在云桌面時(shí)代,只要一臺顯示器和可以連接網(wǎng)絡(luò )的設備,插上網(wǎng)線(xiàn),就可以得到一個(gè)云桌面服務(wù)提供商的桌面。對于企業(yè)員工和IT管理人員來(lái)說(shuō),初期購買(mǎi)的花費、安裝軟件、復雜的配置、經(jīng)常需要打補丁、安裝殺毒軟件等等煩惱都沒(méi)有了。但是,安全問(wèn)題仍然不可避免:我的桌面安全嗎?我的數據會(huì )被人竊取嗎?我可以隨時(shí)使用我的桌面嗎?我的數據都保存在一個(gè)集中的地方會(huì )不會(huì )有很大的風(fēng)險?……如何保證云桌面的安全?本文將重點(diǎn)討論。
如圖1所示,云桌面通常包括以下幾部分。
圖1 云桌面組成示意
- 訪(fǎng)問(wèn)層,包括各種可以訪(fǎng)問(wèn)云桌面的終端設備,可以是特定的瘦終端,也可以是傳統的PC電腦,筆記本電腦,手機等。
- 接入層,由虛擬桌面鏈接協(xié)議和網(wǎng)絡(luò )設備組成,網(wǎng)絡(luò )設備可以是透明的,通過(guò)交換機/路由器IP可達即可,也可以通過(guò)防火墻/VPN來(lái)增強傳輸安全性。
- 數據中心中有控制層和應用層等軟件系統層,以及H3C CAS虛擬化管理平臺搭建的服務(wù)器虛擬化層,軟件系統方面的安全和穩定性是構造安全的云桌面系統的關(guān)鍵。此外在數據中心還有服務(wù)器,存儲,網(wǎng)絡(luò )設備組成的硬件平臺。
可見(jiàn),構造一個(gè)安全的云桌面系統需要通盤(pán)考慮,才能建立一個(gè)完整的安全防護體系架構。忽略整個(gè)系統任何一個(gè)小的方面,都可能導致整個(gè)系統的不安全。
1. 訪(fǎng)問(wèn)層安全
云桌面系統,所有計算和和數據的存儲都是在云端,客戶(hù)端不保存用戶(hù)的數據,在客戶(hù)端和(后臺)云端通信時(shí),傳輸的僅僅是位圖的變化,并沒(méi)有實(shí)際用戶(hù)的數據傳遞到客戶(hù)端,所以不用擔心數據在從服務(wù)器端傳遞的過(guò)程中被竊取。
云桌面可以提供細粒度的訪(fǎng)問(wèn)控制,可以通過(guò)安全策略開(kāi)放或者關(guān)閉 USB 、打印機端口等;同時(shí)USB 端口可以分等級控制:保證連接在上面的掃描儀、智能卡等可以正常使用,但是禁止使用大容量存儲盤(pán),即確保敏感數據不會(huì )通過(guò)U盤(pán)泄露出去,又保證了業(yè)務(wù)的正常進(jìn)行。
此外,云桌面系統還可以提供細粒度的文件復制黏貼控制,可以單向禁止從云中拷貝內容至原生操作系統上,保障企業(yè)業(yè)務(wù)數據安全;反方向禁止拷貝亦然,防止不安全文件在云中擴散。
2. 接入層安全
為了防止有竊密者通過(guò)非法獲取別人的用戶(hù)名和密碼,或者使用自己的用戶(hù)名密碼在安全區域外通過(guò)任何一臺瘦客戶(hù)端來(lái)訪(fǎng)問(wèn)云桌面,需要添加另外一種認證方式。這種認證方式可以是在交換機上開(kāi)啟802.1X認證,使得只有規定MAC的終端在規定端口上才能接入網(wǎng)絡(luò ),非規定終端無(wú)法連入,充分保證接入網(wǎng)絡(luò )的安全性,保障企業(yè)核心數據區。此外,如果將終端MAC和用戶(hù)賬號綁定,可以防止其他人使用非規定賬號接入云桌面中。再通過(guò)智能卡配合認證,可以防止賬號被隨意使用,實(shí)現人與賬號的綁定。
