很多CISO和安全人员都将虚拟桌面基础设施(VDI)和其他远程应用解决方案视为安全屏障。他们觉得VDI能将敏感资源与用户设备隔离,让黑客无法突破。然而,这是个危险的想法。事实上,VDI对网络罪犯来说不过是小小一道坎而已。
VDI用例很多,可供雇员从瘦客户端或个人笔记本电脑登录服务器托管的桌面,可赋予第三方访问企业资产的“受控制”权限,可供IT管理员和其他特权用户将VDI服务器当成“跳板主机”来管理企业重要资产。但无论你的VDI用例是什么,企业资产都会暴露出来。
用瘦客户端连接Windows系统远程VDI桌面的雇员,并不比其他Windows笔记本用户在安全上高明到哪儿去。该远程桌面依然暴露在一系列常见攻击方法之下,包括电子邮件、Web、外部媒体、用户安装的应用等等。
很多公司都允许雇员用私人笔记本电脑等非托管设备连接企业VDI桌面。一旦这些终端用户设备本就被黑了,情况可想而知。这种情况下,攻击者首先获取到用户个人笔记本电脑的控制权,然后冒充该用户与远程VDI桌面交互。这种攻击对技术要求不高,在用户个人笔记本电脑上安装上现成的商品化远程控制软件,等待用户通过身份认证,然后以用户的名义控制该VDI会话就行了。
有些人认为,只要阻止用户个人笔记本电脑和远程VDI桌面之间的剪贴板操作,就可以挫败攻击。这种想法太过天真。攻击者完全可以通过模拟键盘敲击隐秘而快速地将整个脚本发送过去,然后在远程VDI桌面上执行该脚本。自此,取得VDI桌面完全控制权就很容易了。此类攻击用不到任何零日漏洞,随便一个有点想法和毅力的攻击者都能做到。
使用VDI访问公司资源的第三方供应商和承包商,与使用非托管设备的员工对公司安全性的破坏程度是差不多的。如塔吉特数据泄露和Equifax数据泄露事件所揭示的,网络罪犯只需感染一台供应商设备,就能通过VDI拉取无数敏感资源。双因子身份验证对VDI会话没有太大帮助,因为已经驻守在机器上的攻击者仅仅是等待成功的身份验证,然后发起攻击。
一些企业允许IT管理员通过跳板主机或托管在VDI终端服务器上的跳板机登录特权管理控制台。跳板主机通常来讲是种安全健康的操作,但如果用来访问特权主机的设备是一台被黑个人设备,情况就不妙了。更别说个人设备被黑的情况还是如此常见。恶意黑客会搜寻IT管理员,然后盯上他们。攻击者一旦感染了IT管理员的个人设备,基本上也就能通过VDI控制整个企业网络了。
VDI隔离问题
为什么VDI安全不行?根源在于:VDI并不是隔离解决方案。它不隔离远程敏感资源和用以访问这些资源的设备。如果黑客控制了终端用户设备,他们就控制了VDI资源。
任何没有完全隔离的方法都是脆弱的。对敏感资源的本地访问或远程访问,永远不应该与暴露给外部世界任何企业或个人用例相混杂。微软等安全供应商和SWIFT之类的金融机构都在不厌其烦地重申这条指南,提出要使用单独的操作系统实例来访问敏感资源,包括在VDI上的那些。
现实中的隔离
那么,实际情况又如何呢?
一种基于虚拟机管理程序的新方法,是将终端用户设备转换为软件定义终端——每台终端都有多个隔离的虚拟机。该方法完全隔离了对敏感资源的访问,又不限制用户的自由或要求多台电脑。
用户所做的一切都在虚拟机中进行,包括操作系统和所有应用程序。一个操作系统供个人随意使用,另一个用于访问敏感资源,无论是本地访问还是通过VDI访问。控制了个人虚拟机的攻击者无法看到或控制敏感信息访问虚拟机。攻击者必须攻破虚拟机才可以破坏系统安全。这么做既可以提供公司企业所需的防护,又能赋予用户其渴望的高生产力。
VDI本身最多能提供一种误导性的虚假安全感,最坏情况甚至能给公司带来灭顶之灾。企业必须意识到这种风险,并采取适当的隔离措施来保护自己。