在我们最近一轮对企业IT人员的采访中,我有机会讨论了新兴虚拟化企业的许多方面。最重要的变化之一是将访问与位置分离:使访问和使用系统位置的能力独立于位置。许多公司都通过扩展终端服务、创建虚拟桌面环境、将服务转移到web前端或对关键服务使用SaaS来实现可访问的所有企业系统和应用程序。
在这些情况下,端点的安全性成为关键的安全性考虑因素。毕竟,不管VPN有多好,密码有多复杂,如果公司员工受到鱼叉式网络钓鱼攻击,机器就会被秘密接管,一切都完了。用于捕获密码的键记录器,以及从已知的VPN节点工作的能力,让有进取心的犯罪分子有机会从内部探测弱点。尽管大多数公司都认识到内部威胁的重要性,但采用面向内部的防御(以及随之而来的网络架构变更,以减轻内部威胁造成的损害)的做法仍是一种意识。
提供更安全的远程访问的一种方法是只允许从公司控制的硬件进行访问。然而,公司越想让员工在任何地方都能工作,这个负担就越沉重,因为它需要为每一位远程工作者提供安全可靠的公司笔记本电脑(在大多数公司,笔记本电脑的价格仍然是台式电脑的两倍)。硬件、软件、许可和支持成本迅速增加,组织不可避免地必须对投资对象进行选择。不过,我们的目标并不是假定您可以预先知道如果不受地域限制的话,可能会为公司做出贡献的所有人员,而是让企业本身无国界,让任何想在任何时间、任何地点工作的人都能够工作。
为了实现这一点,该公司必须提供廉价的安全端点。目前,实现这一目标的影响最小的方法是通过将远程访问技术(如终端服务或虚拟桌面)与一个简单的可引导的安全客户端相结合。比如,通过向终端用户提供一个严格锁定的Linux映像,将一个web浏览器和一个u盘或CD上的远程桌面客户端结合在一起,公司就可以避免向每个人提供笔记本电脑,或者必须事先决定谁可以远程贡献,谁不能。相反,它们可以给用户一个安全的数据密钥,告诉他们从它启动,然后对接下来发生的事情感到更加安全。