隨著信息技術(shù)的飛速發(fā)展,其觸角已延伸至企業(yè)的方方面面,不僅關(guān)系到企業(yè)的技術(shù)創(chuàng)新,也影響企業(yè)的管理變革。企業(yè)在不斷的發(fā)展壯大中,信息化程度越來越高,信息網(wǎng)絡(luò)和信息系統(tǒng)中有價值的數(shù)據(jù)信息也越來越多。企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題就顯得越發(fā)重要。
企業(yè)內(nèi)部網(wǎng)絡(luò)中計算機終端作為信息存儲、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施,其自身安全性涉及到信息系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面,任何一個節(jié)點都有可能影響整個內(nèi)部網(wǎng)絡(luò)的安全。計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏等特點,已成為信息安全體系的薄弱環(huán)節(jié)。
傳統(tǒng)模式下企業(yè)中計算機終端一般采用功能齊備的個人計算機。為了保證企業(yè)內(nèi)部的數(shù)據(jù)安全,企業(yè)一般會應(yīng)用眾多安全防護產(chǎn)品和技術(shù)手段對這些個人計算機進行數(shù)據(jù)防護。隨著企業(yè)規(guī)模的擴大和信息技術(shù)的不斷發(fā)展,這種模式的辦公節(jié)點暴露出越來越多的缺陷:
1)難以從根本上實現(xiàn)數(shù)據(jù)保護。個人計算機的辦公模式?jīng)Q定了各種數(shù)據(jù)都是分散存放在各個計算機的本地硬盤上進行本地處理的。由于現(xiàn)有安防體系都是建立在本地計算機硬件及操作系統(tǒng)基礎(chǔ)之上的,一旦本地硬件的物理防護受到破壞,或是繞過本地操作系統(tǒng)引導(dǎo),都會使此類防護失效。此外,由于個人計算機分布放置在各種辦公環(huán)境中,缺乏統(tǒng)一的備份或其他物理冗余措施,其硬盤一旦出現(xiàn)物理故障,也將對重要數(shù)據(jù)造成不可估量的破壞。
2)難于管理和控制。為了從技術(shù)上對個人計算機架構(gòu)進行數(shù)據(jù)防護,企業(yè)內(nèi)部網(wǎng)中需要使用多種安全防護產(chǎn)品來進行數(shù)據(jù)防護,這些防護手段在增強安全系數(shù)的同時,極大地增加了用戶的操作難度。同時,在這樣的分布模式下,系統(tǒng)管理員不能有效地集中監(jiān)控和管理整個用戶桌面體系的運行態(tài)勢。
3)靈活性和業(yè)務(wù)連續(xù)性不足。隨著企業(yè)規(guī)模的不斷擴大和信息技術(shù)的快速發(fā)展,企業(yè)內(nèi)的辦公地點將呈現(xiàn)分布、擴大的趨勢,企業(yè)內(nèi)的辦公模式也需要辦公終端具備靈活、快速部署的特點。傳統(tǒng)的終端需要重復(fù)配置,且系統(tǒng)部署和維護方式難度大、周期長,已不能滿足大中型企業(yè)的擴張需求。
4)資源并未有效利用。個人計算機的物理資源大多數(shù)時間利用率低下,大多數(shù)個人計算機在開啟后資源長期閑置,整個企業(yè)中因個人計算機所帶來的能源消耗相當(dāng)驚人,但當(dāng)用戶需要對計算機的硬件資源進行擴展時,個人計算機的調(diào)整又極其困難,造成極大的資源浪費。
1.“私有云”提供的解決之道
在我們的生活中。已經(jīng)有越來越多的資源從個人或單位獨立擁有和使用,逐漸發(fā)展為以基礎(chǔ)設(shè)施的形式提供給人們使用。例如水、電、氣,用戶只需要使用一個簡單的接口,就可以隨意根據(jù)他們的需要來使用這些基礎(chǔ)設(shè)施,并根據(jù)他們使用資源的實際情況來進行付費。
