盡管桌面虛擬化的BYOD安全效益，但它仍不是防止數據泄露的最好方法。要真正有一個安全的運行環境，你需要有嚴格控制數據訪問控制的方法。

實現桌面虛擬化架構(VDI)可以解決一些BYOD安全問題，因為應用程序雖然是在客戶機上運行,但實際上是部署在公用服務器上的,客戶機上使用的是經過虛擬化部署的虛擬應用。這有助于防止侵入性的攻擊，例如那些寄生在公共服務器程序中的病毒,當病毒離開公共服務器的，攻擊就失效了。

面向BYOD安全的虛擬化桌面架構

對經常過時的IT設備和諸多的單位計算機的限制等不滿的最終用戶現在已經開始攜帶他們自己熟悉的設備去工作：例如iPad, iPhone,移動設備，MacBook，安卓設備等等。但是，當他們從這些設備訪問公共的服務器(如Microsoft Excel電子表格，Adobe PDF文件等)，網絡就很難控制。即使用戶只需簡單從一個安全的公共環境發送一封電子郵件到其他人的個人設備，就可能導致BYOD的安全問題。

為了減輕這些風險，一些機構轉向虛擬化部署，通常只是會話虛擬化，用戶在公用服務器上運行程序。許多公司試用虛擬化桌面架構或基于計算機的傳統服務器(如微軟遠程桌面服務和Citrix XenApp)。

為什么VDI無法完全杜絕安全問題

BYOD的安全問題不只是外部的威脅，數據溢出是另一個主要的安全問題，千里之堤毀于蟻穴，假如服務器被外部的計算機人員掌握,就很可能處于危險之中。

對于使用VDI的BYOD來說，不能只做好BYOD本身的安全問題。一旦部署了虛擬程序的和VDI桌面的服務器被病毒感染，那么BYOD的安全問題就很嚴重了，因為病毒會隨著網絡傳播到客戶機上，這時候本機就像完全不設防一樣。

更多BYOD的安全問題：

VDI虛擬桌面可以讓BYOD更加安全，但管理員經常忽略了將數據修改的權限集中于服務器的重要性。一旦用戶可以連接到服務器，通過本地客戶機打開或者修改文件。比如，如果你在客戶機的Outlook建立一個規則，把你所有能接收的email都指向一個外部賬戶，你就可以把服務器上的數據都發送到安全網絡之外。

這種數據泄露的后果有時候比病毒嚴重得多，所以你必須嚴格控制服務器數據的訪問權限。

控制數據訪問的方法

服務器上的數據很容易產生反彈式的泄露，病毒或者惡意程序會把數據從服務器內部發送到服務器外部，更甚者會產生0day漏洞的攻擊。為了預防這些漏洞的產生，管理員必須嚴格控制好端口轉發，白名單，可信任列表等。

要進一步控制數據的訪問，管理員就得把控制好應用程序的執行。如限制程序的執行范圍和執行時間，哪些客戶端可以使用哪些應用程序，限制客戶端通過內部網絡可訪問的外部網絡等。

BYOD的安全問題需要管理員有主動防御的意識，而不是等到發生了問題再去不斷地修復。所以管理員必須要對BYOD的安全有很好的了解，才能做到防范于未然。