https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

端點安全為附加價值 桌面虛擬化需要更全面的理由

2011 / 07 / 25
吳依恂
端點安全為附加價值 桌面虛擬化需要更全面的理由

過去,端點與資料中心之間的關聯多半是獨立考量,未來隨著雲端時代來臨,企業會逐漸的合在一起考慮。不過,也正由於桌面虛擬化的導入會讓管理更集中化,也就是會造成流程組織變更,並且人員也需要調適,使用者可能面臨到使用習慣的改變,比較強勢的業務單位也許不願意配合,而IT人力資源也可能重新分配,前、後端管理人員的工作可能因此不同等種種變革,都可能讓桌面虛擬化的導入無法順利進行或是達到預期效益。因此在思考此種解決方案時,IT人員必須從更多的面向來考量,並確實的掌握其投資報酬率,才能獲得其充足的資源與營運者的支持。

端點裝置四散 雲端時代更難管
過去資料中心跟資料庫是相對重要的核心,Client端常常被忽略,但是未來在走向雲端的時代,資料外洩事件將可能會越來越嚴重,而端點亦為一個可能的外洩管道管道。VMware大中華區技術總監張振倫觀察近年來,台灣與兩岸之間關係的變化,使得企業在管理分支機構或擴廠,更加快腳步。並且這兩年來伺服器虛擬化逐漸成熟,桌面虛擬化市場今年也已經開始慢慢成長,張振倫更是預估明年會有明顯的高成長。台灣微軟前端平台事業
部產品行銷經理賴建宇觀察到,尤其在ECFA通過後,兩岸三地的溝通越來越頻繁,特別是對台灣銀行業去大陸設分行的需求,企業也在尋求一種方式中央控管的方式,讓前端的東西集中到在台灣總部來控管。(見圖1)

圖1: 桌面虛擬化漸成主流


針對端點的安全控管,其實過去也一直有各種軟、硬體解決方案,然而,隨近年來企業持續的全球化經營,朝海外發展,儘管過去的端點安全解決方案雖然可符合部分需求,但隨著組織架構及分支機構越多,管理人力、成本也會日趨上升,導致逐漸無法負荷。

Citrix大中華區總裁曹衡康說,當終端電腦從一千台變成一萬台時,姑且不論當中的硬體設備如處理器、記憶體品牌或規格如何,光是作業系統的大量升級,其汰換的速度就很慢了。而針對資安的需求,在網路上傳遞的甚至也不是資料,而是操作訊號,傳送到後端交由資料中心來處理,他舉例,就像開電視機一樣,電視螢幕裡並不存有資料。

目前電腦週邊的端點裝置面臨到的挑戰大約可分做下面幾項:
(1)管理:
挑戰-軟、硬體版本的不一致或是作業系統的設定環境,終端使用者可能會去下載一些免費的工具,終端環境很難維持當初採購時的統一規格,這些都會導致IT人員管理困難,當有許多分支機構時,就更難以維護,但軟體版本的更新以及使用者自行卸載等也是個問題。簡志偉也舉例DLP導入可能面臨到的挑戰,一是成本,目前還是有很多企業買不起,其二則是怎樣定義機敏資料?如果沒有明確定義好,到時候就還是會有些資料沒有保護到,還是有機會外洩出去。
(2)資安:
挑戰-過去傳統的資安控管還是有很多問題。例如利用硬體解決方案時,直接把主機板上的usb功能關閉,或是在usb裝置上上封條,可是當需要使用時,又很不彈性。運用軟體解決方案,使用者又會把agent卸載,結果每台終端設備上的policy就難以佈署完整。
在2010年個資法通過之後,端點安全的需求也受到法規而較為明顯,華碩聯合科技業務總經理林福能就曾提到,有些企業希望可從硬體方面就確實的阻隔端點外洩的可能,因此開始有比較多的企業採購已切斷USB線的主機板設備。他說過去就有需求,不過都是金融單位個案,但現在看得到較多製造業需求,所以也與其他廠商配合正式推出安全解決方案在軟、硬體各方面整合。企業在採購電腦時,還是會採購一般PC,不過可能是搭配軟體端點控管,分發給總經理或高階主管應用,其他如RD部門或國防單位,就採取這種乾脆的作法,直接切斷主機板USB線。
(3)營運:
挑戰-由於資料仍存放在client端,但由於軟硬體條件往往不同,所以備份每台終端設備裡的資料也比起備援資料中心困難得多,存在著資料毀損的風險。包括地震或災害發生時,都可能造成營運持續的問題。
(4)成本:
挑戰-一般PC汰換週期僅約3~5年(thin client約可達7~10年),且汰換時的佈署時間也長,設備數量一多,管理成本也就相對提高,還有電力功耗等成本。(見圖2)

圖2: 華為內部桌面雲實踐




若以端點安全控管的解決方式來看,的確有各種方法,不過,台灣微軟伺服器平臺事業部產品行銷經理簡志偉說,只要有資料在終端就不可能做到百分之百的防範,還是有可能透過無線網卡、藍芽等把資料弄出去,而且有些人可能真的就是有USB裝置的需求,這樣反而會造成使用上的不便。而綜合以上端點控管所面臨到的困難,桌面虛擬化解決方案或許可符合其需求。因此我們來看看桌面虛擬化應用的狀況。



