周月海

摘 要 隨著云計(jì)算的發(fā)展，虛擬化技術(shù)也越來越貼近我們的生活與工作。本文從云計(jì)算中虛擬化技術(shù)入手，分析桌面虛擬化技術(shù)現(xiàn)狀和所面臨的安全風(fēng)險(xiǎn)，并對(duì)現(xiàn)有主流的虛擬化安全技術(shù)進(jìn)行了介紹。

關(guān)鍵詞 桌面虛擬化 云計(jì)算 citrix ICA 虛擬化安全

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

1虛擬化技術(shù)

虛擬化可以擴(kuò)大硬件的容量，簡(jiǎn)化軟件的重新配置過程，計(jì)算元件在虛擬的基礎(chǔ)上把有限的固定資源根據(jù)不同的需求進(jìn)行重新規(guī)劃來達(dá)到實(shí)現(xiàn)利用率最大化。這種簡(jiǎn)化管理，優(yōu)化資源的解決方案在IT領(lǐng)域就叫做虛擬化技術(shù)。它是云計(jì)算最主要的特點(diǎn)之一。在云計(jì)算中虛擬化技術(shù)當(dāng)前主要包括服務(wù)器虛擬化、應(yīng)用虛擬化、桌面虛擬化。而桌面虛擬化技術(shù)是當(dāng)前發(fā)展最快的，也是最具應(yīng)用前景的技術(shù)。

桌面虛擬化依托于服務(wù)器虛擬化生成獨(dú)立的桌面操作系統(tǒng)即虛擬桌面，同時(shí)根據(jù)它專有的虛擬桌面協(xié)議發(fā)送給終端設(shè)備。桌面虛擬化的優(yōu)勢(shì)在于更廣泛與簡(jiǎn)化的終端設(shè)備支持，它可以通過計(jì)算機(jī)的桌面進(jìn)行虛擬化在任意連接網(wǎng)絡(luò)的智能設(shè)備上，在任何地點(diǎn)，任何時(shí)間都可以訪問私人的桌面系統(tǒng)，以實(shí)現(xiàn)桌面使用的安全性和靈活性。桌面虛擬化技術(shù)實(shí)質(zhì)上是將用戶使用與系統(tǒng)管理進(jìn)行了有效的分離。

2桌面虛擬化現(xiàn)狀

隨著移動(dòng)智能設(shè)備的逐漸普及，企業(yè)移動(dòng)化趨勢(shì)與其對(duì)應(yīng)的應(yīng)用需求也急速增長(zhǎng)，移動(dòng)設(shè)備辦公（BYOD）已成為企業(yè)信息化建設(shè)的主要方向，而桌面虛擬化能夠?qū)崿F(xiàn)這個(gè)目標(biāo)。

目前提供桌面虛擬化解決方案的國外的世界主流廠商包括微軟、VMware、Citrix。當(dāng)然國內(nèi)廠商也開始異軍突起研究提供云計(jì)算中的桌面虛擬化，例如聯(lián)想、華為以及達(dá)龍等。根據(jù)2013年中國桌面虛擬化市場(chǎng)調(diào)研報(bào)告，目前我國多數(shù)企業(yè)已實(shí)施或準(zhǔn)備實(shí)施桌面虛擬化，其中用思杰產(chǎn)品的較多，中小企業(yè)占比較大，同時(shí)也有更多數(shù)的企業(yè)表示看好但仍在觀望中。

3Citrix 思杰

目前提供桌面虛擬化解決方案的國外的世界主流廠商包括微軟、VMware、Citrix。它們使用的遠(yuǎn)程訪問協(xié)議主要利用三種協(xié)議，分別是微軟的RDP協(xié)議，Citrix的ICA協(xié)議，以及加拿大Teradici公司的PCoIP協(xié)議。訪問協(xié)議的效率決定了用戶在使用虛擬桌面時(shí)用戶體驗(yàn)，而用戶體驗(yàn)正是一個(gè)產(chǎn)品的重中之重。從官方數(shù)據(jù)及實(shí)際測(cè)試結(jié)果來看，通常情況下，ICA協(xié)議要優(yōu)于RDP和PCoIP協(xié)議，只占用30kbps左右的帶寬，而RDP占用帶寬一般在60kbps左右。正是由于占用帶寬的差別，虛擬桌面的用戶體驗(yàn)有比較大差別。一般情況下，在局域網(wǎng)內(nèi)，一般的應(yīng)用都能正常運(yùn)行，只是RDP協(xié)議造成網(wǎng)絡(luò)占用較多，對(duì)于性能不會(huì)造成太大影響，但是在廣域網(wǎng)甚至是互聯(lián)網(wǎng)上，RDP協(xié)議基本不可用。而且在辦公或娛樂占用大量帶寬時(shí)，即使局域網(wǎng)，RDP的性能也會(huì)受到較大影響，但I(xiàn)CA的用戶體驗(yàn)依然很流暢。

