目前,基于虚拟化技术的云计算(Cloud Computing)应用模式已经成为主流,特别是以桌面终端为主要办公工具的机关环境及业态复杂的企业,其IT的发展方向均以虚拟化技术为主导,整合并统一管理计算资源,建立高度灵活、可扩展的IT资源池。通过桌面云建立的统一计算资源池,支持计算资源的动态调整和按需分配,支持内存复用技术,对于硬件资源池的消耗可以达到有效监控及利用。例如,按照不同工作岗位对硬件性能的不同需求,合理分配CPU、内存和存储资源,当计算能力发生变化时,通过对资源池运算情况的时监控,可动态调整资源分配,最大程度地避免资源浪费。
文章对某种应用场景下的桌面云总体架构、安全性设计及云计算发展前景进行讨论。
1.应用场景描述
应用场景如图1所示。
图1 应用场景
在该应用场景中,根据用户与桌面云平台之间的关系,对用户分类如下。
(1)一般用户
场景描述:常驻办公室办公人员。
应用需求:最终用户需要标准的办公环境,需要访问的系统与工作性质相关。
安全需求:受限制的桌面系统权限、定期进行系统
(2)特殊需求用户(开发用户)
场景描述:对性能与功能有特殊要求的用户。特殊需求用户可能拥有一种到多种特性需求。特殊需求可能包括:高性能配置、高级的桌面系统权限。
应用需求:本地PC处理非业务应用,核心应用配以较高资源。
安全需求:自由的桌面系统权限、定期进行系统杀毒、定期系统还原。
功能支持:用户可利用办公室中部署的本地PC访问虚拟桌面。
(3)远程用户(通过VPN拨入)
场景描述:用户访问桌面的地点不确定,通过VPN方式接人桌面云系统,实现随时随地进行办公。
应用需求:最终用户可访问标准的办公环境,或者与工作性质相关推送的相关应用。
安全需求:受限制的桌面系统权限、定期进行系统杀毒、定期系统还原。
功能支持:用户可利用办公室中部署的瘦终端访问虚拟桌面,也可以利用VPN链接通过个人电脑、家庭电脑、智能设备等方式访问虚拟桌面,保证普通办公用户随时随地进行办公,具备少量的系统自定义功能。
2.设计思路及原则
设计桌面云整体解决方案,在考虑整体桌面云架构设计的同时,要与用户实际应用需求相结合,通过一个整体的云计算格局对资源进行统一的管理和调用,如:管理桌面云、开发测试云、存储云及HPC云等生产系统的相关资源,并实现自动化、自助化的弹性伸展环境。设计时应注意以下原则:
1)统一设计原则。统筹规划和统一设计系统结构,尤其是整体架构、数据安全、网络架构、数据存储结构以及系统迁移规划等内容,均需从全局出发、从长远的角度考虑,既要考虑系统建设初期的快速稳定上线目标,又要考虑为未来业务的发展预留足够空间。
2)高可靠/高安全性原则。架构支持水平或垂直扩展,支持基于软硬件的负载均衡和集群技术等,支持关键组件的冗余备份功能,如当某个服务器出现故障时,要有其他服务器接管,同时主机设备具有高度的可靠性和相当强的冗余性,以提供尽可能高的可靠性和可用性‘5]。系统安全性方面,应充分考虑用户、数据、系统、网络方面的安全性要求,防止来自外部非法的访问。系统具有用户的身份认证和权限管理,对应不同的应用层次,既能保证不同用户高效、快速地访问控制授权范围内的系统资源,也能有效地阻止用户之间的非法侵人、非授权访问。
3)易用性原则。在不降低用户体验的基础上,具有增强的用户界面,供各类用户提供多种使用手段。
4)成熟性原则。在软硬件工具的选择上,选择成熟的产品和规范,选择成为业界标准的、被大量实践所采用的技术。选用具有成熟性、可持续发展性的产品和供应商。整体系统要采用国际主流、成熟的体系架构来构建。
5)可扩展性原则。设计要考虑到业务未来发展的需要尽可能设计得简明,考虑满足现有环境下将来的扩展。
3.总体架构设计
通过对应用场景的分析,桌面云的总体架构设计如图2所示。
图2 桌面云总体架构
图2中总体架构分为4个区域,实现数据中心桌面云的建设、总部办公区对桌面云访问、远程用户对桌面云的访问。在数据中心桌面云中,规划设计了9类服务实现桌面云:
1)负载均衡服务。负责收集每一台服务器里面的一些动态信息,当有应用请求时,自动将请求转到负载最轻的服务器上运行。
2)用户验证服务。负责用户信息验证与管理。
3)桌面/应用推送服务。负责创建与推送管理桌面与应用,并对桌面与应用进行管理。
4)权限划分服务。负责管理用户在推送的桌面与应用上所拥有的权限。
5)资源池管理服务。负责管理系统涉及到的物理设备资源,包括:物理主机、存储、网络等。
6)系统安全服务。负责管理系统相关的安全与认证。
7)数据存储服务。负责用户数据与系统数据的存放与管理。
8)数据备份服务。负责用户数据与系统数据的备份。
9)接入控制服务。负责处理客户端接入桌面云系统的请求,并对此进行认证与管理。
4.安全性设计
