虛擬化 為信息安全打開一扇窗

虛擬化與安全之間有什么關系？表面上看，虛擬化和安全分屬于不同領域，相互之間似乎沒有直接關系。也許有人會想到，虛擬化會給企業的信息安全帶來新的挑戰。不過，這種認識并不全面，虛擬化在給企業信息安全新挑戰的同時，也為信息安全帶來了新的市場機會。應該說，虛擬化技術為信息安全的有效應用打開了又一扇窗戶。

實際上，Citrix、VMware等虛擬化廠商正是以“安全”作為桌面虛擬化和應用虛擬化的主要賣點，而一些應用層網絡安全廠商，如深信服科技有限公司，則在這方面走得更遠一些，把虛擬化和自己的應用安全產品融合到了一起，提供一個端到端更加完整的安全解決方案，從而為信息安全“趟”出了一條新的解決之道。

應用虛擬化

“摟草打兔子”

虛擬化技術在安全領域的應用其實很早就已經開始了，而且是以一種比較簡單的方式。比如，很多用戶都會通過安裝虛擬機來進行各種測試，一個虛擬機出現了問題，并不會影響到其他虛擬機和主機（Host）。這其實就是一種安全措施。而桌面虛擬化和應用虛擬化則為信息安全提供了更多的保護手段。

本質上，桌面虛擬化和應用虛擬化都是基于服務器的虛擬化技術，是一種集中管控的模式。典型的桌面虛擬化應用場景如下：用戶發出請求，虛擬化軟件先在服務器端為用戶創建出一個虛擬的桌面，然后通過網絡交付給最終用戶。雖然用戶仍然可以像操作普通的桌面一樣完成各種操作，但所有的后臺執行其實發生在服務器端，推送到用戶面前的只是前端呈現的部分。應用虛擬化技術的工作原理也與此類似，所不同的是用戶桌面顯示的是某個指定的應用而已。比如，通過深信服的遠程應用發布+SSL VPN的終端虛擬化解決方案，可以為用戶交付在遠端服務器上的虛擬桌面/應用，并且可以跨平臺支持Windows、iOS、安卓等終端。其最大的優勢在于，為用戶提供較好用戶體驗的同時，還具備更高的性價比。同時，由于與SSL VPN設備的天然融合特性，這一產品也具備了更優異的安全性。

桌面虛擬化和應用虛擬化的好處很多，集中管控為應用程序的升級和補丁發放帶來了很大方便，同時，還可以真正實現在任何時間、任意地點，通過任意一臺設備上網。以甘肅聯通用戶為例，采用深信服的遠程應用發布方案實現了1000多人的應用虛擬化，讓移動出差的員工可以隨時隨地訪問內網的OA、運維等業務系統。

事實上，從市場反饋來看，用戶采用桌面虛擬化和應用虛擬化的最大需求正是來自安全考慮，其次才是移動辦公、降低終端維護成本等內容。目前桌面虛擬化的幾個大型成功案例，包括IBM的中國開發中心（CDL）和華為的桌面虛擬化項目，其最大的價值也是體現在數據的安全上。然而，正是因為“安全性”只是桌面虛擬化和應用虛擬化眾多優點中的一個部分，缺乏專一性和針對性，所以，其在滿足復雜的安全需求時也存在一定局限性。

虛擬化為安全所用

與虛擬化廠商主要提供全功能的產品和解決方案不同，安全廠商采用虛擬化技術的目的非常明確——為安全服務。所以，安全廠商通常會根據自己的需要對虛擬化技術進行定制和裁減，讓虛擬化“為我所用”。以深信服為例，除了常見的桌面/應用虛擬化方案外，其還推出了專門針對終端安全的“虛擬化安全門戶系統設備（VSP）”。

深信服的虛擬化安全門戶系統設備（VSP）是一種安全桌面隔離的解決方案。與桌面虛擬化等通過基于計算機硬件層面的虛擬機，來實現終端數據的安全隔離不同，VSP實際上是一種在應用層實現的輕量級虛擬機。其通過沙盒虛擬化隔離技術，將用戶終端PC從邏輯上隔離成兩個虛擬工作桌面，用戶可以在一個虛擬桌面內訪問高級別業務系統，而在另一個虛擬桌面中訪問低級別系統。兩個虛擬桌面之間的網絡、文件訪問、應用程序進程、注冊表等都是受到安全隔離保護的，高級別的業務系統數據無法通過用戶終端泄漏出去。如果通過虛擬桌面訪問互聯網，也能夠實現安全隔離功能，從而實現了對終端操作系統安全的防護。

本質上，沙盒虛擬化技術是一種分布式的終端虛擬化方案，其運行在用戶端，并不需要占用太多服務器、網絡和存儲資源。然而，與傳統的終端虛擬機方案相比，沙盒又不是一個嚴格意義上的虛擬機（比如，這個虛擬機中就不包括操作系統），而更像是一個應用，所以僅需要80MB內存左右就能夠運行一個虛擬桌面。這樣一個巧妙定制的虛擬機，既能對數據、物理、注冊表、系統服務等資源進行安全隔離，滿足數據防泄漏、防感染病毒等數據安全的需求，同時還能降低部署成本。

值得一提的是，在具備了兩種終端虛擬化解決方案（遠程應用發布、安全桌面）以后，為了能夠提升用戶的部署效率，降低TCO，深信服將遠程應用發布與虛擬化安全桌面融為一體，并稱之為“統一終端虛擬化”。只需要一個EasyConnect客戶端，就能在用戶訪問不同業務應用時，提供多種方案，安全且易用。