如何確保VDI網絡的連通性及安全性

　　談到VDI時，強大的網絡是您最好的朋友。在部署虛擬桌面之前，需要考慮如何提供網絡流量監控、故障診斷、QoS控制、網絡基礎設施保護以及安全訪問控制等。
　　首先，需要區分網絡流量的優先級。這樣VDI網絡纔不會不堪重負。測試網絡的一種方法就是僱傭一批“養路工”，使用收集的信息來設置網絡流量的優先級。
　　很多路由器以及交換機都包含通過流量類型或者TCP端口號對VDI網絡流量優先級進行區分的工具。然而，您可能想了解一些帶寬優化產品，比如F5 Networks、Riverbed Technology、Citrix Systems、Blue Coat Systems以及Zeus Technology提供的產品。
　　管理用戶的預期至關重要。儘管VDI廠商爲用戶提供了調整協議以及帶寬優化方法，但事實上網絡不可能突破物理規則的限制。虛擬桌面基礎設施的一大優勢就是能夠實時、動態監控網絡延遲。這些系統將潛在的、製造混亂的網絡延遲及時通知給管理虛擬桌面環境的人。
　　檢查VDI網絡連通性
　　帶寬優化產品通常提供了模板及插件，能夠輕鬆地對提供負載均衡功能的設備進行配置。這些產品同樣圍繞虛擬桌面基礎設施的可用性增加了更多的智能。一旦最終用戶通過這些網絡設備連接到虛擬桌面，這些設備將成爲最終的仲裁器：用戶通過它連接代理或者安全服務器。
　　例如，F5 Networks的BIG-IP設備提供了iApp控件，用於檢查網絡的連通性。您可以下載並配置該插件並在VMware View中使用。管理員能夠查詢安全服務器以及連接服務器角色的狀態。如果發現安全服務器或者連接服務器不可用，那麼這些具備智能的設備會將最終用戶重定向到可用的服務器上。
　　F5 BIG-IP內的iApp控件允許管理員感知安全服務器並設置檢查服務器健康狀態的輪詢時間間隔。iApp通過給VMware View基礎設施上可用的HTTP門戶發送字符串“VMware. *View Portal”進行連接查詢。如果安全服務器以及連接服務器正確地響應了該請求，系統就知道這些服務器在線並且可用。
　　如果VDI網絡連通性查詢沒有返回合法的響應，客戶端將被重定向到完全可用的View系統中。在重定向之前，條件語句檢查安全服務器及其配對的連接服務器是否可用。
　　不要忘記VDI網絡的安全性
　　混合的桌面環境需要恰當的安全策略和服務爲客戶端以及網絡基礎設施提供保護。基於服務器的計算以及虛擬桌面由於訪問其餘的企業網絡提供豐富的圖形終端而產生了巨大的安全漏洞。
　　既然虛擬桌面安全中最脆弱的一個環節就是用戶，您應該設置嚴格的密碼策略，要求用戶更加頻繁地重新設置密碼，並且密碼必須遵循相應級別的複雜度。
　　不幸的是，嚴格的安全性可能會輕易導致最終用戶將密碼寫在便籤紙上。很多組織採用了雙因素認證機制，使用諸如RSA SecurID、SafeWord或者是智能卡等技術。例如，在政府工作的人員必須將上述安全技術集成到他們的虛擬桌面策略中。然而，並不是所有的虛擬化廠商對雙因素認證系統提供全面的支持。
　　請記住安全始於足下。因此，請使用VDI廠商的網絡圖表標出在每一跳所採用的通信路徑，然後在防火牆、代理以及桌面上應用軟件以及網絡加固策略以減少總體的受攻擊面。
　　爲提升安全性，您還應使用一系列嚴格的桌面策略。簡單的方法就是使用現有的微軟活動目錄組策略對象，或者組織可以採購工具用以封堵典型的Windows客戶操作系統所存在的漏洞。
　　採用應用虛擬化優先策略是另一種減少在桌面上安裝的軟件數量的方法，在桌面上安裝的軟件可能會引發VDI安全性問題。這一策略不僅減少應用衝突，而且還減少了黑客能夠劫持的用戶模式應用的數量。

本文轉自：如何確保VDI網絡的連通性及安全性 - 桌面虛擬化 - 51CTO技術博客