桌面虚拟化是从桌面而言的,也就是说将我们的客户端操作系统直接安装在服务器上,通过客户端计算机直接访问服务器上的虚拟桌面进行相应的业务操作。从这个角度考虑,桌面虚拟化将使用户的桌面安全性及灵活性得以体现。只要通过网络,用户可以随时随地访问属于自己的桌面。
当然桌面虚拟化是以服务器虚拟化为前提的。首先必须在数据中心的服务器上进行服务器的虚拟化,建立一个一个的虚拟桌面,并按照一定协议发送给终端设备。用户终端通过网络连接至虚拟服务器,经过身份验证,进入自己的桌面系统。如此实现单机多用户。
桌面虚拟化在带来极大便利的同时,悄悄的引进了不安全性,作为用户是极难去发现和了解的。而且,市面上很少有专门的桌面虚拟化安全产品,虚拟化厂家售前会刻意吹嘘虚拟化的先进性而掩饰了其中的问题所在。
1、虚拟桌面提升的安全
桌面虚拟化技术可以在数据中心集中应用软件,从而简化治理及配置充分利用硬件资源、另外尽量减少烦人的软件冲突。为网管人员带来更大的控制权和灵活性,用户使用电脑时也不会为失去“自己的”桌面而悲叹。由于桌面在数据中心运行,因此管理员可以更轻松地对其进行部署、管理和维护。用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。部分桌面虚拟化软件集成了备份、故障切换和灾难恢复功能,并将这些优势扩展到桌面。桌面虚拟化可以降低管理和能源成本并延长 PC 的使用寿命,因而可以实现较低的总体拥有成本。
由此我们来看看桌面虚拟化带来的便利性提升:
通过桌面虚拟化技术可以从宏观上控制企业或单位内部的用户PC 硬件配置(虚拟的)及其操作系统和应用软件,可以统一地完成软件安装卸载、升级配置等操作,更重要的是可以统一部署安全软件(杀毒软件、防火墙软件)并及时打上系统安全补丁。同时也由于虚拟化技术的高度集中性管理,所有的用户数据都存储于数据中心,对于数据窃取的风险可以集中的轻松抵御,数据的安全性得到极大保障。某种程度而言用户不再需要去关心数据的存储安全问题。系统管理员从原先需要对每一台电脑进行维护,改进为只需要对几个关键设备进行维护,节省了大量人力物力,更重要的是节约大量的时间。带来便利性的同时我们再来看看桌面虚拟化带来了哪些安全性提升:
首先,分配给用户的一个个虚拟桌面和虚拟工作空间当然是建立在可靠的操作系统、应用软件、安全软件和理想的用户的配置文件基础上的,可以保证用户每次登录桌面所面对的软件都是最新的、最安全的,并且系统管理员可以在用户进行某些非法和恶意的行为时对其进行相应的控制和制止,保证整个虚拟网络的安全性。简而言之,虚拟桌面可以限制用户只能“做什么”,安全问题自然是可控的。其次,如上文提到的虚拟桌面带来的数据集中存储管理方式,是极为方便实现防止由于个人操作失误而造成数据损失这样的现象发生的。集中的数据存储管理减少了数据分布而产生的控制难度大问题。另外还有一个不得不提的好处就是当用户终端发生故障时,是不会造成数据丢失的更不会影响工作顺利进行的。虚拟桌面技术降低了灾难恢复的时间和费用,由于采用虚拟桌面,用户在本地不保存数据,当用户终端发生灾难性故障时,只要提供虚拟服务的服务器的是正常的,用户就可以在短时间内恢复自己的工作和业务。再者,虚拟桌面系统建立后,由于使用集中部署,系统管理员管理所有虚拟桌面的配置和安全,使得系统补丁、杀毒软件等变得利于部署利于预估,使得安全管理工作变得十分直接和直观。
2、虚拟桌面降低的安全
接下来要重点观察桌面虚拟化产生的不安全性:
数据泄露防护,又称为“数据丢失防护”是指通过数据技术方式,防止指定的数据信息被策略规定以外的第三方非法获取。虚拟化桌面技术兴起,相当一部分人以为通过桌面虚拟化将用户的信息整合在服务器进行统一管理,就可以达到数据防泄密的效果。却不料从虚拟化桌面的整体出发,用户端、传输端、服务器端、存储端等各个方面,都会产生安全风险。忽视了任何一个环都将导致整个虚拟化系统的信息漏洞。逐一分析如下:
2.1 用户端:就如虚拟化厂家售前鼓吹的,只要通过身份验证,用户便可随时随地的访问自己的桌面,开展自己的工作。这里试想一下,如果认证不靠谱会怎么样?如果通过验证的不是用户本人怎么办?桌面虚拟化是否也意味着所有人都可以随时随地的访问你的桌面呢?非虚拟化的个人电脑只要保护好“电脑”这个实实在在的硬件便可做到数据安全,拔了网线关了电源谁能窃取数据?而在桌面虚拟化下,这种安全措施不复存在。这就要求有更加严格可靠的用户身份认证机制。就好比以前ATM 取款只需要密码即可,而现今的网银需要相当严密的数字认证方可使用,这个道理是一样的。安全性和便利性往往就是鱼和熊掌的关系,其中必须进行权衡。
2.2 传输端:虚拟化桌面的发展趋势必然是虚拟化的桌面云,大多数的企业和单位都会将虚拟桌面部署在云端,供用户远程接入。在接入点上往往要部署一定的安全产品,常见的就是防火墙、硬件VPN。而这些安全产品所使用的安全技术在目前而言并不是所有的用户端产品都支持的,经常发生的就是智能手机不能很好的兼容各种VPN,苹果系统、微软系统的平板电脑对于安全产品的兼容也是大相径庭。用户终端的五花八门决定了往往在部署桌面虚拟云的时候还得定制专业安全厂商提供的解决方案。现今很多网络服务商提供了一些免费的云存储服务,一旦企业或单位采用此种免费云搭建虚拟桌面云,无疑在安全传输方面必须使用云服务提供商的特殊传输加密认证机制,如此一来免费服务随即升级为增值服务,成本增加,安全也打了问号。
2.3 服务器端:各大虚拟化厂家在进行虚拟化部署的时候往往都采用多物理服务器协同工作的方式,搭建各种冗余备份各种负载均衡,甚至是异地灾备,这确实增强了系统的可靠性和高效率,也能很好的满足在大并发环境中的系统可用性。但这种部署方式的一个直接结果就是产生了一个显而易见的安全隐患:容易遭到分布式拒绝攻击(DDos)。因此需要在服务器的前端负载均衡器上部署高性能的安全控制组件,又或者于防火墙的后端搭建可以进行有效身份认证及授权的安全网关。而这两处节点往往都会被系统管理员所忽视。
2.4 存储端:之前提到的虚拟桌面的集中存储方式,用户的所有数据都存储于服务器端的存储设备中,往往是后台的磁盘阵列系统中,往往是采用NAS 架构的存储系统。对于这种数据存储模式,虚拟化的部署者往往认为只要管理好集中存储系统的软硬件便可以避免数据泄露及保证数据安全。这里我们再试想一下,那如果是部署者或者是具有管理员权限的管理者别有用心那是什么状况呢?所有用户的所有数据信息岂不是他们的囊中之物吗?这种集中式的数据存储反倒是极好的满足的他们的窃取欲望。具有一般电脑知识的用户都会知晓,系统管理员的权限那是相当“超级”的,浏览、增加、删除、复制、运行无一不可,出于对管理员的不信任也是当前部分用户抵制桌面虚拟化的一个重要原因。“数据还是拿在自己手上最安全”,这样的想法甚至是普遍存在的。
3、虚拟桌面的安全建议
虚拟化系统的安全优化应体现在四个主要环节:访问控制,政策执行,配置控制和日志。那么虚拟化部署者和管理者应该在哪里寻求解决办法呢?首先,他们必须承认,安全性和控制性是必要的而不是可有可无的,而且这方面的需要是不断增长的,就算现阶段部署的虚拟化产品是符合安全要求的不代表一段时间之后它还是安全可靠的。因此,每个虚拟化方案提供商的业务重点在任何情况下都应该是:安全知识。
桌面虚拟化的部署可以考虑如下几个有效提高虚拟化安全性的手段:通过MAC 地址的绑定限制:对于允许用户访问云端的用户桌面进行一个范围限定是个不错的办法。当然这样的做法肯定是牺牲了一定灵活性,也许就不能实现随时随地访问了。比如用户在网吧或者是朋友家的电脑这些未登记的终端上就无法访问云端自己的桌面,但这种方式无疑可以大幅提升用户端的可控性和安全性。企业或单位内部局域网的终端和互联网云端的通讯可以建立SSL 协议进行传输加密,确保整体传输过程中的安全性。虚拟化桌面在传输端的安全性得以保证。
在虚拟化桌面的系统中,一般采用特定的加密设备进行数据的加密存储,为了满足不同用户要求,可以在加密算法的选择上由前端用户指定。与此同时,在数据存储的管理上需要考虑权限的分配管理,确定必要的系统管理员、数据审核员和数据备份人,避免某人权限过大,还要通过严密的日志统计分析系统记录所有的系统操作,对所有的操作都要做到可追溯。这些相关的措施对于虚拟桌面的服务端安全性来说是相当必要的。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅谈桌面虚拟化之安全性