云桌面整合了計算、存儲、網(wǎng)絡(luò )等資源,因此云桌面的安全也分為兩部分:云桌面承載平臺的安全和云桌面訪(fǎng)問(wèn)網(wǎng)絡(luò )的安全。網(wǎng)絡(luò )準入控制是指對網(wǎng)絡(luò )的邊界進(jìn)行保護,對入網(wǎng)終端的使用者進(jìn)行身份驗證,并對入網(wǎng)終端進(jìn)行合規檢查。傳統的云桌面廠(chǎng)商對云桌面承載平臺的安全性尤為關(guān)注,而網(wǎng)絡(luò )廠(chǎng)商在進(jìn)入云桌面領(lǐng)域時(shí),發(fā)揮了其天然優(yōu)勢,將網(wǎng)絡(luò )準入控制融入云桌面安全中,擴大了云系統的安全邊界、提升了云系統的安全等級。
1.云桌面準入的現狀
目前,大部分云桌面的準入主要依靠類(lèi)似LDAP服務(wù)器的用戶(hù)管理系統。如圖1所示,用戶(hù)在訪(fǎng)問(wèn)和使用云桌面前,網(wǎng)絡(luò )是暢通的,任何人使用任意終端都可以輕松連接到云桌面的登錄系統。用戶(hù)身份校驗通過(guò)后,即可訪(fǎng)問(wèn)和使用云桌面。在此過(guò)程中,用戶(hù)系統僅僅做了身份驗證的工作。相對于用戶(hù)系統搭建、維護的復雜程度(比如Windows AD),其投入產(chǎn)出比顯然無(wú)法達到管理者的預期。同時(shí),管理者樂(lè )于見(jiàn)到數據邊界不被觸碰,即在身份驗證通過(guò)之前,云桌面管理平臺與云桌面資源池均對用戶(hù)不可見(jiàn)。現有用戶(hù)系統也無(wú)法進(jìn)一步提升云系統的安全等級,很難支持證書(shū)認證、多因素綁定認證等安全性更高的認證方式。
圖1 云桌面系統
2.引入網(wǎng)絡(luò )準入控制技術(shù)
引入網(wǎng)絡(luò )準入控制技術(shù),是云桌面解決方案的重要一環(huán),也是迫切需求。網(wǎng)絡(luò )準入控制技術(shù)既可以解決云桌面無(wú)法直面的網(wǎng)絡(luò )安全問(wèn)題,也不會(huì )增加用戶(hù)使用的難度。
擁有網(wǎng)絡(luò )準入控制技術(shù)的云桌面系統可以稱(chēng)之為云桌面準入系統,如圖2所示。用戶(hù)在身份驗證通過(guò)前,無(wú)法訪(fǎng)問(wèn)云桌面管理平臺。用戶(hù)通過(guò)身份驗證后,用戶(hù)系統與云桌面管理平臺聯(lián)通,既直接將云桌面授權給用戶(hù)使用,又同步開(kāi)放了網(wǎng)絡(luò )權限。
圖2 云桌面準入系統
- 現有的網(wǎng)絡(luò )模式的無(wú)障礙過(guò)渡
現有網(wǎng)絡(luò )的各種認證方式(802.1X、Portal等)、各種網(wǎng)絡(luò )控制手段(ACL、VLAN等)都可以無(wú)障礙過(guò)渡到云桌面準入系統中。云桌面承載與網(wǎng)絡(luò )之上,因此前端采用802.1X或Portal并不影響云桌面的使用。而通過(guò)ACL或VLAN,可以為用戶(hù)單獨提供云桌面的訪(fǎng)問(wèn)權限,阻斷其他應用系統的訪(fǎng)問(wèn)權限。
- 高等級身份驗證
身份驗證的手段不再僅限于用戶(hù)名/密碼、信息卡等,證書(shū)認證、多因素綁定認證都均可平滑引入。高等級的身份驗證就像一道擋在用戶(hù)與云桌面之間的鐵門(mén),將非法用戶(hù)拒之門(mén)外,且防止暴力破解等非法手段。
- 單點(diǎn)登錄
用戶(hù)系統與云桌面管理平臺之間通過(guò)API接口等方式進(jìn)行聯(lián)動(dòng)。用戶(hù)系統通知網(wǎng)絡(luò )設備放開(kāi)網(wǎng)絡(luò )的同時(shí),將合法用戶(hù)的身份信息通知云桌面管理平臺,云桌面管理平臺即可將用戶(hù)對應的云桌面對用戶(hù)開(kāi)放。該過(guò)程中,用戶(hù)只需進(jìn)行一次認證,即可完成網(wǎng)絡(luò )準入和云桌面雙重認證。當然,這些都依托于合一的代理軟件或Web應用系統之間的對接。
- 瘦客戶(hù)機、利舊PC、移動(dòng)終端統一控制
網(wǎng)絡(luò )準入系統兼容多種類(lèi)型的終端。
對于瘦客戶(hù)機,可以直接在瘦客戶(hù)中預裝代理軟件或網(wǎng)頁(yè)控件,并將軟件或控件植入瘦客戶(hù)機的登錄界面。用戶(hù)在登錄瘦客戶(hù)機時(shí),即完成了所有認證,無(wú)感知使用。
對于利舊PC,直接安裝代理軟件或網(wǎng)頁(yè)控件。用戶(hù)完成認證后,即可在代理軟件或網(wǎng)頁(yè)中查看并使用已被授權的云桌面。作為一種擴展,代理軟件還可以對PC進(jìn)行合規檢查,保證PC安全無(wú)漏洞。
對于移動(dòng)終端,在移動(dòng)終端上安裝代理軟件。代理軟件還是一款移動(dòng)辦公的門(mén)戶(hù)軟件,除了集成準入、云桌面外,還可以將其他企業(yè)APP也集成到代理軟件中。這種彈性架構保證了移動(dòng)辦公業(yè)務(wù)的可擴展性和快速實(shí)施。
- 內網(wǎng)、外網(wǎng)一體化管理;有線(xiàn)、無(wú)線(xiàn)一體化管理
由于云桌面系統與網(wǎng)絡(luò )準入系統解耦,因此網(wǎng)絡(luò )形態(tài)不影響云桌面系統。
對于內網(wǎng)用戶(hù),有線(xiàn)接入時(shí)采用802.1X、Portal認證等,無(wú)線(xiàn)接入時(shí)采用WLAN 802.1X、Portal、MAC認證等;對于外網(wǎng)用戶(hù),采用VPDN、SSL VPN等方式接入。
用戶(hù)使用云桌面不受地點(diǎn)、時(shí)間、終端、網(wǎng)絡(luò )等的限制,這也是BYOD的延伸和擴展。
3.結束語(yǔ)
云桌面與網(wǎng)絡(luò )準入控制技術(shù)的契合,可以提高云桌面的安全等級,消除網(wǎng)絡(luò )風(fēng)險,整體提升云桌面解決方案的安全性。云桌面準入系統不受終端類(lèi)型的限制、不受接入時(shí)間地點(diǎn)的限制、不受網(wǎng)絡(luò )形態(tài)的限制,通過(guò)對使用者、終端、網(wǎng)絡(luò )的有效、規范的管理,能夠防止非法的信息竊取。在未來(lái)的網(wǎng)絡(luò )環(huán)境中,這一技術(shù)必將成為業(yè)界所探究的重點(diǎn)。