資料來源:微軟提供。資安人整理(2010年12月)

桌面虛擬化之可應用層面
目前,VDI依然還是一個很新的技術,最早推出的廠商也僅推出兩、三年左右,可以說市場才剛起步,比起更之前推出的應用程式虛擬化,更強調使用者體驗,不僅將應用程式虛擬化,也將使用者體驗及作業系統整體虛擬化,過去舊的thin client(或Terminal Server)架構,所使用的應用程式都是同一 套,沒有彈性,但不見得每個人的工作都需要套用到一樣的應用程式,使用環境也不同。

而目前的運用族群,主要集中在具有多個分支機構的企業,例如分店很多但IT人力不足,需要集中管理的零售服務業,可以在POS系統上即時反應到ERP系統;營業窗口多且分散的電信業;金融產業的分行櫃檯、Call Center;時常有人員在外處理業務的保險業以及有在海外擴廠需求的高科技製造業RD部門等。

此外VDI可以提供商業營續性,台灣微軟資深專案技術專員鍾曜戎舉例,有些部門更換人員的速度很快,例如客服中心,在多人要共用同台電腦的情況下,通常一台電腦會需要存放很多使用者檔案,但是VDI可以透過電腦連上後端,具有專屬的使用者設定或虛擬機器,在交接時變得更加迅速,在佈署時可以很快複製,不需要一台一台裝。鍾曜戎也提到某客戶針對機敏資料的存取僅放在北部總公司,而且是放在完全實體隔離的小房間內,當中南部分公司的人有存取資料需求的時候,就會專程上北部來使用。若必須把資料拿出隔離環境,就透過加密程序將資料燒在光碟裡,一旦資料洩漏時就可循線追查,但這樣僅是事後追查,還是無法杜絕資料外流。如果透過桌面虛擬化,便能徹底將資料集中在後端控管,並且也不需再透過這麼繁雜的手續,可以提升效率、減少使用不便。

桌面虛擬化的挑戰與限制
此外,近來也有一種訴求桌面虛擬化應用的隨身碟出現,Check Point台灣區技術顧問陳建宏表示,儘管該產品與桌面虛擬化廠商有功能重疊以及差異的地方,但其實在應用面上卻可以互補,除了桌面虛擬化之外,尚強調安全性及可移動。由於桌面虛擬化需要特定的軟體agent安裝於Client端設備上,因此環境僅能在內網使用。

在外移動的環境,陳建宏提到由於桌面虛擬化的安裝必須在作業系統上,且在內網傳輸不走Tunnel,所以若下載資料下來會是明碼,且虛擬化與實體機器之間並沒有隔離,資料就可以存在實體機器上,離開電腦後Cache還留存著,這也是一個作業系統未虛擬化可能造成的風險。此外,他提到國外有某保險業採購萬支隨身碟,並在內安裝桌面虛擬化的軟體應用程式,這樣一來使用者甚至就不用進行VPN的設定,隨插即用。並且在沒有網路的環境時,資料還是可以離線編輯,並存在Abra,透過遠端中央控管。

儘管桌面虛擬化可以解決部分資安問題,尤其是端點方面(如USB、光碟等),精品科技技術總監賴頌傑認為,伺服器總是必須要與其他伺服器做資料交換,不可能完全封閉,否則也就沒有資安疑慮。因此針對其他聯通管道仍有資安需求,例如內網的網芳,外網的Email、Web Mail、FTP等。並針對哪些人存取哪些檔案的操作記錄,與其他伺服器資料交換時的監控記錄等,也都必須多加留意。

桌面虛擬化最主要的好處在於集中化的管理,但以資安防護觀點來說上且不夠,所以對於原本就有權限的人還是要做到監控、記錄的防護,以避免洩密。此外,賴頌傑也說,要擴大到全公司的使用,並達到簡化、集中管理的目的,則後端給予的應用程式類別自然不可能多,否則IT人員也必須個別製作不同的映像檔,然而這又會考驗到使用者的彈性,使用者習慣也是全面導入桌面虛擬化的一大考驗。

不過,也有某高科技製造業反應,在資料監控部份,不管是連網的需求或是權限的控管,都有既有管理方式,而後端伺服器之間交換的記錄與監控,亦可在應用程式寫入,因此他認為廠商應提供的是更加便利以及管理性更高的解決方案,並深化其應用面。

桌面虛擬化能為企業營運帶來什麼?
隨著雲端運算思維更加前進與普及,新的虛擬技術勢必會持續的介入產業架構改變一切。但從案例的訪談當中我們發現,在台灣運用的案例並不算多,究其原因在於企業找不到其明確的ROI。除了在IT工作上的集中管理以及端點資安的防護以外,還必須要找出可以為企業營運加分的選項,更深入了解產業需求及特性,從業務活動中開拓出更有競爭力與實際效益的方法,站在企業營運角度來看,若只從IT管理簡化與資安控管層面來解套,尚難找出一個強而有力的導入理由。