1.引言
桌面虛擬化(Desktop Virtualization)是虛擬化技術(shù)在應(yīng)用層面的一個分支,其他分支還包括服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化等。桌面虛擬化是一種廣義上的概念,是指采用客戶端/服務(wù)器(C/S)模式將個人計算機(jī)桌面環(huán)境與物理機(jī)器分開。
隨著服務(wù)器虛擬化技術(shù)的發(fā)展,虛擬桌面基礎(chǔ)設(shè)施(Virtual Desktop Infrastructure,VDI)作為桌面虛擬化的一種實現(xiàn)技術(shù)應(yīng)運(yùn)而生。虛擬桌面基礎(chǔ)設(shè)施是指將桌面操作系統(tǒng)托管在一臺運(yùn)行在托管式的、集中化的或遠(yuǎn)程的服務(wù)器上的虛擬機(jī)(Virtual Machine,VM)內(nèi),用戶可以在任何時候、任何地點,采用任何設(shè)備對個人桌面進(jìn)行訪問。
目前,越來越多的企業(yè)嘗試建立自己的桌面虛擬化系統(tǒng),但在建立過程中,對系統(tǒng)的安全性有較大的憂慮,特別是軍工企業(yè)。本文通過對桌面虛擬化安全性的分析,探討企業(yè)在建立桌面虛擬化系統(tǒng)時應(yīng)該考慮的安全性設(shè)計,并提出相應(yīng)的解決建議,為當(dāng)前桌面虛擬化系統(tǒng)安全問題提供了一套解決思路和辦法。
2.系統(tǒng)邏輯架構(gòu)設(shè)計
整個方案的體系架構(gòu)分為三個層次。即“云、管、端”三個層次,如圖1 所示。
圖1 系統(tǒng)邏輯架構(gòu)
“云”層:主要是存放于數(shù)據(jù)中心的各種資源,包括統(tǒng)一存儲、統(tǒng)一計算、統(tǒng)一網(wǎng)絡(luò),并通過虛擬化技術(shù),實現(xiàn)資源的池化和集中管理、隨需而變的應(yīng)用。
“管”層:主要是系統(tǒng)的集中管理平臺。提供統(tǒng)一的圖形界面管理軟件,可以在一個地點完成所有虛擬機(jī)系統(tǒng)的日常管理工作,包括控制管理、CPU 管理、內(nèi)存管理、用戶管理、存儲管理、網(wǎng)絡(luò)管理、日志收集、性能分析、故障診斷、權(quán)限管理、在線維護(hù)等工作。
“端”層:在遠(yuǎn)端用于訪問桌面“云”中虛擬桌面的特定的瘦終端。
系統(tǒng)安全貫穿于整個“云”、“管”、“端”三個層次,是一個防御體系,而非單個安全產(chǎn)品的簡單堆砌。從網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層以及終端層,建立起一個縱深防御體系。
3.安全性設(shè)計
3.1 終端安全設(shè)計
終端總是一個單位的IT 中最難管理的部分,管控難度主要包括:數(shù)量龐大、維護(hù)難度高、升級速度慢、維護(hù)時間長;客戶端的應(yīng)用越來越臃腫龐大;隨著客戶端安全措施的增多,應(yīng)用的兼容性風(fēng)險不斷增大。終端管理也是保密工作中的重點和難點,在保密標(biāo)準(zhǔn)中涉及終端管理的中止項和重大項最多,是最容易出現(xiàn)問題的環(huán)節(jié)。
3.1.1 瘦客戶機(jī)的安全設(shè)計
基于管理方便和使用安全的角度,桌面虛擬化系統(tǒng)中的瘦客戶機(jī)(Thin Client,TC)種類不宜過多,一般控制在1-3種瘦客戶機(jī)較好,并且應(yīng)考慮以下幾點安全性要求:
1) TC 無硬盤。無用戶可直接使用的存儲設(shè)備,用戶不能在TC 上存儲文件。
2) 嚴(yán)格確保TC 和虛擬機(jī)之間不能進(jìn)行文件交換。
3) 非Windows 操作系統(tǒng),且只讀。盡量降低操作系統(tǒng)帶來的潛在安全風(fēng)險。
4) TC 從固件層面上禁用USB、串口、并口等,并且固件升級嚴(yán)格受控。
5) 采購無USB、串口、并口等接口的TC,TC 上只保留PS2 的鍵盤和鼠標(biāo)接口,盡量減少終端上的接口。
6) 普通用戶無法對TC 進(jìn)行任何配置更改。
7) 用戶數(shù)據(jù)只能存在NAS 上,用戶無法在虛擬桌面和瘦客戶機(jī)上存放數(shù)據(jù)。
