DaaS提供商通常会宣称由其托管的桌面比传统VDI更加高效和安全,但是云安全确是一个无法回避的问题。想要使用DaaS的企业必须无条件信任提供商的员工以及其内部安全防护措施。
企业在选择使用DaaS之前所面临的最大问题之一就是无法回避的云安全性。
桌面即服务(DaaS)提供商宣称相比于传统的本地VDI方式,其提供的DaaS服务可以让企业更加轻松、高效、廉价、安全地使用托管桌面,并且他们拥有充分的理由可以证明这一点。对原本分散的桌面进行大规模、集中化管理是DaaS的优势之一,通过提供批量服务,DaaS 提供商可以提高资源分配的针对性,这种方式相比于企业——特别是小型和中小型企业——自己进行部署来说,可以大幅提升安全性。
但是IT管理员和决策制定者不能完全信任DaaS提供商所承诺的安全性。即便是VDI宣称的强化安全性也只不过是一套由IT管理员来部署和操作、适用于虚拟环境的系统和流程,VDI自身并不包含任何物理环境所不具有的安全特性。类似地,相比于其他云服务,DaaS受到安全漏洞影响的几率也是相同的。
信任DaaS提供商的IT员工
管理大型桌面环境并非易事,而管理本地VDI环境却更加困难。一些企业选择使用DaaS,因为这样可以将许多系统管理任务转交给云服务提供商,其已经拥有管理虚拟桌面所需的基础架构和相关经验。但是作为代价,管理员必须放弃大量的控制权限。
当企业将桌面管理权转交给DaaS提供商之后,必须无条件相信DaaS提供商的IT员工能够为他们构建一个安全的桌面环境,然而这是一个极其复杂的过程。如果服务提供商没有投入足够的精力会怎样呢?
技术人员可能会使用设计上存在缺陷的应用程序编程接口(API)或者不安全的应用程序,还有可能无意间错误配置hypervisor和虚拟机,又或是在整个系统当中安装了无效的恶意软件防护工具。考虑到DaaS所需的基础架构复杂性——并且需要为多个用户同时提供服务——因此当有人意识到某些地方出现问题的时候,可能为时已晚。
此外,云服务必须能够支持多种终端类型,比如台式机、笔记本、智能手机和平板电脑。所有这些设备通过互联网连接到DaaS提供商,意味着服务提供商的员工必须负责端口、连接、防火墙、透明协议以及其他所有保证数据安全传输的组件。
其他云安全问题
不幸的是,DaaS基础架构可能存在的缺陷只是使用DaaS所面临的众多风险之一。企业需要信任DaaS提供商可以保证业务安全运行,但是无法要求DaaS提供商在任何时候、对于所有任务都保持高度警觉性。
比如,DaaS提供商可能在系统审计、安全补丁或者实时病毒防护方面出现问题。他们需要综合考虑所有因素,而不能仅仅根据安全一个方面做出决定,比如提前发布恶意软件威胁分析报告,以避免对系统性能产生负面影响。
选择使用DaaS的企业还必须信任服务提供商的所有员工,特别是对于VDI环境拥有直接访问权限的员工。员工的相关情况是否已经经过验证?是否通过了背景审查?哪些人拥有密钥的访问权限?
理想情况下,DaaS提供商的内部员工需要遵守非常严格的安全规定。也就是说,即便是那些进行正常操作的员工,也有可能成为网络罪犯的利用工具。
比如,摩根大通的报告宣称7600万个家庭和700万家小型企业最近受到了网络攻击的影响。黑客使用一位员工的登陆账号获取了访问Web开发服务器的权限。通过这些账户,黑客可以任意浏览银行的安全网络。
安全专家推测黑客将会利用被盗的数据对受影响的家庭和企业进行钓鱼欺骗攻击。如果DaaS提供商的基础架构也存在类似的漏洞,那么使用这项服务的企业将会面临很大的风险。
使用DaaS这种云服务需要面临的另外一种风险是如果服务提供商不再提供相关业务,企业应该如何应对。需要关心的不只是业务方面的损失,还需要确保相关基础架构和虚拟机的安全性。数据中心应该在任何时候都受到全方位保护,不管是硬件故障还是来自于互联网的攻击,因为保护过程中的任何差错都有可能导致无法挽回的结果。如果公司不再购买相关服务,那么不会有人告诉你应该如何对服务器进行保护,即便对所有静态数据进行加密,黑客还是有可能入侵正在运行的任何机器。
作者:Robert Sheldon
来源:51CTO