云安全(Cloud Security)是指“云”端数据的使用安全。云用户的机器不再是独立的机器,而是网络中的一个节点,交给全球运行的服务网络。云用户的数据放在“云”上,数据存储在“云”中,就意味着数据存在被盗用和滥用的可能。因此,在进行系统设计时,需要考虑信息安全问题,即信息的机密性、完整性和可用性!I0桌面云系统通过数据的加密和数据访问的认证和授权来保证数据的机密性,通过各种安全传输协议来保证数据传输的机密性,通过为桌面云各组件配置冗余组件来保证负载均衡和高可用性。
4.1 瘦客户端
瘦客户端((Thin Client)l8]指的是在客户端一服务器网络体系中的一个基本无须应用程序的计算机终端。它通过一些协议和服务器通信,进而接人网络。随着虚拟化技术的广泛应用,许多用户现在喜欢在桌面或笔记本电脑上使用瘦客户端来工作。瘦客户端网络为存储共享数据和应用的服务器提供多个访问点,因此会产生影响整个IT基础设施的风险。在瘦客户端依赖的中心网络资源出现故障时,一些瘦客户端模式会导致业务中断的风险提高。攻击者常常利用瘦客户端的漏洞,使用专门的恶意软件攻击系统,攻击的重点往往是瘦客户端上普遍使用的组件,例如基本的商务应用、操作系统或云服务部件。
瘦客户端防范的重点在于限制用户安装应用,用户不能安装其他可能扩大客户端受攻击范围或导致系统感染恶意软件的应用;保持客户端完整性,所有客户端基于已知的配置基准,保持一致的状态,通过为基于服务器的镜像添加补丁程序,可快速、统一地应用新补丁程序;同时,瘦客户端能够返回至已知的良好状态,通过重新启动或重新加载先前版本的单个虚拟容器文件,可返回至已知的良好状态。
4.2 瘦客户端和服务器端的网络
客户端和服务器之间的通信由于是通过网络上传播,所以有可能被人窃听、破解,破坏了数据的机密性和完整性。为了防范这种情况的出现,一种方法是采用私有云方案,保证网络中的客户都是可信任的客户。另一种方式是对通信的数据进行加密。
在桌面云方案中,一般对于公司防火墙外的非信任用户提供安全连接点,外部用户通过这个安全连接点连接到防火墙内的服务器,这种安全连接点的原理类似于SSL VPN。对于公司防火墙内部的用户和服务器之间的连接,一般是通过5SL协议进行加密传输。
通过这两种方式,桌面云方案有效地保证了数据传输的安全性。
4.3服务器端
服务器端的安全重点是服务器虚拟化的安全、企业应用服务器的安全、Web服务器的安全。
虚拟机管理器VMM是用来运行虚拟机VM的内核,代替传统操作系统管理底层物理硬件,是服务器虚拟化的核心环节,其安全性直接关系到上层的虚拟机安全。因此,VMM自身必须提供足够的安全机制,防止客户利用溢出漏洞取得高级别的运行等级,从而获取对物理资源的访问控制,给其他客户带来极大的安全隐患。虚拟机管理器应启用内存安全强化策略,使虚拟化内核、用户模式应用程序及可执行组件(如驱动程序和库)位于无法预测的随机内存地址中,接口应严格限定为管理虚拟机所需的API,并关闭无关的协议端口。
企业应用服务器的安全应考虑以下几个方面:首先,不同管理人员应具有不同权限,使用不同账户管理服务器。实际使用中,在一个服务器上可能会部署多个应用,如一台应用服务器可能既是邮箱服务器,又是文件服务器。而不同的应用由不同的管理员负责,为了管理方便,常常会利用同一个用户名管理不同服务,这是不安全的;其次,应安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒、杀毒;其他方面,应限定存取网络上的任何数据均通过密码登录,同时,限定远端用户只能存取单一服务器。
为提高Web服务器的安全性,应对Web应用建立独立的服务器,定期审查事务日志。通常情况下,攻击过程往往会在Web服务器的事务日志中留下记录,如非法攻击者试图通过密码字典破解工具,尝试网站管理员的口令与密码的时候,就会在Web服务器的日志中留下记录。如果在事务审计中,设置当用户密码最多输人错误次数的话,则当超过这个最大次数的时候,服务器就会在自己的日志中记录这条信息。此时,管理人员可以看到这条信息,并及时采取措施,如更改复杂密码等手段,来提高服务器的安全性。
5.结语
近年来,中国云计算开始进人实质性发展的阶段,各方力量在云计算的发展过程中都起到了推动作用,其中包括大型rr跨国设备制造商(现在转变为云计算解决方案提供商)、地方政府、国内互联网企业及传统电信运营商。云计算将分散的计算、存储、服务资源有机整合起来管理和服务,这种服务既可以是rr和软件、互联网相关,也可以是其他服务,是目前实现资源共享、有效管理的最新技术。随着云计算产业链的日趋成熟,云计算将会在中国落地开花。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:桌面云及安全性设计
本文网址:http://www.toberp.com/html/consultation/10839511304.html
相关文章
