打破VDI安全神話:控制終端設備就控制了VDI資源
責編:gltian |2018-09-27 13:18:35很多CISO和安全人員都將虛擬桌面基礎設施(VDI)和其他遠程應用解決方案視為安全屏障。他們覺得VDI能將敏感資源與用戶設備隔離,讓黑客無法突破。然而,這是個危險的想法。事實上,VDI對網絡罪犯來說不過是小小一道坎而已。
VDI用例很多,可供雇員從瘦客戶端或個人筆記本電腦登錄服務器托管的桌面,可賦予第三方訪問企業資產的“受控制”權限,可供IT管理員和其他特權用戶將VDI服務器當成“跳板主機”來管理企業重要資產。但無論你的VDI用例是什么,企業資產都會暴露出來。
- 瘦客戶端
用瘦客戶端連接Windows系統遠程VDI桌面的雇員,并不比其他Windows筆記本用戶在安全上高明到哪兒去。該遠程桌面依然暴露在一系列常見攻擊方法之下,包括電子郵件、Web、外部媒體、用戶安裝的應用等等。
- 非托管雇員設備
很多公司都允許雇員用私人筆記本電腦等非托管設備連接企業VDI桌面。一旦這些終端用戶設備本就被黑了,情況可想而知。這種情況下,攻擊者首先獲取到用戶個人筆記本電腦的控制權,然后冒充該用戶與遠程VDI桌面交互。這種攻擊對技術要求不高,在用戶個人筆記本電腦上安裝上現成的商品化遠程控制軟件,等待用戶通過身份認證,然后以用戶的名義控制該VDI會話就行了。
有些人認為,只要阻止用戶個人筆記本電腦和遠程VDI桌面之間的剪貼板操作,就可以挫敗攻擊。這種想法太過天真。攻擊者完全可以通過模擬鍵盤敲擊隱秘而快速地將整個腳本發送過去,然后在遠程VDI桌面上執行該腳本。自此,取得VDI桌面完全控制權就很容易了。此類攻擊用不到任何零日漏洞,隨便一個有點想法和毅力的攻擊者都能做到。
- 第三方連接
使用VDI訪問公司資源的第三方供應商和承包商,與使用非托管設備的員工對公司安全性的破壞程度是差不多的。如塔吉特數據泄露和Equifax數據泄露事件所揭示的,網絡罪犯只需感染一臺供應商設備,就能通過VDI拉取無數敏感資源。雙因子身份驗證對VDI會話沒有太大幫助,因為已經駐守在機器上的攻擊者僅僅是等待成功的身份驗證,然后發起攻擊。
- 特權用戶
一些企業允許IT管理員通過跳板主機或托管在VDI終端服務器上的跳板機登錄特權管理控制臺。跳板主機通常來講是種安全健康的操作,但如果用來訪問特權主機的設備是一臺被黑個人設備,情況就不妙了。更別說個人設備被黑的情況還是如此常見。惡意黑客會搜尋IT管理員,然后盯上他們。攻擊者一旦感染了IT管理員的個人設備,基本上也就能通過VDI控制整個企業網絡了。
VDI隔離問題
為什么VDI安全不行?根源在于:VDI并不是隔離解決方案。它不隔離遠程敏感資源和用以訪問這些資源的設備。如果黑客控制了終端用戶設備,他們就控制了VDI資源。
任何沒有完全隔離的方法都是脆弱的。對敏感資源的本地訪問或遠程訪問,永遠不應該與暴露給外部世界任何企業或個人用例相混雜。微軟等安全供應商和SWIFT之類的金融機構都在不厭其煩地重申這條指南,提出要使用單獨的操作系統實例來訪問敏感資源,包括在VDI上的那些。
現實中的隔離
那么,實際情況又如何呢?
一種基于虛擬機管理程序的新方法,是將終端用戶設備轉換為軟件定義終端——每臺終端都有多個隔離的虛擬機。該方法完全隔離了對敏感資源的訪問,又不限制用戶的自由或要求多臺電腦。
用戶所做的一切都在虛擬機中進行,包括操作系統和所有應用程序。一個操作系統供個人隨意使用,另一個用于訪問敏感資源,無論是本地訪問還是通過VDI訪問。控制了個人虛擬機的攻擊者無法看到或控制敏感信息訪問虛擬機。攻擊者必須攻破虛擬機才可以破壞系統安全。這么做既可以提供公司企業所需的防護,又能賦予用戶其渴望的高生產力。
VDI本身最多能提供一種誤導性的虛假安全感,最壞情況甚至能給公司帶來滅頂之災。企業必須意識到這種風險,并采取適當的隔離措施來保護自己。