1.引言
桌面虛擬化(Desktop Virtualization)是虛擬化技術在應用層面的一個分支,其他分支還包括服務器虛擬化、存儲虛擬化、網(wǎng)絡虛擬化等。桌面虛擬化是一種廣義上的概念,是指采用客戶端/服務器(C/S)模式將個人計算機桌面環(huán)境與物理機器分開。
隨著服務器虛擬化技術的發(fā)展,虛擬桌面基礎設施(Virtual Desktop Infrastructure,VDI)作為桌面虛擬化的一種實現(xiàn)技術應運而生。虛擬桌面基礎設施是指將桌面操作系統(tǒng)托管在一臺運行在托管式的、集中化的或遠程的服務器上的虛擬機(Virtual Machine,VM)內(nèi),用戶可以在任何時候、任何地點,采用任何設備對個人桌面進行訪問。
目前,越來越多的企業(yè)嘗試建立自己的桌面虛擬化系統(tǒng),但在建立過程中,對系統(tǒng)的安全性有較大的憂慮,特別是軍工企業(yè)。本文通過對桌面虛擬化安全性的分析,探討企業(yè)在建立桌面虛擬化系統(tǒng)時應該考慮的安全性設計,并提出相應的解決建議,為當前桌面虛擬化系統(tǒng)安全問題提供了一套解決思路和辦法。
2.系統(tǒng)邏輯架構(gòu)設計
整個方案的體系架構(gòu)分為三個層次。即“云、管、端”三個層次,如圖1 所示。
圖1 系統(tǒng)邏輯架構(gòu)
“云”層:主要是存放于數(shù)據(jù)中心的各種資源,包括統(tǒng)一存儲、統(tǒng)一計算、統(tǒng)一網(wǎng)絡,并通過虛擬化技術,實現(xiàn)資源的池化和集中管理、隨需而變的應用。
“管”層:主要是系統(tǒng)的集中管理平臺。提供統(tǒng)一的圖形界面管理軟件,可以在一個地點完成所有虛擬機系統(tǒng)的日常管理工作,包括控制管理、CPU 管理、內(nèi)存管理、用戶管理、存儲管理、網(wǎng)絡管理、日志收集、性能分析、故障診斷、權(quán)限管理、在線維護等工作。
“端”層:在遠端用于訪問桌面“云”中虛擬桌面的特定的瘦終端。
系統(tǒng)安全貫穿于整個“云”、“管”、“端”三個層次,是一個防御體系,而非單個安全產(chǎn)品的簡單堆砌。從網(wǎng)絡層、應用層、數(shù)據(jù)層以及終端層,建立起一個縱深防御體系。
3.安全性設計
3.1 終端安全設計
終端總是一個單位的IT 中最難管理的部分,管控難度主要包括:數(shù)量龐大、維護難度高、升級速度慢、維護時間長;客戶端的應用越來越臃腫龐大;隨著客戶端安全措施的增多,應用的兼容性風險不斷增大。終端管理也是保密工作中的重點和難點,在保密標準中涉及終端管理的中止項和重大項最多,是最容易出現(xiàn)問題的環(huán)節(jié)。
3.1.1 瘦客戶機的安全設計
基于管理方便和使用安全的角度,桌面虛擬化系統(tǒng)中的瘦客戶機(Thin Client,TC)種類不宜過多,一般控制在1-3種瘦客戶機較好,并且應考慮以下幾點安全性要求:
1) TC 無硬盤。無用戶可直接使用的存儲設備,用戶不能在TC 上存儲文件。
2) 嚴格確保TC 和虛擬機之間不能進行文件交換。
3) 非Windows 操作系統(tǒng),且只讀。盡量降低操作系統(tǒng)帶來的潛在安全風險。
4) TC 從固件層面上禁用USB、串口、并口等,并且固件升級嚴格受控。
5) 采購無USB、串口、并口等接口的TC,TC 上只保留PS2 的鍵盤和鼠標接口,盡量減少終端上的接口。
6) 普通用戶無法對TC 進行任何配置更改。
7) 用戶數(shù)據(jù)只能存在NAS 上,用戶無法在虛擬桌面和瘦客戶機上存放數(shù)據(jù)。
3.1.2 終端操作系統(tǒng)鏡像的安全
操作系統(tǒng)完全按照相關保密標準,設置安全策略,和傳統(tǒng)終端的安全設置完全相同。而且,這些安全策略的設置都是通過組策略統(tǒng)一設置,無需逐臺設置。一般應考慮以下安全設置:
1) 安裝Windows XP SP3 操作系統(tǒng)并加入域管理。
2) 禁用的一切本地共享服務、禁用一切不必要的系統(tǒng)服務和程序。刪除USBSTOR.SYS(大容量存儲設備)的驅(qū)動程序。
3) 操作系統(tǒng)只設系統(tǒng)盤,且系統(tǒng)盤通過權(quán)限策略設置只讀屬性,禁止用戶向系統(tǒng)盤內(nèi)存儲信息。
4) 按現(xiàn)有計算機終端的相關要求進行安全配置,安裝防病毒軟件、啟動windows 防火墻等。
