為什么虛擬桌面比物理桌面更安全

在安全的問題上，物理桌面和虛擬桌面那個更有優勢一直以來都存在爭論？很多人認為虛擬桌面只是將桌面集中部署到數據中心，本質上沒有改變桌面的使用方式，所以安全上沒有改善，這種觀點的主要論據如下：

• 桌面OS和軟件沒有變化，2種類型桌面還是會遭遇***，感染病毒等。

• 用戶行為在使用2種桌面時沒有區別。所以用戶行為導致的安全威脅無論在哪種桌面上都存在。比如VDI用戶還可以在通過郵件、網盤等方法向外傳送數據。用戶還是有可能瀏覽被種馬的網頁，打開被感染的文檔。

• 虛擬桌面能防范的安全威脅，如不會因設備丟失導致數據丟失，在物理桌面上也早就有大量安全應對方案，如Symantec的PGP加密，微軟EFS等，而且成本相對部署VDI更便宜。

• 虛擬桌面帶來了新的安全威脅。如同一個主機上的虛擬機之間的隔離問題，hypervisor本身的安全性問題等

從我個人的經歷來講，以上的論據都沒有問題，虛擬桌面不是一劑萬能良藥，不要期望其能夠解決所有的安全問題，如果有人僅僅以安全為由向你推銷虛擬桌面，那么，對方肯定是個騙子。但是，從我管理物理桌面和虛擬桌面經驗來看，我認為虛擬桌面安全方面有天然的優勢，下面我們從多個方面來說明這個問題：

傳統PC也可以通過加密解決這個問題，但是做個PC管理的從業人員都知道，部署加密軟件從來就是一個苦力活：

• 每臺PC上面需要安裝加密軟件客戶端。客戶端可能針對操作系統版本不同有不同的版本。OS升級之后，加密軟件可能也需要升級，升級過程中可能會出現很多異常。另外，還需要考慮加密軟件和其他軟件的兼容性，比如我就碰到過加密軟件和殺毒軟件、備份軟件不兼容的狀況。

• 取決于磁盤/數據量大小，首次全盤加密需要可能長達1天。這個期間用戶不能使用，PC管理員還需要經常檢查加密進展狀況。

• PC的性能受影響，用戶向IT抱怨。這個是顯而易見的。

• 管理成本提升。用戶忘記密碼或者離職之后沒有留下解密密碼，那么加密軟件管理員需要被卷入進來。

• 上了加密之后最痛苦的是什么？是不能解密！很多PC管理員有過這樣的經歷：用戶PC沒法解密，原因有幾種，硬盤可能出現壞道，系統不能啟動，數據要拿出來要先解密，但是很多時候因為硬盤壞道解密過程進行不下去，最后數據全沒了。還有的加密軟件自身的問題導致不能解密，筆者已經見過很多個這樣的例子。而且發生問題的還是鼎鼎大名的廠商的產品，如Symantec、Checkpoint的產品。

• 而虛擬桌面因為集中部署，不會因為客戶端設備丟失導致數據泄露。

• 
  

一般企業里面出現中毒情況，主要2種場景：

PC管理員都有這樣經歷：補丁服務器或者防病毒服務器上發現部分PC沒有更新，由于種種原因（如用戶斷開網絡，用戶休假，將PC帶離公司網絡等）物理PC很多時候是處于離線的狀態，無法應用企業內部安全更新或者AD策略。該PC在線之后可能不能應對安全威脅。而虛擬桌面一直處于在線狀況，更新速度更快，被威脅的幾率更小。

由于脫離企業防火墻、威脅防護網關的保護，對于離開企業安全環境的PC而言，直面互聯網威脅導致的安全風險更高。而虛擬桌面和互聯網之間始終有安全設備進行隔離，相對而言更加安全。進一步來講，從企業擁有的整理PC數量而言，已物理桌面方式部署相對于以虛擬桌面方式部署，前者遭受***的面更廣。

就算所有的安全策略失效，數據遭到破壞，如感染勒索病毒，通過備份數據可以恢復回來。虛擬桌面的用戶數據大多數時候重定向到集中位置（如NAS存儲或者文件服務器），非常備份；反觀物理PC的數據備份，完完全全就是個噩夢，特別是大規模的PC環境。這也說明，雖然這一點上虛擬桌面沒有表現的更安全，但是卻給IT管理員一個提供快速擺脫安全問題的途徑。

對于安全人員來講，最擔心的是有安全策略部署的死角。比如有不受管的PC，特別是PC上部署的安全策略被“聰明”的用戶繞過或者破壞的情況。這可能因為”一粒老鼠屎，壞了一鍋湯“，前面99%的努力全部白費。

但是企業往往存在這種情形，比如某天突然發現網內有一臺完全不受管的PC，經查證，這臺PC原來是部門人員離職后閑置下來的，期間甚至OS都已經被某些不可查證的離職員工重新安裝過了，可能殺毒軟件都沒有，甚至已經訪問過無數的未經許可的外設（U盤、SD卡、光盤等），病毒也是一大堆。這就是物理PC分散部署的弊端凸顯。

而虛擬桌面這方面具有天然的優勢，桌面更多的是在IT人員掌控當中。

總而言之，虛擬桌面不是萬能良藥，其本身不是安全解決方案，只是他的部署方式相對于物理桌面，天然帶有一些安全的特性。主要來講，我認為虛擬桌面的部署給我們帶來更多的是：它本身沒有改變用戶習慣，桌面的軟件環境，但是你可以更加全面、快速和簡單地應用你的安全策略。

以上僅僅從安全的角度進行比對，沒有整體上對比部署物理桌面和虛擬桌面的優劣。