虛擬化與安全之間有什么關(guān)系？表面上看，虛擬化和安全分屬于不同領(lǐng)域，相互之間似乎沒有直接關(guān)系。也許有人會(huì)想到，虛擬化會(huì)給企業(yè)的信息安全帶來新的挑戰(zhàn)。不過，這種認(rèn)識并不全面，虛擬化在給企業(yè)信息安全新挑戰(zhàn)的同時(shí)，也為信息安全帶來了新的市場機(jī)會(huì)。應(yīng)該說，虛擬化技術(shù)為信息安全的有效應(yīng)用打開了又一扇窗戶。

實(shí)際上，Citrix、VMware等虛擬化廠商正是以“安全”作為桌面虛擬化和應(yīng)用虛擬化的主要賣點(diǎn)，而一些應(yīng)用層網(wǎng)絡(luò)安全廠商，如深信服科技有限公司，則在這方面走得更遠(yuǎn)一些，把虛擬化和自己的應(yīng)用安全產(chǎn)品融合到了一起，提供一個(gè)端到端更加完整的安全解決方案，從而為信息安全“趟”出了一條新的解決之道。

應(yīng)用虛擬化

“摟草打兔子”

虛擬化技術(shù)在安全領(lǐng)域的應(yīng)用其實(shí)很早就已經(jīng)開始了，而且是以一種比較簡單的方式。比如，很多用戶都會(huì)通過安裝虛擬機(jī)來進(jìn)行各種測試，一個(gè)虛擬機(jī)出現(xiàn)了問題，并不會(huì)影響到其他虛擬機(jī)和主機(jī)（Host）。這其實(shí)就是一種安全措施。而桌面虛擬化和應(yīng)用虛擬化則為信息安全提供了更多的保護(hù)手段。

本質(zhì)上，桌面虛擬化和應(yīng)用虛擬化都是基于服務(wù)器的虛擬化技術(shù)，是一種集中管控的模式。典型的桌面虛擬化應(yīng)用場景如下：用戶發(fā)出請求，虛擬化軟件先在服務(wù)器端為用戶創(chuàng)建出一個(gè)虛擬的桌面，然后通過網(wǎng)絡(luò)交付給最終用戶。雖然用戶仍然可以像操作普通的桌面一樣完成各種操作，但所有的后臺執(zhí)行其實(shí)發(fā)生在服務(wù)器端，推送到用戶面前的只是前端呈現(xiàn)的部分。應(yīng)用虛擬化技術(shù)的工作原理也與此類似，所不同的是用戶桌面顯示的是某個(gè)指定的應(yīng)用而已。比如，通過深信服的遠(yuǎn)程應(yīng)用發(fā)布+SSL VPN的終端虛擬化解決方案，可以為用戶交付在遠(yuǎn)端服務(wù)器上的虛擬桌面/應(yīng)用，并且可以跨平臺支持Windows、iOS、安卓等終端。其最大的優(yōu)勢在于，為用戶提供較好用戶體驗(yàn)的同時(shí)，還具備更高的性價(jià)比。同時(shí)，由于與SSL VPN設(shè)備的天然融合特性，這一產(chǎn)品也具備了更優(yōu)異的安全性。

桌面虛擬化和應(yīng)用虛擬化的好處很多，集中管控為應(yīng)用程序的升級和補(bǔ)丁發(fā)放帶來了很大方便，同時(shí)，還可以真正實(shí)現(xiàn)在任何時(shí)間、任意地點(diǎn)，通過任意一臺設(shè)備上網(wǎng)。以甘肅聯(lián)通用戶為例，采用深信服的遠(yuǎn)程應(yīng)用發(fā)布方案實(shí)現(xiàn)了1000多人的應(yīng)用虛擬化，讓移動(dòng)出差的員工可以隨時(shí)隨地訪問內(nèi)網(wǎng)的OA、運(yùn)維等業(yè)務(wù)系統(tǒng)。