5) 一旦發(fā)現(xiàn)某個虛擬機感染病毒,只需要重新分配一個新的虛擬機,桌面就自動恢復到未受感染的狀態(tài)。
3.1.3 終端身份認證和權(quán)限控制
系統(tǒng)可考慮采用域身份認證+令牌的雙因素身份認證,保證系統(tǒng)的身份認證的安全。身份認證完成后,通過應用增強系統(tǒng)的權(quán)限控制,用戶才能登陸虛擬機,使用屬于自己的操作系統(tǒng)。登陸系統(tǒng)后,通過NAS 安全增強系統(tǒng)的權(quán)限控制,用戶才能對集中數(shù)據(jù)存儲的訪問。對普通用戶取消本地管理員權(quán)限,無權(quán)安裝軟件,無權(quán)變更設置,可以有效避免木馬的植入、病毒的傳播。
3.2 網(wǎng)絡接入安全設計
網(wǎng)絡接入安全是桌面虛擬化系統(tǒng)中非常重要的一個考慮方面,一般地,網(wǎng)絡接入安全應從TC接入網(wǎng)絡安全、TC 接入虛擬桌面(VDI)安全兩個方面進行設計。當TC接入網(wǎng)絡時,瘦客戶端的MAC 地址和交換機端口應進行綁定,限制非授權(quán)設備隨意接入網(wǎng)絡;同時,設置DHCP 服務為TC 客戶端分配IP地址,通過DHCP 服務的IP 池管理對自動分配的IP 作靜態(tài)綁定。當TC 接入虛擬桌面時,需要考慮的安全設計更加多一些,可以從以下幾個方面考慮:
1) 設置兩臺虛擬化安全增強系統(tǒng),即相當于設置一個應用網(wǎng)關(如圖2 所示)。TC 客戶端對虛擬桌面的訪問只能透過該應用網(wǎng)關(應用網(wǎng)關作為接入客戶端的訪問終結(jié)點和代理,代其向數(shù)據(jù)中心發(fā)起訪問并返回數(shù)據(jù)),應用網(wǎng)關還能提供負載均衡的功能。
圖2 網(wǎng)絡接入安全
2) TC 客戶端至應用網(wǎng)關通過HTTPS 進行連接,保證數(shù)據(jù)傳輸?shù)陌踩?/p>
3) 中心服務器和遠端終端設備之間傳遞的是經(jīng)過壓縮和加密的屏幕刷新和鼠標鍵盤信息,無實際數(shù)據(jù)流動,最大程度保證了數(shù)據(jù)的傳輸安全。
4) 每個虛擬桌面只允許一個用戶同時登錄,防數(shù)據(jù)竊取和攻擊。
3.3 虛擬化安全設計
虛擬化安全包括虛擬機隔離、Hypervisor 自身安全、惡意虛擬機防護等。通過內(nèi)存隔離、CPU 隔離、網(wǎng)絡隔離、IO隔離等技術,使同一物理機上的不同虛擬機之間相互隔離,互不影響。VM 無法訪問Hypervisor。在主機內(nèi)部的網(wǎng)絡中,vSwitch 支持VLAN 功能,同一臺主機的不同VM 可通過VLAN進行隔離。
3.3.1 虛擬化安全增加系統(tǒng)
在虛擬桌面接入服務器前端部署虛擬化安全增強系統(tǒng)(如圖2 所示),通過其細粒度的訪問控制、日志審計,保證虛擬化桌面使用的安全性;限制管理員的權(quán)限,確保用戶安全接入,實現(xiàn)桌面虛擬化安全管理。
虛擬化安全增強系統(tǒng)管理員依據(jù)“角色分離機制”分為系統(tǒng)管理員、安全管理員和審計管理員;對管理員的訪問控制策略細化到桌面分配策略、桌面安全策略操作行為;提供管理員對虛擬桌面系統(tǒng)的操作行為審計,包括對桌面管理的操作、訪問規(guī)則設置操作和相關安全配置的操作行為等,實現(xiàn)對管理員操作行為的有據(jù)可查,防止業(yè)務抵賴行為的發(fā)生;對普通用戶訪問虛擬桌面進行限制,控制策略細化到訪問時間、IP 地址、MAC 地址;通過支持HA(雙機冗余)部署,保證虛擬桌面業(yè)務的高連續(xù)性和可靠性。
3.3.2 Hypervisor 安全
Hypervisor 是虛擬化軟件中硬件上的一個薄層。虛擬機通過Hypervisor 來使用底層的硬件資源,因為Hypervisor 是封裝好的,可讀不可寫,所以Hypervisor 是非常安全的。
3.3.3 虛擬機資源隔離安全
虛擬化軟件Hypervisor 能實現(xiàn)同一物理機上不同虛擬機之間的資源隔離,避免虛擬機之間的數(shù)據(jù)竊取或惡意攻擊,保證虛擬機的資源使用不受周邊虛擬機的影響。終端用戶使用虛擬機時,僅能訪問屬于自己的虛擬機的資源(如硬件、軟件和數(shù)據(jù)),不能訪問其他虛擬機的資源,保證虛擬機隔離安全。基本上所有的虛擬化產(chǎn)品都能保證這一點。
3.4 數(shù)據(jù)安全設計
