联邦机构设法提供电子政务应用程序以方便公民及私营部门组织与政府打交道，这变得尤其重要。

安全性如何呢？
桌面安全保护如今已变得极其困难，桌面虚拟化被视为一种潜在的解决方案。

这是极具意义的，因为桌面虚拟化可帮助大型组织控制桌面配置、管理易受攻击的软件、部署修补程序和限制用户行为。

不错，这无疑可以解决大型组织当今面临的部分挑战，但 ESG 认为这只是开始。

虽然桌面虚拟化可以帮助锁定PC 配置并实现数据的集中化，但仍然存在若干安全挑战，例如：
•数据发现和分类。

无论机密信息是存储在笔记本电脑上、USB 闪存驱动器上还是驻留在数据中心内的企业文件服务器上，如果没有人知道它的存在，要保护它将是不可能的。

排除标准猜测工作的唯一途径是通过数据发现和分类 — 遗憾的是，这并非始终容易做到。

根据 ESG 的研究，三分之一的安全专业人员认为他们的组织在分类和跟踪机密数据移动及拷贝方面的能力“尚可”或“不足”（请参见图 3）。

4桌面虚拟化在纠正明显安全漏洞方面所做的工作甚少。

4来源：ESG 研究报告，Protecting Confidential Data Revisited（《再谈保护机密数据》），2009 年 4 月。

图 3. Virtual Desktop Infrastructure 技术的采用
来源：Enterprise Strategy Group ，2009 年。

Excellent 21%
Good 38%
Fair 23%
Poor 10%
Not applicable, we don't do this
4%
Don't know
4%
In your opinion, please rate your organization's performance in terms of classifying and tracking the movement and copying of confidential data.
(Percentage of Responses, N = 308)
•
强身份验证。

对于通过网络访问整个桌面的用户，弱身份验证可能使黑客和社会工程分子轻松获得“敲门砖”。

此外，医疗保健等行业正在寻求通过桌面虚拟化提供个性化服务和保护 PC ，同时满足法规遵从性要求并优化共享资源。

只有为桌面虚拟化部署基于身份的服务并且在最终解决方案中设计强身份验证后，才可能实现这一目标。

•
日志、事件和安全管理。

在虚拟桌面环境中，可能有几十个用户桌面映像共享一个通用服务器平台。

这非常适合于整合，但 IT 将如何跟踪用户访问和行为呢？如果没有对用户访问和行为的深入了解，很难设想桌面虚拟化如何支持法规遵从性要求。

•
集成式配置管理。

不同的用户需要不同的桌面映像、软件修补程序和配置管理，而不管他们是使用物理笔记本电脑还是使用存储在数据中心的虚拟桌面映像。

同时针对物理和虚拟桌面的集中化配置管理在这方面极为重要，以便降低运营开销、简化物理到虚拟的迁移并实现用户体验的标准化。

如果将此类安全功能与桌面虚拟化环境紧密集成，它实际上可以增强企业的总体安全性。

如何实现？通过集中化安全策略的创建、监控和强制执行来实现。

仅凭这一点就应该能够说服组织迅速评估桌面虚拟化技术。

安全保护必须具备虚拟智能和集成功能
桌面虚拟化具有简化 PC 支持及管理的潜力，但是如果没有适当的安全控制措施，则只能将其用作针对少部分用户的应用范围狭窄的解决方案。

为克服此问题，安全工具必须与虚拟化技术紧密集成，使其在用户、数据和虚拟映像之间同时充当交通警察和策略管理控制室角色，以便强制执行安全策略（请参见图 4）。

图 4. Virtual Desktop Infrastructure 技术的采用
来源：Enterprise Strategy Group，2009 年。

为实现此目标，集成式虚拟桌面安全保护必须：
•跟踪虚拟桌面映像。

安全工具必须能够查看和跟踪虚拟桌面映像的创建、备份或在服务器之间的移动情况。

•控制身份。

安全工具必须能够检查用户凭据并将其映射到虚拟映像访问权限和应用程序权限。

•理解数据。

数据发现、分类和策略强制执行等 DLP 功能必须能够理解数据、身份和虚拟基础架构之间的关系。

从一台服务器访问多个用户映像时，DLP 必须允许首席法律顾问向外部律师发送机密文档，同时阻止人力资源管理者使用 Hotmail 帐户以电子邮件方式向猎头发送员工数据库。

•跟踪设备及应用程序中的虚拟和物理活动。

安全管理系统必须能够监控用户行为、系统活动及应用程序智能，并将其关联到跨服务器和网络的虚拟映像及虚拟机移动。

•协调配置。

桌面虚拟化无疑简化了此项任务，但是管理虚拟映像的创建和更新仍然很重要。

安全工具必须在配置、分发和监控加强的虚拟映像配置及修补程序管理方面发挥作用。

安全工具还务必提供跨虚拟和物理桌面的全面管理覆盖面。

这非常重要，因为大多数组织将继续拥有虚拟和物理设备的混合环境，并基于应用程序需求及移动性要求不断地来回迁移。

用于安全任务的“单一控制台”将有助于改进 IT 和安全保护操作。

针对这些要求，可供考虑的一家供应商是 EMC 的安全产品分公司 RSA，因为 RSA 正在与 VMware 合作将安全保护集成到用于桌面虚拟化的 VMware View 环境中。

