打破VDI安全神話:控制終端裝置就控制了VDI資源
很多CISO和安全人員都將虛擬桌面基礎設施(VDI)和其他遠端應用解決方案視為安全屏障。他們覺得VDI能將敏感資源與使用者裝置隔離,讓黑客無法突破。然而,這是個危險的想法。 事實上,VDI對網路罪犯來說不過是小小一道坎而已。
VDI用例很多,可供僱員從瘦客戶端或個人膝上型電腦登入伺服器託管的桌面,可賦予第三方訪問企業資產的“受控制”許可權,可供IT管理員和其他特權使用者將VDI伺服器當成“跳板主機”來管理企業重要資產。但無論你的VDI用例是什麼,企業資產都會暴露出來。
- 瘦客戶端
用瘦客戶端連線Windows系統遠端VDI桌面的僱員,並不比其他Windows筆記本使用者在安全上高明到哪兒去。該遠端桌面依然暴露在一系列常見攻擊方法之下,包括電子郵件、Web、外部媒體、使用者安裝的應用等等。
- 非託管僱員裝置
很多公司都允許僱員用私人膝上型電腦等非託管裝置連線企業VDI桌面。一旦這些終端使用者裝置本就被黑了,情況可想而知。這種情況下,攻擊者首先獲取到使用者個人膝上型電腦的控制權,然後冒充該使用者與遠端VDI桌面互動。這種攻擊對技術要求不高,在使用者個人膝上型電腦上安裝上現成的商品化遠端控制軟體,等待使用者通過身份認證,然後以使用者的名義控制該VDI會話就行了。
有些人認為,只要阻止使用者個人膝上型電腦和遠端VDI桌面之間的剪貼簿操作,就可以挫敗攻擊。這種想法太過天真。攻擊者完全可以通過模擬鍵盤敲擊隱祕而快速地將整個指令碼傳送過去,然後在遠端VDI桌面上執行該指令碼。自此,取得VDI桌面完全控制權就很容易了。此類攻擊用不到任何零日漏洞,隨便一個有點想法和毅力的攻擊者都能做到。
- 第三方連線
使用VDI訪問公司資源的第三方供應商和承包商,與使用非託管裝置的員工對公司安全性的破壞程度是差不多的。如塔吉特資料洩露和Equifax資料洩露事件所揭示的,網路罪犯只需感染一臺供應商裝置,就能通過VDI拉取無數敏感資源。雙因子身份驗證對VDI會話沒有太大幫助,因為已經駐守在機器上的攻擊者僅僅是等待成功的身份驗證,然後發起攻擊。
- 特權使用者
一些企業允許IT管理員通過跳板主機或託管在VDI終端伺服器上的跳板機登入特權管理控制檯。跳板主機通常來講是種安全健康的操作,但如果用來訪問特權主機的裝置是一臺被黑個人裝置,情況就不妙了。更別說個人裝置被黑的情況還是如此常見。惡意黑客會搜尋IT管理員,然後盯上他們。攻擊者一旦感染了IT管理員的個人裝置,基本上也就能通過VDI控制整個企業網路了。
VDI隔離問題
為什麼VDI安全不行?根源在於:VDI並不是隔離解決方案。它不隔離遠端敏感資源和用以訪問這些資源的裝置。如果黑客控制了終端使用者裝置,他們就控制了VDI資源。
任何沒有完全隔離的方法都是脆弱的。對敏感資源的本地訪問或遠端訪問,永遠不應該與暴露給外部世界任何企業或個人用例相混雜。微軟等安全供應商和SWIFT之類的金融機構都在不厭其煩地重申這條指南,提出要使用單獨的作業系統例項來訪問敏感資源,包括在VDI上的那些。
現實中的隔離
那麼,實際情況又如何呢?
一種基於虛擬機器管理程式的新方法,是將終端使用者裝置轉換為軟體定義終端——每臺終端都有多個隔離的虛擬機器。該方法完全隔離了對敏感資源的訪問,又不限制使用者的自由或要求多臺電腦。
使用者所做的一切都在虛擬機器中進行,包括作業系統和所有應用程式。一個作業系統供個人隨意使用,另一個用於訪問敏感資源,無論是本地訪問還是通過VDI訪問。控制了個人虛擬機器的攻擊者無法看到或控制敏感資訊訪問虛擬機器。攻擊者必須攻破虛擬機器才可以破壞系統安全。這麼做既可以提供公司企業所需的防護,又能賦予使用者其渴望的高生產力。
VDI本身最多能提供一種誤導性的虛假安全感,最壞情況甚至能給公司帶來滅頂之災。企業必須意識到這種風險,並採取適當的隔離措施來保護自己。