打造“虚拟化”桌面的安全措施(2)

发布时间:2014-07-02 15:48 作者:佚名来源:Zdnet至顶网点击:加载中...次

数据存储层面的安全问题

采用桌面虚拟化技术之后，所有的信息都会存储在后台的磁盘阵列中，为了满足文件系统的访问需要，一般会采用NAS架构的存储系统。这种数据存储方式使得管理员对核心数据的控制力度过大，以前需要从多台电脑上获得的数据现在较容易就可以获得了，而且数据是集中存储的。管理员的权限增加带来的风险使得管理员进行泄密和破坏的成本降到最低，即便是数据进行了加密，管理员也可以将整盘数据进行拷贝，然后再进行破解。

用户层面的安全问题

使用桌面虚拟化技术后，用户的桌面特性被统一化和定制化，但在很多情况下各个用户的软件需求不同，各个业务部门的软件需求也不同，虚拟化的桌面特性只能满足部分人员和部门的需求。如果满足所有用户的需求就需要尽可能的增加镜像文件的容量，管理员将面临着虚拟主机的快速增长，造成对虚拟化桌面系统的管理非常困难，同时虚拟机的利用率也有很大程度的降低，每个用户面对的多数是自己无用的程序。

保障桌面虚拟化的安全

鉴于桌面虚拟化存在多个层面的安全问题，可以从以下几个方面加强桌面虚拟化的安全保障。

加强用户身份认证

为保障用户接入的安全，虚拟化桌面系统需具备更加严格的终端身份认证机制，需支持丰富的认证、鉴权模式。虚拟化桌面系统采用LDAP等实现用户身份认证，并与上网行为管理系统相结合，实现基于用户、用户组、地址段等的用户访问互联网行为的监管。同时，桌面虚拟化系统支持用户通过瘦终端、物理PC等，采用外接智能卡方式，实现用户远程接入的身份认证。

此外，通过限定MAC地址对允许访问虚拟化桌面系统的客户端进行一个范围限定，虽然牺牲了一定灵活性，但可以大幅提升用户的可控性。

建立健全的访问控制机制

需要在虚拟机的内部和外部建立完善的权限和访问控制机制，建立集中和合理化访问控制方法，以减少冗余和效率低下。提供细化的访问控制粒度，以适应虚拟资源类型、用户角色和访问控制协议。进一步保证每个虚拟机的权限和资源访问能力，应该建立基于虚拟机的程序控制列表，使得每台虚拟化桌面可以访问不同的应用程序，可以获得不同的虚拟化桌面。

虚拟化桌面系统盘支持差分模式和独立运行模式，差分模式允许用户在共享系统盘的基础上，保留自己的私有数据，包括应用和系统数据;独立运行模式不允许用户修改系统盘，所有的修改在虚拟桌面重启后均会丢失。任何人员(包括管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息。

实现传输通道的安全保护

可以通过硬件建立虚拟桌面的加密传输通道，保证系统在迁移的过程中不会被“整盘拷贝”。为远程接入设备提供安全连接点，供在防火墙保护以外的设备远程接入，智能终端等设备一般可采用专业安全厂商提供的定制化VPN技术。同时虚拟化桌面和服务端的通讯可以通过SSL协议进行传输加密，确保整体传输过程中的安全性。

　　提高数据集中存储的安全性

桌面虚拟化技术中对集中存储的保护是最重要的部分，一旦集中存储遭到破坏，整个虚拟架构就会受到严重的影响。在虚拟桌面的环境中，一般采用专业的加密设备进行加密存储的方式，并且为了满足合规规范的要求，加密算法应当可以由用户指定。同时，在数据管理上需要考虑三权分立的措施，即需要系统管理员、安全审核员和数据所有人同时确认才能够允许信息的发送，这样可以实现主动防泄密。此外，还需要通过审计方式确保所有操作的可追溯性。

加强运维管理的安全性

建立完善的管理员配置审计和用户日志审计手段，使得管理员的行为和用户的行为都有详细的审计记录，从而保证每个用户的行为有据可查。

桌面虚拟化技术应支持两类系统管理员的管理，一类是系统业务维护管理员，负责进行创建虚拟化桌面，附加和解除用户关系，修改、注销、查看虚拟桌面，桌面资源计算等工作。另一类是系统日志管理员，负责对用户和系统业务维护管理员使用桌面虚拟化系统的日志记录的查看、审计等工作;

要求两类管理员严格独立，系统业务维护管理员的任何操作均需产生日志，并由系统日志管理员统一管理。

　　提高系统运行的可靠性

虚拟化桌面系统的稳定运行主要依靠服务器、存储系统、业务网络、系统软件和虚拟桌面资源池的可靠性进行保障。具体的可靠性保障包括：

服务器和存储系统均需具备电信级的可靠性。

通过网络架构和路由协议，保证系统的网络可靠性，包括：无单点故障、有丰富的路由、有相应安全技术保障等。

所有软件系统均需采用负载均衡、主/备份等方式实现，单个部件故障对业务无影响。

虚拟桌面以资源池的方式进行管理，单个主机/部件发生故障时，在其上使用的用户只需重新登录，即可重新进行资源分配，实现用户的迁移。

系统管理软件运行在虚拟机上，并实现HA功能，虚拟机发生故障时可自动进行迁移。

当前虚拟化技术主要包括服务器虚拟化、应用虚拟化和桌面虚拟化等，其中桌面虚拟化技术是当前发展最快、最具应用前景的技术。桌面虚拟化技术可以在数据中心集中应用软件，从而简化治理、充分利用硬件资源以及尽量减少软件冲突等。由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。用户可以灵活访问与普通桌面功能相同的虚拟桌面。

桌面虚拟化技术在带来极大便利的同时，也悄然的引进了不安全性，作为用户是极难去发现和了解。因此,加强虚拟化桌面系统的安全保障措施的实施，提升虚拟化桌面系统的信息安全保障能力是政府部门、企事业单位的当务之急。

(责任编辑：安博涛)