近幾年,云計算和虛擬化技術(shù)的飛速發(fā)展使信息資源的按需分配和使用成為了可能。云計算實際上提出了一種服務(wù)交付的理念,就和使用水、電、氣的模式一樣,將IT相關(guān)的能力以服務(wù)的方式提供給用戶。允許用戶在不了解提供服務(wù)的技術(shù)、沒有相關(guān)知識以及設(shè)備操作能力的情況下,通過網(wǎng)絡(luò)來獲取需要的服務(wù)。
而私有云是指由企業(yè)自建、自服務(wù)、自管理的云,私有云與集中管控一脈相承,具有云計算的普遍優(yōu)勢。通過資源的集中管理,可實現(xiàn)資源優(yōu)化、任務(wù)調(diào)度靈活、負載均衡、能力流動、動態(tài)遷移等:而終端設(shè)備變瘦,無須再安裝各類應(yīng)用,用戶操作會變得簡便,管理維護壓力將降低。
2.桌面云技術(shù)介紹
云計算在計算機終端上的體現(xiàn)即為桌面云,或稱桌面虛擬化。它通過成熟的系統(tǒng)串聯(lián)通用硬件設(shè)備,構(gòu)建成一個完整的虛擬基礎(chǔ)架構(gòu),即桌面云。在此基礎(chǔ)上創(chuàng)建功能齊全、可像“真實”計算機一樣運行其自身操作系統(tǒng)和應(yīng)用程序的虛擬機設(shè)備,每個虛擬機都包含一套完整的系統(tǒng),又相互隔離。這樣,多個虛擬機可以同時運行在單臺物理服務(wù)器上,共享物理設(shè)備的硬件資源。由于虛擬機將整個虛擬設(shè)備(包括各種硬件和操作系統(tǒng))封裝起來。因此虛擬設(shè)備可與所有標(biāo)準的x86操作系統(tǒng)、應(yīng)用程序和設(shè)備驅(qū)動程序完全兼容。
桌面云可以橫跨數(shù)個互連的物理服務(wù)器和存儲設(shè)備進行擴展,無需為每個應(yīng)用程序永久性地分配服務(wù)器、存儲空間或網(wǎng)絡(luò)帶寬。虛擬機能根據(jù)需要在桌面云內(nèi)部動態(tài)分配到所需的位置,得到所需的資源,企業(yè)無需浪費資金去置辦僅在高峰時間使用的多余資源。
用戶可以使用能耗更低的終端機來取代利用率低下的傳統(tǒng)個人計算機,并通過安全的網(wǎng)絡(luò)鏈路遠程訪問屬于自己的桌面系統(tǒng)。這樣可以延長桌面硬件的預(yù)期使用壽命。不必太頻繁地更換桌面硬件資源。用戶連接的虛擬機中所有軟硬件資源實際上是由位于數(shù)據(jù)中心內(nèi)的桌面云提供的。放置在用戶桌面上的終端本身沒有硬盤,僅僅作為工位和遠程桌面資源池之間的通訊和顯示橋梁,不運行業(yè)務(wù)和應(yīng)用軟件,不保存數(shù)據(jù)。
3.桌面云帶來的優(yōu)勢
部署和實施桌面云具備以下5大好處:
1)提高可管理性和安全性。實現(xiàn)“用戶桌面無存儲”。用戶桌面上無存儲設(shè)備,無法直接輸入輸出數(shù)據(jù),顯示器上展現(xiàn)的是桌面云中虛擬機提供的顯示界面。這樣只要重點實施對數(shù)據(jù)中心的安全防護措施,就能從根本上提升企業(yè)信息系統(tǒng)和數(shù)據(jù)的整體安全防護能力。
2)提升業(yè)務(wù)連續(xù)性和部署靈活性。虛擬機實質(zhì)上是一個軟件容器,它將一整套虛擬硬件資源、操作系統(tǒng)及應(yīng)用程序“封裝”在一個軟件包內(nèi),封裝使虛擬機具備超乎尋常的可移動性且易于管理。即使桌面云中某個設(shè)備出現(xiàn)故障,虛擬機也可自行動態(tài)遷移,不會造成服務(wù)中斷。同時,封裝特性可以加快和改進桌面系統(tǒng)和應(yīng)用程序部署。管理員在幾分鐘內(nèi)即可分配一個完整的辦公桌面。
