你和美國銀行的執行官有什么相似之處？估計不是你薪水的位數。但是你們都使用筆記本電腦來處理業務。并且你如果不是正在使用桌面虛擬化技術，你也可能像某位美國銀行執行官一樣成為數據被盜的犧牲者。

你也許記得幾年前那位銀行執行官裝有未加密的客戶信息以及公司敏感數據的電腦被盜。他的硬盤內容隨后被提取出來并且被公開在維基解密網上。

最近，馬賽諸塞州的勞工部為210,000名失業人員的敏感數據可能遭到了泄露而道歉。這個病毒據報道來自犯罪黑客，通過1500臺政府電腦來獲取保密的工作申請人及雇主信息。

從這些事件來看，我好奇虛擬桌面架構（VDI）是否可以阻止它們以及無數其它數據遭竊取和病毒感染事件的發生。

讓竊賊拿走外殼，而你保留珍珠

珍珠潛水員熱愛尋找海洋中貝殼里面的寶藏。和計算機信息竊取者類似，竊取的快感僅僅是個開始。真正的獎勵是里面包含的內容——那些在不法分子手中會損害公司聲譽以及潛在影響其財務狀況的信息。

通過虛擬桌面架構，你可以將設備放入簡單的殼中，并且將真正的寶藏——公司信息，放在有訪問策略的數據中心中。

這意味著虛擬桌面訪問設備——瘦客戶端、個人電腦、iPad以及其它類型的客戶端硬件，變成了空空的外殼。

VDI是否消除了對反病毒軟件的需求？

由于虛擬桌面內在的安全機制，一些IT管理員認為反病毒軟件在虛擬桌面上是不必要的。對于額外資源消耗的關注則進一步鼓勵去除反病毒軟件。

但是反病毒軟件的優點在VDI環境中仍然是有效的。鏡像恢復以及集中管理是防止或減緩病毒擴散的絕佳的方法。但是它們并沒有防止初始的感染。即使你執行嚴格的數據傳輸策略，多種多樣的文件傳輸方式（包括越過了email掃描程序的email病毒）意味著虛擬桌面任然具有很高的風險。

McAfee以及Symantec最近宣布，它們的軟件在VDI環境中將運行的更加智能化。Symantec發布了白皮書來說明Symantec Endpoint Protection（SEP) 版本11包括了哪些對虛擬桌面環境的增強。進一步的，在最近的Symantec Vision Conference上，它們宣布SEP版本12將會進一步增強。這包括對克隆的鏡像的感知，以及在VDI環境中降低超過90%的IOPS。

結合VDI以及反病毒軟件的增強，很明顯虛擬桌面相對于傳統PC來說，能提供重要的安全性提升。

本地硬盤上的數據加密是不夠的

當然，有些人說傳統PC上的數據加密是足夠的。市場上有絕佳的產品，例如Symantec的PGP Whole Disk Encryption (WDE)能在本地硬盤周圍建立一個安全的環境。

問題是，當一臺設備上的數據已經不在雇員或者IT部門的實際掌控中時，要觸發內置在PGP標準芯片組中的“毒丸”，這臺設備首先要連入公共網絡中并接收“吞下毒丸”的指令來禁用其本身。

PGP安全管理員可以設置一個策略迫使系統與安全控制器定期會和。如果系統錯過了會和，它會自盡。這聽起來像007電影，而這就是問題所在。假想和現實往往并不一致。

在真實IT世界中的我們知道這個特性在大多數公司中是不切實際的。我把它比喻成一個響亮的汽車報警系統。鄰居在警報系統響起15分鐘后報警，然后警察再花費10分鐘到來。而一個專業的汽車盜賊可以在一分鐘內闖入一輛汽車并且利用引線啟動它。同樣的，一個精明的數據竊取者能夠在下一個計劃會和的時間前從存儲媒介中提取出數據。

如果你將所有數據放在數據中心內，然后使用虛擬桌面來展示它們，實施數據提取策略并且對于傳輸出數據中心的數據實施監視、控制以及保護，你保全了一個公司最重要的資產——信息。

VDI不是對于所有桌面安全問題的答案。但是和反病毒軟件一起，它是一個針對當今最嚴峻的安全挑戰的值得考慮的策略。