客戶(hù)端和服務(wù)器之間的通信由于是通過(guò)網(wǎng)絡(luò )上傳播,所以有可能被人竊聽(tīng)、破解,來(lái)破壞數據的完整性。為了防范這種情況的出現,一種方法是采用專(zhuān)有網(wǎng)絡(luò )方案,即搭建專(zhuān)網(wǎng),設立防火墻并建立安全域。這樣可以確保網(wǎng)絡(luò )中的客戶(hù)都是可信任客戶(hù)最終保障數據傳輸安全。另一種方式是對通信的數據進(jìn)行加密。在云桌面方案中一般對于公司防火墻外的非信任用戶(hù)提供安全連接點(diǎn),外部用戶(hù)通過(guò)這個(gè)安全連接點(diǎn)連接到防火墻內的服務(wù)器,這種安全連接點(diǎn)的方式可以是 SSL VPN,也可以是L2TP、PPTP這樣的二層隧道。對于公司防火墻內部的用戶(hù)和服務(wù)器之間的連接,一般是通過(guò) SSL 協(xié)議進(jìn)行加密傳輸。通過(guò)這兩種方式,云桌面方案有效的保證了數據傳輸的安全性。
3. 虛擬桌面鏡像安全
虛擬桌面鏡像技術(shù)是虛擬桌面的核心技術(shù)之一。使用虛擬桌面鏡像可以將桌面配置成浮動(dòng)桌面池,這樣只需要重啟桌面,桌面就可以自動(dòng)恢復到未受病毒感染時(shí)的狀態(tài)(初始鏡像) , 而用戶(hù)身份數據保存在云端,不會(huì )受到病毒的影響。但是如果用戶(hù)有私有文件,或是使用自動(dòng)/手動(dòng)桌面池的話(huà),由于這些文件是可寫(xiě)的,病毒就可能常駐在這些文件里面。如果貿然通過(guò)初始鏡像還原,可能造成用戶(hù)數據的丟失。使用備份鏡像還原則可能造成病毒的再擴散。因此防病毒軟件必不可少。我們需要運行反病毒軟件來(lái)清理病毒,必須給云桌面中的桌面安裝防火墻和防病毒軟件,和傳統桌面相比,這種安裝非常快,一般只需要在幾個(gè)初始鏡像上進(jìn)行安裝就可以了。
傳統的桌面操作系統也通常受到各種漏洞的侵擾,比如最常使用的Windows XP操作系統漏洞多達萬(wàn)余個(gè),需要及時(shí)安裝官方補丁來(lái)修補漏洞,防止惡意軟件利用操作系統漏洞侵入。云桌面系統可以批量分發(fā),安裝補丁,并根據需求優(yōu)先安裝指定補丁,十分便于運維,并大幅提高終端安全性。
4. 數據中心硬件安全
和通常的數據中心的服務(wù)器一樣,云桌面方案中的服務(wù)器也必須遵循企業(yè)一般的安全策略,如關(guān)閉所有的不需要的端口,安裝必須的防火墻以及升級到最新的安全補丁,每天進(jìn)行備份,部署監控軟件等等。云桌面中的存儲的安全要求和企業(yè)中的其他存儲安全基本上是一樣的。最常用的存儲安全方式是在 FC 的路由器做分區和邏輯單元數掩碼。
5. 管理權限安全
在傳統桌面中,用戶(hù)數據都是保存在本地的硬盤(pán)當中,非授權用戶(hù)未經(jīng)許可,難以獲取用戶(hù)數據。但是在云桌面方案中,用戶(hù)數據都是保存在服務(wù)器存儲中,云桌面管理員可以比較容易的獲取這些數據,這就要求對用戶(hù)數據加密,防止未經(jīng)授權的獲取用戶(hù)數據,同時(shí)對管理員的密碼和訪(fǎng)問(wèn)都需要做出嚴格的限制,防止用戶(hù)數據的泄密。
云桌面系統中所有的管理都集中到云端進(jìn)行,不小心的誤操作或者黑客獲得管理權限之后的有意操作會(huì )造成很大的影響,影響的大小取決于操作的類(lèi)型和總的用戶(hù)的數量,所以在云桌面系統中可以采取以下兩種措施來(lái)消除這種影響。
- 定義不同的管理角色。例如分為維護管理員,組織管理員和超級管理員,可以根據實(shí)際需要來(lái)進(jìn)行更細粒度的劃分。
- 審計。對每個(gè)涉及到系統變更的操作都需要做好審計工作,這樣在事故發(fā)生以后可以追溯系統中的變化。審計也能有理由識別出惡意操作,及時(shí)發(fā)現系統的漏洞。
6. 結束語(yǔ)
通過(guò)在前端、網(wǎng)絡(luò )、服務(wù)器、存儲、軟件架構、管理權限等各個(gè)方面實(shí)施安全措施,我們可以搭建一個(gè)安全可靠的云桌面系統,解決最困擾IT管理人員的終端安全問(wèn)題,讓大家一起享受云計算帶來(lái)的好處。