3)靈活的工作平臺。由于用戶桌面終端只獲取來自桌面云的顯示狀態(tài),真實的數(shù)據(jù)保留在桌面云上,并沒有傳遞至終端。用戶可從任意一臺聯(lián)網(wǎng)的終端訪問經(jīng)授權(quán)的任意桌面環(huán)境,保證用戶無論在哪里都具備同樣的數(shù)據(jù)安全水平。
4)提高現(xiàn)有資源的利用率。通過整合服務(wù)器將共用的基礎(chǔ)架構(gòu)資源聚合到桌面云架構(gòu)中,打破原有的“一臺物理計算機一個系統(tǒng)”的模式,大大節(jié)約硬件設(shè)備資源,并可實現(xiàn)硬件資源的動態(tài)分配。
5)降低整體運營成本。由于資源利用率更高,減少了設(shè)備空間、電力和散熱需求,用戶使用能耗更低的終端設(shè)備來取代利用率低下的個人計算機,從而達到減少整個企業(yè)能耗的目的。
4.實施桌面云后終端安防體系的變革
部署和實施桌面云后,由于整體架構(gòu)上的顛覆性革新,相對傳統(tǒng)個人計算機。終端安防體系產(chǎn)生了若干變革,防護效果更優(yōu)。
(1)接入安全
桌面云采用終端機作為接入設(shè)備,可以采取多種方式進行終端接人身份鑒別,嚴禁非授權(quán)終端設(shè)備接人,可以在接人層實現(xiàn)設(shè)備授權(quán)訪問網(wǎng)絡(luò)資源,實現(xiàn)基于角色、身份的權(quán)限和安全控制。
防護效果:通過使川網(wǎng)絡(luò)接入訪問控制系統(tǒng),對所有接入內(nèi)部網(wǎng)的設(shè)備進行認證,可有效防止非授權(quán)設(shè)備接入網(wǎng)絡(luò)。設(shè)備接入后只能訪問桌面云的安全網(wǎng)關(guān)。無法訪問其他網(wǎng)絡(luò)資源。
(2)終端安全
終端機指的是在遠程桌面網(wǎng)絡(luò)體系中一個基本無需應(yīng)用程序的終端設(shè)備,它不帶硬盤,不存儲數(shù)據(jù),不直接處理業(yè)務(wù),也不能直接訪問遠程桌面和各應(yīng)用系統(tǒng),只能使用專用協(xié)議與桌面云環(huán)境提供的單一網(wǎng)關(guān)通信。僅僅作為用戶桌面和桌面云之間的通訊和顯示橋梁。
普通用戶僅能以最低權(quán)限使用終端,在該權(quán)限下,用戶只能連接并遠程使用虛擬機系統(tǒng),而無法查看和修改終端環(huán)境的設(shè)置。
防護效果:終端沒有本地存儲,且通過定制,用戶在終端上無法使用USB、串口、并口等外部設(shè)備,做到了終端的物理安全。
(3)遠程訪問安全
用戶使用終端機經(jīng)過防火墻連接桌面云認證網(wǎng)關(guān),該網(wǎng)關(guān)通過用戶名和密碼進行驗證,用戶所能連接的桌面均由管理員授權(quán)并分配。終端設(shè)備與虛擬機系統(tǒng)建立連接后,所有的連接請求仍通過桌面網(wǎng)關(guān)中轉(zhuǎn),終端設(shè)備與虛擬機之間無直接連接。用戶在連接虛擬機系統(tǒng)后,所有需要進行用戶認證的環(huán)節(jié)(如系統(tǒng)登錄、解除系統(tǒng)鎖定等)均可以采用雙因素認證系統(tǒng)進行附加身份認證。
在遠程訪問模式中?捎晒芾韱T采取多重措施禁止設(shè)備重定向,使終端上僅有鼠標(biāo)、鍵盤等輸入信息傳送到遠程的桌面系統(tǒng)處理,虛擬機系統(tǒng)僅把處理完畢的顯示結(jié)果回傳至終端進行顯示。在終端與虛擬機系統(tǒng)的連接過程中,并沒有任何實際數(shù)據(jù)傳遞到瘦客戶端。
終端與桌面云單一網(wǎng)關(guān)之間通過SSL隧道實現(xiàn)傳輸加密,SSL(Secure Sockets Layer,安全套接層)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。SSL安全加密鏈路在傳輸層對所有網(wǎng)絡(luò)連接進行加密,確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不會被敲取及竊聽。