4桌面虛擬化的安全風(fēng)險(xiǎn)及安全技術(shù)

4.1桌面虛擬化安全風(fēng)險(xiǎn)

（1）虛擬化相關(guān)軟件的安全風(fēng)險(xiǎn)，主要安全風(fēng)險(xiǎn)包括hypervisor 層的軟件篡改、管理接口非法訪問等。如果云平臺(tái)中的虛擬化軟件中存在安全漏洞，那么用戶的數(shù)據(jù)就可能被其他用戶訪問。

（2）虛擬機(jī)所面臨安全風(fēng)險(xiǎn)由與傳統(tǒng)主機(jī)相同的安全需求包括安全監(jiān)控、病毒防御、日志審計(jì)等，同時(shí)還需面對(duì)鏡像完整性篡改、內(nèi)容泄露、以及虛擬機(jī)動(dòng)態(tài)遷移過程信息竊聽等安全風(fēng)險(xiǎn)。

（3）虛擬機(jī)網(wǎng)絡(luò)管理風(fēng)險(xiǎn)是由于虛擬機(jī)之間進(jìn)行數(shù)據(jù)交換時(shí)，由于在云計(jì)算中是多租戶共享資源，多個(gè)虛擬資源很可能會(huì)被綁定到同一個(gè)物理資源上。如是使用同一個(gè)虛擬服務(wù)器主機(jī)即同一物理主機(jī)，這些數(shù)據(jù)的交換并沒有經(jīng)過傳統(tǒng)的網(wǎng)絡(luò)接入層交換機(jī)，直接導(dǎo)致許多傳統(tǒng)的安全防護(hù)手段失效，沒有對(duì)虛擬機(jī)之間進(jìn)行有效隔離控制，那就面臨數(shù)據(jù)安全及監(jiān)控審計(jì)等問題。

4.2虛擬化安全技術(shù)

傳統(tǒng)的安全方法論和手段措施對(duì)上述在虛擬化環(huán)境下所面臨的安全風(fēng)險(xiǎn)并不適用。因此，針對(duì)上述虛擬化安全風(fēng)險(xiǎn)，目前如下幾種重要虛擬化安全技術(shù)。

（1）支持虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)

針對(duì)虛擬機(jī)網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)，較為典型的是邊緣虛擬橋以及基于虛擬交換機(jī)的通信技術(shù)兩種方案。

（2）虛擬機(jī)自省技術(shù)

虛擬機(jī)自省技術(shù)基于虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）的協(xié)助在虛擬機(jī)外部對(duì)其進(jìn)行安全監(jiān)控，達(dá)到入侵檢測(cè)及審計(jì)等安全功能。

（3）可信計(jì)算

可信計(jì)算是通過構(gòu)建信任鏈機(jī)制形成一個(gè)可信計(jì)算系統(tǒng)來保障平臺(tái)安全。它是基于硬件安全模塊支持下在計(jì)算和通信系統(tǒng)中廣泛使用的可信計(jì)算平臺(tái)，以提高系統(tǒng)整體的安全性。

5結(jié)語

近年來，桌面虛擬化技術(shù)已逐步應(yīng)用于各個(gè)領(lǐng)域。它的安全性、靈活性也得到了充分的保障，針對(duì)不同需求的網(wǎng)絡(luò)有著不同的側(cè)重，從而讓整個(gè)系統(tǒng)達(dá)到更高的安全性、可管理性、更低的總體擁有成本和更好的用戶體驗(yàn)。今后，隨著硬件成本的不斷降低以及人們對(duì)虛擬化技術(shù)的需要的不斷提升，虛擬化技術(shù)的覆蓋面也將越來越廣，而桌面虛擬化技術(shù)在未來也會(huì)有更好的前景。

參考文獻(xiàn)

[1] 黃華.桌面虛擬化技術(shù)的現(xiàn)狀及未來發(fā)展研究.福建電腦，2009（09）.

[2] 王慶波， 金萍， 何樂.虛擬化與云計(jì)算[M]. 北京： 電子工業(yè)出版社， 2010.

[3] 易濤.云計(jì)算虛擬化安全技術(shù)研究. 信息安全與通信保密. 2012（05）.

[4] 沈余鋒，余小軍.云計(jì)算環(huán)境下虛擬化安全探討. 電力信息與通信技術(shù). 2013（11）.