周月海

摘 要 隨著云計算的發(fā)展，虛擬化技術(shù)也越來越貼近我們的生活與工作。本文從云計算中虛擬化技術(shù)入手，分析桌面虛擬化技術(shù)現(xiàn)狀和所面臨的安全風(fēng)險，并對現(xiàn)有主流的虛擬化安全技術(shù)進行了介紹。

關(guān)鍵詞 桌面虛擬化 云計算 citrix ICA 虛擬化安全

中圖分類號：TP3 文獻標(biāo)識碼：A

1虛擬化技術(shù)

虛擬化可以擴大硬件的容量，簡化軟件的重新配置過程，計算元件在虛擬的基礎(chǔ)上把有限的固定資源根據(jù)不同的需求進行重新規(guī)劃來達到實現(xiàn)利用率最大化。這種簡化管理，優(yōu)化資源的解決方案在IT領(lǐng)域就叫做虛擬化技術(shù)。它是云計算最主要的特點之一。在云計算中虛擬化技術(shù)當(dāng)前主要包括服務(wù)器虛擬化、應(yīng)用虛擬化、桌面虛擬化。而桌面虛擬化技術(shù)是當(dāng)前發(fā)展最快的，也是最具應(yīng)用前景的技術(shù)。

桌面虛擬化依托于服務(wù)器虛擬化生成獨立的桌面操作系統(tǒng)即虛擬桌面，同時根據(jù)它專有的虛擬桌面協(xié)議發(fā)送給終端設(shè)備。桌面虛擬化的優(yōu)勢在于更廣泛與簡化的終端設(shè)備支持，它可以通過計算機的桌面進行虛擬化在任意連接網(wǎng)絡(luò)的智能設(shè)備上，在任何地點，任何時間都可以訪問私人的桌面系統(tǒng)，以實現(xiàn)桌面使用的安全性和靈活性。桌面虛擬化技術(shù)實質(zhì)上是將用戶使用與系統(tǒng)管理進行了有效的分離。

2桌面虛擬化現(xiàn)狀

隨著移動智能設(shè)備的逐漸普及，企業(yè)移動化趨勢與其對應(yīng)的應(yīng)用需求也急速增長，移動設(shè)備辦公（BYOD）已成為企業(yè)信息化建設(shè)的主要方向，而桌面虛擬化能夠?qū)崿F(xiàn)這個目標(biāo)。

目前提供桌面虛擬化解決方案的國外的世界主流廠商包括微軟、VMware、Citrix。當(dāng)然國內(nèi)廠商也開始異軍突起研究提供云計算中的桌面虛擬化，例如聯(lián)想、華為以及達龍等。根據(jù)2013年中國桌面虛擬化市場調(diào)研報告，目前我國多數(shù)企業(yè)已實施或準備實施桌面虛擬化，其中用思杰產(chǎn)品的較多，中小企業(yè)占比較大，同時也有更多數(shù)的企業(yè)表示看好但仍在觀望中。

3Citrix 思杰

目前提供桌面虛擬化解決方案的國外的世界主流廠商包括微軟、VMware、Citrix。它們使用的遠程訪問協(xié)議主要利用三種協(xié)議，分別是微軟的RDP協(xié)議，Citrix的ICA協(xié)議，以及加拿大Teradici公司的PCoIP協(xié)議。訪問協(xié)議的效率決定了用戶在使用虛擬桌面時用戶體驗，而用戶體驗正是一個產(chǎn)品的重中之重。從官方數(shù)據(jù)及實際測試結(jié)果來看，通常情況下，ICA協(xié)議要優(yōu)于RDP和PCoIP協(xié)議，只占用30kbps左右的帶寬，而RDP占用帶寬一般在60kbps左右。正是由于占用帶寬的差別，虛擬桌面的用戶體驗有比較大差別。一般情況下，在局域網(wǎng)內(nèi)，一般的應(yīng)用都能正常運行，只是RDP協(xié)議造成網(wǎng)絡(luò)占用較多，對于性能不會造成太大影響，但是在廣域網(wǎng)甚至是互聯(lián)網(wǎng)上，RDP協(xié)議基本不可用。而且在辦公或娛樂占用大量帶寬時，即使局域網(wǎng)，RDP的性能也會受到較大影響，但ICA的用戶體驗依然很流暢。

