你和美国银行的执行官有什么相似之处？估计不是你薪水的位数。但是你们都使用笔记本电脑来处理业务。并且你如果不是正在使用桌面虚拟化技术，你也可能像某位美国银行执行官一样成为数据被盗的牺牲者。

你也许记得几年前那位银行执行官装有未加密的客户信息以及公司敏感数据的电脑被盗。他的硬盘内容随后被提取出来并且被公开在维基解密网上。

最近，马赛诸塞州的劳工部为210,000名失业人员的敏感数据可能遭到了泄露而道歉。这个病毒据报道来自犯罪黑客，通过1500台政府电脑来获取保密的工作申请人及雇主信息。

从这些事件来看，我好奇虚拟桌面架构（VDI）是否可以阻止它们以及无数其它数据遭窃取和病毒感染事件的发生。

让窃贼拿走外壳，而你保留珍珠

珍珠潜水员热爱寻找海洋中贝壳里面的宝藏。和计算机信息窃取者类似，窃取的快感仅仅是个开始。真正的奖励是里面包含的内容——那些在不法分子手中会损害公司声誉以及潜在影响其财务状况的信息。

通过虚拟桌面架构，你可以将设备放入简单的壳中，并且将真正的宝藏——公司信息，放在有访问策略的数据中心中。

这意味着虚拟桌面访问设备——瘦客户端、个人电脑、iPad以及其它类型的客户端硬件，变成了空空的外壳。

VDI是否消除了对反病毒软件的需求？

由于虚拟桌面内在的安全机制，一些IT管理员认为反病毒软件在虚拟桌面上是不必要的。对于额外资源消耗的关注则进一步鼓励去除反病毒软件。

但是反病毒软件的优点在VDI环境中仍然是有效的。镜像恢复以及集中管理是防止或减缓病毒扩散的绝佳的方法。但是它们并没有防止初始的感染。即使你执行严格的数据传输策略，多种多样的文件传输方式（包括越过了email扫描程序的email病毒）意味着虚拟桌面任然具有很高的风险。

McAfee以及Symantec最近宣布，它们的软件在VDI环境中将运行的更加智能化。Symantec发布了白皮书来说明Symantec Endpoint Protection（SEP) 版本11包括了哪些对虚拟桌面环境的增强。进一步的，在最近的Symantec Vision Conference上，它们宣布SEP版本12将会进一步增强。这包括对克隆的镜像的感知，以及在VDI环境中降低超过90%的IOPS。

结合VDI以及反病毒软件的增强，很明显虚拟桌面相对于传统PC来说，能提供重要的安全性提升。

本地硬盘上的数据加密是不够的

当然，有些人说传统PC上的数据加密是足够的。市场上有绝佳的产品，例如Symantec的PGP Whole Disk Encryption (WDE)能在本地硬盘周围建立一个安全的环境。

问题是，当一台设备上的数据已经不在雇员或者IT部门的实际掌控中时，要触发内置在PGP标准芯片组中的“毒丸”，这台设备首先要连入公共网络中并接收“吞下毒丸”的指令来禁用其本身。

PGP安全管理员可以设置一个策略迫使系统与安全控制器定期会和。如果系统错过了会和，它会自尽。这听起来像007电影，而这就是问题所在。假想和现实往往并不一致。

在真实IT世界中的我们知道这个特性在大多数公司中是不切实际的。我把它比喻成一个响亮的汽车报警系统。邻居在警报系统响起15分钟后报警，然后警察再花费10分钟到来。而一个专业的汽车盗贼可以在一分钟内闯入一辆汽车并且利用引线启动它。同样的，一个精明的数据窃取者能够在下一个计划会和的时间前从存储媒介中提取出数据。

如果你将所有数据放在数据中心内，然后使用虚拟桌面来展示它们，实施数据提取策略并且对于传输出数据中心的数据实施监视、控制以及保护，你保全了一个公司最重要的资产——信息。

VDI不是对于所有桌面安全问题的答案。但是和反病毒软件一起，它是一个针对当今最严峻的安全挑战的值得考虑的策略。