为什么虚拟桌面比物理桌面更安全

在安全的问题上，物理桌面和虚拟桌面那个更有优势一直以来都存在争论？很多人认为虚拟桌面只是将桌面集中部署到数据中心，本质上没有改变桌面的使用方式，所以安全上没有改善，这种观点的主要论据如下：

• 桌面OS和软件没有变化，2种类型桌面还是会遭遇***，感染病毒等。

• 用户行为在使用2种桌面时没有区别。所以用户行为导致的安全威胁无论在哪种桌面上都存在。比如VDI用户还可以在通过邮件、网盘等方法向外传送数据。用户还是有可能浏览被种马的网页，打开被感染的文档。

• 虚拟桌面能防范的安全威胁，如不会因设备丢失导致数据丢失，在物理桌面上也早就有大量安全应对方案，如Symantec的PGP加密，微软EFS等，而且成本相对部署VDI更便宜。

• 虚拟桌面带来了新的安全威胁。如同一个主机上的虚拟机之间的隔离问题，hypervisor本身的安全性问题等

从我个人的经历来讲，以上的论据都没有问题，虚拟桌面不是一剂万能良药，不要期望其能够解决所有的安全问题，如果有人仅仅以安全为由向你推销虚拟桌面，那么，对方肯定是个骗子。但是，从我管理物理桌面和虚拟桌面经验来看，我认为虚拟桌面安全方面有天然的优势，下面我们从多个方面来说明这个问题：

传统PC也可以通过加密解决这个问题，但是做个PC管理的从业人员都知道，部署加密软件从来就是一个苦力活：

• 每台PC上面需要安装加密软件客户端。客户端可能针对操作系统版本不同有不同的版本。OS升级之后，加密软件可能也需要升级，升级过程中可能会出现很多异常。另外，还需要考虑加密软件和其他软件的兼容性，比如我就碰到过加密软件和杀毒软件、备份软件不兼容的状况。

• 取决于磁盘/数据量大小，首次全盘加密需要可能长达1天。这个期间用户不能使用，PC管理员还需要经常检查加密进展状况。

• PC的性能受影响，用户向IT抱怨。这个是显而易见的。

• 管理成本提升。用户忘记密码或者离职之后没有留下解密密码，那么加密软件管理员需要被卷入进来。

• 上了加密之后最痛苦的是什么？是不能解密！很多PC管理员有过这样的经历：用户PC没法解密，原因有几种，硬盘可能出现坏道，系统不能启动，数据要拿出来要先解密，但是很多时候因为硬盘坏道解密过程进行不下去，最后数据全没了。还有的加密软件自身的问题导致不能解密，笔者已经见过很多个这样的例子。而且发生问题的还是鼎鼎大名的厂商的产品，如Symantec、Checkpoint的产品。

• 而虚拟桌面因为集中部署，不会因为客户端设备丢失导致数据泄露。

• 
  

一般企业里面出现中毒情况，主要2种场景：

PC管理员都有这样经历：补丁服务器或者防病毒服务器上发现部分PC没有更新，由于种种原因（如用户断开网络，用户休假，将PC带离公司网络等）物理PC很多时候是处于离线的状态，无法应用企业内部安全更新或者AD策略。该PC在线之后可能不能应对安全威胁。而虚拟桌面一直处于在线状况，更新速度更快，被威胁的几率更小。

由于脱离企业防火墙、威胁防护网关的保护，对于离开企业安全环境的PC而言，直面互联网威胁导致的安全风险更高。而虚拟桌面和互联网之间始终有安全设备进行隔离，相对而言更加安全。进一步来讲，从企业拥有的整理PC数量而言，已物理桌面方式部署相对于以虚拟桌面方式部署，前者遭受***的面更广。

就算所有的安全策略失效，数据遭到破坏，如感染勒索病毒，通过备份数据可以恢复回来。虚拟桌面的用户数据大多数时候重定向到集中位置（如NAS存储或者文件服务器），非常备份；反观物理PC的数据备份，完完全全就是个噩梦，特别是大规模的PC环境。这也说明，虽然这一点上虚拟桌面没有表现的更安全，但是却给IT管理员一个提供快速摆脱安全问题的途径。

对于安全人员来讲，最担心的是有安全策略部署的死角。比如有不受管的PC，特别是PC上部署的安全策略被"聪明"的用户绕过或者破坏的情况。这可能因为"一粒老鼠屎，坏了一锅汤"，前面99%的努力全部白费。

但是企业往往存在这种情形，比如某天突然发现网内有一台完全不受管的PC，经查证，这台PC原来是部门人员离职后闲置下来的，期间甚至OS都已经被某些不可查证的离职员工重新安装过了，可能杀毒软件都没有，甚至已经访问过无数的未经许可的外设（U盘、SD卡、光盘等），病毒也是一大堆。这就是物理PC分散部署的弊端凸显。

而虚拟桌面这方面具有天然的优势，桌面更多的是在IT人员掌控当中。

总而言之，虚拟桌面不是万能良药，其本身不是安全解决方案，只是他的部署方式相对于物理桌面，天然带有一些安全的特性。主要来讲，我认为虚拟桌面的部署给我们带来更多的是：它本身没有改变用户习惯，桌面的软件环境，但是你可以更加全面、快速和简单地应用你的安全策略。

以上仅仅从安全的角度进行比对，没有整体上对比部署物理桌面和虚拟桌面的优劣。