VMware 将 View 描述为“通用客户端”，其中组合了不同的设备、多种平台以及传统和基于 Web 的应用程序。

RSA 通过 DLP（RSA 防数据丢失解决方案）、安全性/法规遵从性管理 (RSA enVision) 以及事件管理 (RSA SecurID) 的紧密集成，增强了个性化的虚拟桌面解决方案。

这种集成可以满足上述虚拟智能要求。

除了 RSA 外，其母公司 EMC 也为该组合增添了更多价值。

例如，EMC Ionix 提供针对物理和虚拟环境的操作管理工具，同时 EMC 还提供在数据中心创建虚拟桌面基础架构时所不可缺少的企业级产品和服务。

由于具备如此众多的资格，RSA 应是客户优先考虑的供应商，在部署桌面虚拟化时扮演重要的“安全卫士”角色。

CIO 待办事项列表
桌面虚拟化可以帮助简化桌面管理，甚至改进安全性，但它无论如何也不是万能的解决方案。

为了最大程度发挥桌面虚拟化的运营和安全好处，CIO 应该：
•考虑虚拟桌面的所有潜在成本影响。

务必要认识到，TCO 和 ROI 的计算范围超出了支持桌面虚拟化部署所必需的技术和 IT 基础架构，因而不应局限于某个用于计算“成功指标”的结构化系统。

ESG 见证了若干初始桌面虚拟化部署，其评判标准主要是解决更大的业务问题和提供运营改进的能力。

例如，金融机构利用桌面虚拟化，无需构建新的海外数据中心即可支持当地的开发人员。

另外，务必要在评估过程中考虑与各种虚拟化解决方案相关的所有成本（在附加投资和节省方面）。

虽然在某些情况下，可能需要升级数据中心基础架构以适应集中化的桌面计算，但通常可以利用现有的技术资产来提供最佳的效率。

用户还认识到单一映像管理是一种改进的方法，可维护一个实例并同时更新所有虚拟桌面。

这不仅减轻了 IT 管理员的工作负担，而且还有助于改进桌面安全性和用户满意度。

•在内部宣传桌面虚拟化。

与以前关于桌面虚拟化主题的研究一致，ESG 发现组织中 VDI 采用的主要倡导者通常是高层 IT 经理，甚至是 CIO。

这是理想的开端，但 ESG 建议 IT 管理层将此策略推进到下一个级别，在内部向业务及高级管理层宣传桌面虚拟化。

例如，医疗保健 CISO 应该倡导桌面虚拟化和强身份验证，将其作为最大程度发挥共享工作站的 IT 投资效益的方法，同时为医疗保健工作人员提供个性化服务，并简化法规遵从性管理。

通过这种方式，桌面虚拟化可帮助促成业务计划，而不只是削减 IT 成本。

•寻找集成式解决方案。

如果采取像科学项目一样的方法，虚拟桌面基础架构项目将会失败。

不错，VDI 是正在发展的技术，但是寻找来自企业级供应商的全面套件非常重要，这样的供应商可提供针对配置、管理、监控和安全保护的技术及合作伙伴解决方案。

请记住，桌面虚拟化可能有许多不同的风格，因此应该与支持灵活而不是僵化的虚拟化模型的供应商合作。

确保虚拟桌面供应商拥有大量的合作伙伴支持、现有的参考客户和富于远见的路线图。

最后，务必要记住的是，与所有 IT 技术一样，VDI 最终会成为业务解决方案。

CIO 构建的桌面虚拟化解决方案如果适应 IT 及业务计划并支持用户对高性能个性化工作区的需求，则最终会使得桌面虚拟化成为其IT 及业务战略的成功组成部分。

更全面的真相
虽然服务器虚拟化具有很多市场动力，但是随着时间的推移，桌面虚拟化的实施可能会变得更为广泛。

为什么呢？当今的用户是移动的，具备 Internet 知识，并使用多种设备。

此外，有线和无线宽带网络正在变得越来越普遍，从而使得几乎在全球范围内都可以访问 Internet。

在此环境中，用户希望随时随地在任何设备上都可以使用他们的个性化桌面。

集中化控制和桌面虚拟化最可能实现此目标。

虽然桌面虚拟化的未来似乎很明确，但 ESG 认为仍然存在一些有待吸取的教训。

正如哲学家 George Santayana 所言，“不能总结经验教训的人注定要重蹈覆辙”。

如果像过去那样将安全保护当作事后的考虑，那么在动态的虚拟世界中，IT 会发现自己在安全问题面前永远处于被动局面。

但是，如果从一开始就将安全保护“内置”在桌面虚拟化解决方案中，那么它将会在整个桌面虚拟化生命周期中更加有效且更加可管理。

20 Asylum Street | Milford, MA 01757 | 电话：508.482.0188 传真：508.482.0218 | 。