4桌面虛擬化的安全風(fēng)險及安全技術(shù)

4.1桌面虛擬化安全風(fēng)險

（1）虛擬化相關(guān)軟件的安全風(fēng)險，主要安全風(fēng)險包括hypervisor 層的軟件篡改、管理接口非法訪問等。如果云平臺中的虛擬化軟件中存在安全漏洞，那么用戶的數(shù)據(jù)就可能被其他用戶訪問。

（2）虛擬機所面臨安全風(fēng)險由與傳統(tǒng)主機相同的安全需求包括安全監(jiān)控、病毒防御、日志審計等，同時還需面對鏡像完整性篡改、內(nèi)容泄露、以及虛擬機動態(tài)遷移過程信息竊聽等安全風(fēng)險。

（3）虛擬機網(wǎng)絡(luò)管理風(fēng)險是由于虛擬機之間進行數(shù)據(jù)交換時，由于在云計算中是多租戶共享資源，多個虛擬資源很可能會被綁定到同一個物理資源上。如是使用同一個虛擬服務(wù)器主機即同一物理主機，這些數(shù)據(jù)的交換并沒有經(jīng)過傳統(tǒng)的網(wǎng)絡(luò)接入層交換機，直接導(dǎo)致許多傳統(tǒng)的安全防護手段失效，沒有對虛擬機之間進行有效隔離控制，那就面臨數(shù)據(jù)安全及監(jiān)控審計等問題。

4.2虛擬化安全技術(shù)

傳統(tǒng)的安全方法論和手段措施對上述在虛擬化環(huán)境下所面臨的安全風(fēng)險并不適用。因此，針對上述虛擬化安全風(fēng)險，目前如下幾種重要虛擬化安全技術(shù)。

（1）支持虛擬機網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)

針對虛擬機網(wǎng)絡(luò)流量監(jiān)控的通信技術(shù)，較為典型的是邊緣虛擬橋以及基于虛擬交換機的通信技術(shù)兩種方案。

（2）虛擬機自省技術(shù)

虛擬機自省技術(shù)基于虛擬機監(jiān)視器（Virtual Machine Monitor，VMM）的協(xié)助在虛擬機外部對其進行安全監(jiān)控，達到入侵檢測及審計等安全功能。

（3）可信計算

可信計算是通過構(gòu)建信任鏈機制形成一個可信計算系統(tǒng)來保障平臺安全。它是基于硬件安全模塊支持下在計算和通信系統(tǒng)中廣泛使用的可信計算平臺，以提高系統(tǒng)整體的安全性。

5結(jié)語

近年來，桌面虛擬化技術(shù)已逐步應(yīng)用于各個領(lǐng)域。它的安全性、靈活性也得到了充分的保障，針對不同需求的網(wǎng)絡(luò)有著不同的側(cè)重，從而讓整個系統(tǒng)達到更高的安全性、可管理性、更低的總體擁有成本和更好的用戶體驗。今后，隨著硬件成本的不斷降低以及人們對虛擬化技術(shù)的需要的不斷提升，虛擬化技術(shù)的覆蓋面也將越來越廣，而桌面虛擬化技術(shù)在未來也會有更好的前景。

參考文獻

[1] 黃華.桌面虛擬化技術(shù)的現(xiàn)狀及未來發(fā)展研究.福建電腦，2009（09）.

[2] 王慶波， 金萍， 何樂.虛擬化與云計算[M]. 北京： 電子工業(yè)出版社， 2010.

[3] 易濤.云計算虛擬化安全技術(shù)研究. 信息安全與通信保密. 2012（05）.

[4] 沈余鋒，余小軍.云計算環(huán)境下虛擬化安全探討. 電力信息與通信技術(shù). 2013（11）.