在寻找保护终端用户安全的救世英雄时，企业不妨考虑一下虚拟桌面基础设施。
目前，瘦客户端（thin client）正卷土重来，这得感谢服务器虚拟化的潮流。我们都记得，前些年IT界曾尝试过给商业桌面瘦身，让它变得小巧精悍易于管理。可是当用户们得知一旦装了瘦客户端之后，就不能随意安装自己喜爱的应用程序时，他们就变得犹豫不决了。无盘瘦客户端提供了基于数据中心的操作系统，但其优势仅仅在于降低了边际成本，增强了管理性能。专业的信息安全人员绝不会因为这些好处而青昧终端服务，因为他们担心一旦入侵者攻入中央服务器，损失将难以估量。不过，现在服务器端的虚拟化为瘦客户端在业界的普及铺平了道路。在取悦终端用户方面，如今的虚拟桌面基础设施（virtual desktop infrastructure，下称VDI）和以往的瘦客户端只在伯仲之间，两者的主要区别在于VDI得到了IT和信息安全专业人员的广泛关注和认可。
在VDI中，服务器内存是在多台虚拟机间分配的，因此更易管理，安全性也得到了显著提高。这是桌面计算（desktop computing）的典型范例：安全、灵活且与平台无关（platform independent）。说客户端“瘦”，是因为操作系统并未绑定到硬件上，而是集中存储。连接客户端和网络的唯一桥梁是一个简洁的专用桌面管理程序（hypervisor）。
所有进军服务器虚拟化市场的知名厂商都有自己的虚拟桌面产品。VMware公司开风气之先推出VDI，让IT界意识到了它的存在。思杰系统公司（Citrix Systems）一直是终端服务领域的老大，它去年收购了XenSource公司。今年3月，微软公司（Microsoft，下称微软）也宣布将收购VDI厂商Kidaro公司。目前，虚拟桌面软件和那些“臃肿”的普通应用程序同样都需要Windows许可证，所以微软公司是左右逢源，处于双赢的境地。当然，虚拟环境并不能支持运行所有的应用程序，比如说欧特克公司（Autodesk）就不建议在虚拟环境中使用它的Productstream或Vault，但好在大多数主流软件都能正常运行。使用VDI的连带好处，是你可以严格地管理许可证，确保只有那些有访问权限的用户能在规定时间内使用指定的应用程序。此外，对需要非标准操作系统的遗留系统的支持也将变得更加容易。
硬件厂商们在VDI大潮中不甘落后，他们也推出了具有针对性的产品。从架构上来说，VDI将客户端的存储库转移至一台或数台中央服务器，这就需要大容量的快速存储系统，一般来说是存储区域网络（storage area network）。配有专为管理程序优化后的CPU的系统将提供最佳的性能，让用户能获得最新最强大的硬件辅助虚拟化（hardware-assisted virtualization）。为了协助VDI的推广，英特尔公司（Intel，下称英特尔）在CPU中内嵌了博锐技术（vPro）和虚拟化技术，而超微半导体公司(Advanced Micro Devices，下称AMD）亦是如此。
说起信息安全，你也许听过下面的一些术语：硬件辅助虚拟化、统一威胁管理（unified threat management）、自适应安全（adaptive security）、可信平台模块（Trusted Platform Modules）。赛门铁克公司（Symantec，下称赛门铁克）承诺在18月内为英特尔的博锐平台提供虚拟安全设备。用户可以在VDI瘦客户机上以访客身份运行虚拟机，同时运行一个安全虚拟机或虚拟安全设备。厂商们知道，对那些考虑采用VDI的企业来说，信息安全迟早会成为一个重要的决定因素。目前厂商吸引企业的方法有两种：一是制造更安全、更易于管理、更加智能化、具有虚拟化感知能力（virtualization-aware）的处理器，这是英特尔和AMD等厂商的做法，二是帮助企业完全摆脱传统的客户端-服务器模式，转投新型的架构，这是VMware公司、Pano Logic公司和Stoneware公司等厂商的做法。
我们不能因为厂商的推销说词而盲目地购买产品，并且VDI的普及也还有一段长路要走。不过，我们认为信息安全专业人士还是应该好好研究一下VDI在安全方面的优势，否则他们也许会错失良机。