在數(shù)據(jù)存儲系統(tǒng)的設計上,考慮將系統(tǒng)數(shù)據(jù)區(qū)和用戶數(shù)據(jù)區(qū)完全隔離,同時,按使用人員是否涉密,將用戶數(shù)據(jù)區(qū)分成涉密區(qū)和非涉密區(qū),把涉密數(shù)據(jù)和非涉密數(shù)據(jù)放在不同的存儲系統(tǒng)上。通過數(shù)據(jù)備份、用戶卷隔離、用戶數(shù)據(jù)加密、管理員權(quán)限控制等措施,加強數(shù)據(jù)的安全。如配置兩臺NAS 安全增強系統(tǒng),實現(xiàn)了細粒度的權(quán)限控制、“三員”(系統(tǒng)管理員、安全保密管理員、安全審計員)角色的分離、管理員權(quán)限的限制、用戶數(shù)據(jù)的加密、用戶行為的審計等。
3.5 日志和審計安全設計
桌面虛擬化系統(tǒng)中必須充分考慮日志和審計,建議采用統(tǒng)一的桌面運維服務管理平臺(如圖3所示),基于B/S架構(gòu),提供遠程集中運維管理。運維管理系統(tǒng)參考ITIL 標準,基于統(tǒng)一維護,統(tǒng)一管理的理念,并符合虛擬化的特點。支持友好的Web 界面,統(tǒng)一管理所有硬件資源與虛擬化資源,提供基于定制化策略的自動化運維系統(tǒng)。該系統(tǒng)能進行集中的日志收集和審計功能;對管理員的日常操作都進行錄像,以備審計;支持集中日志收集,包括用戶桌面日志、管理日志進行集中收集和分析;支持SSL、數(shù)據(jù)加密、用戶密碼加密保存;支持虛擬機快照、使用快照創(chuàng)建虛擬機和恢復虛擬機。為用戶數(shù)據(jù)提供備份功能。統(tǒng)一資源發(fā)放、回收,業(yè)務發(fā)放更靈活、更高效等。
圖3 虛擬化運維管理體系
3.6 管理員安全設計
當所有數(shù)據(jù)都轉(zhuǎn)移到后臺數(shù)據(jù)中心的時候,管理員的權(quán)限過大問題十分突出。主要有以下四類潛在風險。
3.6.1 對虛擬機系統(tǒng)的操作權(quán)限過大
一般地,管理員可隨意操作、修改和使用虛擬機,管理員可登錄進行查看和操作用戶虛擬桌面系統(tǒng)中的數(shù)據(jù)。同時,管理員可隨意更改虛擬桌面用戶的訪問和桌面分配策略,非法提升用戶訪問和操作虛擬桌面的權(quán)限。針對這些問題,可以考慮采取虛擬化安全增強系統(tǒng)規(guī)避此類風險。依據(jù)“角色分離機制”劃分三員角色;對管理員的訪問控制策略細化到桌面分配策略、桌面操作行為策略;提供管理員對虛擬桌面系統(tǒng)的操作行為審計。
3.6.2 對存儲系統(tǒng)的操作權(quán)限過大
一般地,管理員可隨意查看集中存儲系統(tǒng)中的數(shù)據(jù),這種行為存在巨大的安全風險。針對這個問題,可以考慮采取存儲安全增強系統(tǒng)規(guī)避此類風險。實現(xiàn)“三員”的權(quán)限分離; NAS 安全增強系統(tǒng)提供的數(shù)據(jù)加密功能,使得存儲系統(tǒng)上看不到明文數(shù)據(jù),即使拷貝出去也無法打開;在NAS 安全增強系統(tǒng)上建立訪問控制規(guī)則,實現(xiàn)僅僅私有目錄的擁有者有權(quán)限訪問,以保證NAS 存儲上的數(shù)據(jù)不會被非法查看。
3.6.3 缺少日志和審計
系統(tǒng)在設計時,一定要充分考慮日志和審計功能。系統(tǒng)中采用的安全產(chǎn)品和管理平臺必須提供“三員”功能;提供管理員日志和審計功能;管理員的日常操作都進行錄像,以備審計。
3.6.4 缺少虛擬化管理的相關流程和制度
當桌面虛擬系統(tǒng)建立之后,相關管理流程和制度一定要及時建立,規(guī)范系統(tǒng)的建設、運維、使用和管理。
4.結(jié)束語
虛擬化技術目前正處于高速發(fā)展期,越來越多的企業(yè)已經(jīng)建立或?qū)⒁⒆约旱淖烂嫣摂M化系統(tǒng),特別是對保密要求較高的企業(yè)。目前,國內(nèi)對虛擬化下安全的研究處于起步階段,隨著虛擬化技術應用的不斷深入,會有更多的安全解決方案出現(xiàn)。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.vmgcyvh.cn/
本文標題:淺談桌面虛擬化系統(tǒng)安全性設計
本文網(wǎng)址:http://www.vmgcyvh.cn/html/consultation/10839712756.html
相關文章