防護效果:通過上述措施,用戶在終端上連接
并使用桌面云,其間經(jīng)過了防火墻授權(quán)、雙因素身份認證、禁止設(shè)備重定向、遠程連接協(xié)議加密傳輸?shù)确雷o措施,確保遠程訪問過程的安全。
(4)桌面云使用安全
桌面云面向用戶提供的是虛擬機,虛擬機是運行操作系統(tǒng)及其應(yīng)用程序的容器,所有虛擬機都相互隔離。在虛擬機的客戶操作系統(tǒng)上,即便是擁有操作系統(tǒng)管理員權(quán)限的用戶,也不能穿過隔離層訪問其他虛擬機。隔離使多個虛擬機能夠安全地運行。確保它們既能訪問硬件,同時又不會受到干擾。某一個虛擬機操作系統(tǒng)的崩潰不會影響到其他虛擬機的正常運行。
同時,桌面云整體架構(gòu)部署在內(nèi)部網(wǎng)的數(shù)據(jù)中心內(nèi),物理防護安全級別更高,且與國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)絕對保持物理隔離。虛擬機作為實際運行環(huán)境,管理要求與原有模式下的物理計算機一致,即可以在每個虛擬機的操作系統(tǒng)上運行統(tǒng)一的安全保密策略,并可安裝防病毒、木馬防護等系統(tǒng)對虛擬機環(huán)境做進一步增強。虛擬機與應(yīng)用系統(tǒng)之間也應(yīng)該設(shè)置防火墻來進行訪問控制。
防護效果:隔離特性使虛擬機彼此之間保持完全隔離狀態(tài),就像它們運行在不同的物理環(huán)境上一樣。在虛擬機上實施進一步的安全防護策略可達到與物理計算機完全一樣的防護效果。
(5)桌面云管理安全
桌面云建設(shè)之后,系統(tǒng)環(huán)境、用戶數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)實際上都集中到數(shù)據(jù)中心,加強對桌面云整體架構(gòu)的安全管理將越發(fā)重要。通過桌面云架構(gòu)自身的權(quán)限控制和安全組件,可以將管理權(quán)限進行分離,同時記錄管理員進行的配置變更情況。可以將用戶數(shù)據(jù)全部放置到采用NAS存儲架構(gòu)的獨立存儲中,實施用戶數(shù)據(jù)與系統(tǒng)環(huán)境分離,并可設(shè)置獨立于NAS的NAS安全增強系統(tǒng)。從而實現(xiàn)數(shù)據(jù)加密存儲,以及對用戶訪問NAS的讀寫權(quán)限進行限制和日志記錄,防止非授權(quán)人員使用、仿冒和篡改。將系統(tǒng)管理員、安全管理員進行權(quán)限分離,即使是管理人員,也無法看到NAS存儲中的用戶數(shù)據(jù),杜絕了管理員權(quán)限過大的風(fēng)險。防護效果:通過對桌面云的管理員進行權(quán)限分離和審計,使管理員只能進行管理工作,無法看到用戶數(shù)據(jù),且用戶和管理員操作有審計,可事后追溯。
5.結(jié)語
通過桌面云環(huán)境的實施,將建立基于企業(yè)“私有云”架構(gòu)下的數(shù)據(jù)集中管控體系,使用戶可以擺脫繁瑣的操作,為用戶提供一個符合標(biāo)準、安全高效、靈活易用的桌面系統(tǒng),從而提升用戶感受。同時,可以從管理上提高可用性,實現(xiàn)安全訪問和靈活部署,建立可伸縮的虛擬基礎(chǔ)架構(gòu),從數(shù)據(jù)中心到用戶桌面可實現(xiàn)全面可控的可用性、安全性和可管理性。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:“私有云”架構(gòu)下終端安防體系的變革
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512770.html