事實(shí)上，從市場反饋來看，用戶采用桌面虛擬化和應(yīng)用虛擬化的最大需求正是來自安全考慮，其次才是移動(dòng)辦公、降低終端維護(hù)成本等內(nèi)容。目前桌面虛擬化的幾個(gè)大型成功案例，包括IBM的中國開發(fā)中心（CDL）和華為的桌面虛擬化項(xiàng)目，其最大的價(jià)值也是體現(xiàn)在數(shù)據(jù)的安全上。然而，正是因?yàn)椤鞍踩浴敝皇亲烂嫣摂M化和應(yīng)用虛擬化眾多優(yōu)點(diǎn)中的一個(gè)部分，缺乏專一性和針對性，所以，其在滿足復(fù)雜的安全需求時(shí)也存在一定局限性。

虛擬化為安全所用

與虛擬化廠商主要提供全功能的產(chǎn)品和解決方案不同，安全廠商采用虛擬化技術(shù)的目的非常明確——為安全服務(wù)。所以，安全廠商通常會(huì)根據(jù)自己的需要對虛擬化技術(shù)進(jìn)行定制和裁減，讓虛擬化“為我所用”。以深信服為例，除了常見的桌面/應(yīng)用虛擬化方案外，其還推出了專門針對終端安全的“虛擬化安全門戶系統(tǒng)設(shè)備（VSP）”。

深信服的虛擬化安全門戶系統(tǒng)設(shè)備（VSP）是一種安全桌面隔離的解決方案。與桌面虛擬化等通過基于計(jì)算機(jī)硬件層面的虛擬機(jī)，來實(shí)現(xiàn)終端數(shù)據(jù)的安全隔離不同，VSP實(shí)際上是一種在應(yīng)用層實(shí)現(xiàn)的輕量級虛擬機(jī)。其通過沙盒虛擬化隔離技術(shù)，將用戶終端PC從邏輯上隔離成兩個(gè)虛擬工作桌面，用戶可以在一個(gè)虛擬桌面內(nèi)訪問高級別業(yè)務(wù)系統(tǒng)，而在另一個(gè)虛擬桌面中訪問低級別系統(tǒng)。兩個(gè)虛擬桌面之間的網(wǎng)絡(luò)、文件訪問、應(yīng)用程序進(jìn)程、注冊表等都是受到安全隔離保護(hù)的，高級別的業(yè)務(wù)系統(tǒng)數(shù)據(jù)無法通過用戶終端泄漏出去。如果通過虛擬桌面訪問互聯(lián)網(wǎng)，也能夠?qū)崿F(xiàn)安全隔離功能，從而實(shí)現(xiàn)了對終端操作系統(tǒng)安全的防護(hù)。

本質(zhì)上，沙盒虛擬化技術(shù)是一種分布式的終端虛擬化方案，其運(yùn)行在用戶端，并不需要占用太多服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)資源。然而，與傳統(tǒng)的終端虛擬機(jī)方案相比，沙盒又不是一個(gè)嚴(yán)格意義上的虛擬機(jī)（比如，這個(gè)虛擬機(jī)中就不包括操作系統(tǒng)），而更像是一個(gè)應(yīng)用，所以僅需要80MB內(nèi)存左右就能夠運(yùn)行一個(gè)虛擬桌面。這樣一個(gè)巧妙定制的虛擬機(jī)，既能對數(shù)據(jù)、物理、注冊表、系統(tǒng)服務(wù)等資源進(jìn)行安全隔離，滿足數(shù)據(jù)防泄漏、防感染病毒等數(shù)據(jù)安全的需求，同時(shí)還能降低部署成本。

值得一提的是，在具備了兩種終端虛擬化解決方案（遠(yuǎn)程應(yīng)用發(fā)布、安全桌面）以后，為了能夠提升用戶的部署效率，降低TCO，深信服將遠(yuǎn)程應(yīng)用發(fā)布與虛擬化安全桌面融為一體，并稱之為“統(tǒng)一終端虛擬化”。只需要一個(gè)EasyConnect客戶端，就能在用戶訪問不同業(yè)務(wù)應(yīng)用時(shí)，提供多種方案，安全且易用。