3.1.2 終端操作系統(tǒng)鏡像的安全
操作系統(tǒng)完全按照相關(guān)保密標(biāo)準(zhǔn),設(shè)置安全策略,和傳統(tǒng)終端的安全設(shè)置完全相同。而且,這些安全策略的設(shè)置都是通過組策略統(tǒng)一設(shè)置,無需逐臺設(shè)置。一般應(yīng)考慮以下安全設(shè)置:
1) 安裝Windows XP SP3 操作系統(tǒng)并加入域管理。
2) 禁用的一切本地共享服務(wù)、禁用一切不必要的系統(tǒng)服務(wù)和程序。刪除USBSTOR.SYS(大容量存儲設(shè)備)的驅(qū)動程序。
3) 操作系統(tǒng)只設(shè)系統(tǒng)盤,且系統(tǒng)盤通過權(quán)限策略設(shè)置只讀屬性,禁止用戶向系統(tǒng)盤內(nèi)存儲信息。
4) 按現(xiàn)有計算機(jī)終端的相關(guān)要求進(jìn)行安全配置,安裝防病毒軟件、啟動windows 防火墻等。
5) 一旦發(fā)現(xiàn)某個虛擬機(jī)感染病毒,只需要重新分配一個新的虛擬機(jī),桌面就自動恢復(fù)到未受感染的狀態(tài)。
3.1.3 終端身份認(rèn)證和權(quán)限控制
系統(tǒng)可考慮采用域身份認(rèn)證+令牌的雙因素身份認(rèn)證,保證系統(tǒng)的身份認(rèn)證的安全。身份認(rèn)證完成后,通過應(yīng)用增強(qiáng)系統(tǒng)的權(quán)限控制,用戶才能登陸虛擬機(jī),使用屬于自己的操作系統(tǒng)。登陸系統(tǒng)后,通過NAS 安全增強(qiáng)系統(tǒng)的權(quán)限控制,用戶才能對集中數(shù)據(jù)存儲的訪問。對普通用戶取消本地管理員權(quán)限,無權(quán)安裝軟件,無權(quán)變更設(shè)置,可以有效避免木馬的植入、病毒的傳播。
3.2 網(wǎng)絡(luò)接入安全設(shè)計
網(wǎng)絡(luò)接入安全是桌面虛擬化系統(tǒng)中非常重要的一個考慮方面,一般地,網(wǎng)絡(luò)接入安全應(yīng)從TC接入網(wǎng)絡(luò)安全、TC 接入虛擬桌面(VDI)安全兩個方面進(jìn)行設(shè)計。當(dāng)TC接入網(wǎng)絡(luò)時,瘦客戶端的MAC 地址和交換機(jī)端口應(yīng)進(jìn)行綁定,限制非授權(quán)設(shè)備隨意接入網(wǎng)絡(luò);同時,設(shè)置DHCP 服務(wù)為TC 客戶端分配IP地址,通過DHCP 服務(wù)的IP 池管理對自動分配的IP 作靜態(tài)綁定。當(dāng)TC 接入虛擬桌面時,需要考慮的安全設(shè)計更加多一些,可以從以下幾個方面考慮:
1) 設(shè)置兩臺虛擬化安全增強(qiáng)系統(tǒng),即相當(dāng)于設(shè)置一個應(yīng)用網(wǎng)關(guān)(如圖2 所示)。TC 客戶端對虛擬桌面的訪問只能透過該應(yīng)用網(wǎng)關(guān)(應(yīng)用網(wǎng)關(guān)作為接入客戶端的訪問終結(jié)點和代理,代其向數(shù)據(jù)中心發(fā)起訪問并返回數(shù)據(jù)),應(yīng)用網(wǎng)關(guān)還能提供負(fù)載均衡的功能。
圖2 網(wǎng)絡(luò)接入安全
2) TC 客戶端至應(yīng)用網(wǎng)關(guān)通過HTTPS 進(jìn)行連接,保證數(shù)據(jù)傳輸?shù)陌踩?/p>
3) 中心服務(wù)器和遠(yuǎn)端終端設(shè)備之間傳遞的是經(jīng)過壓縮和加密的屏幕刷新和鼠標(biāo)鍵盤信息,無實際數(shù)據(jù)流動,最大程度保證了數(shù)據(jù)的傳輸安全。
4) 每個虛擬桌面只允許一個用戶同時登錄,防數(shù)據(jù)竊取和攻擊。
3.3 虛擬化安全設(shè)計
虛擬化安全包括虛擬機(jī)隔離、Hypervisor 自身安全、惡意虛擬機(jī)防護(hù)等。通過內(nèi)存隔離、CPU 隔離、網(wǎng)絡(luò)隔離、IO隔離等技術(shù),使同一物理機(jī)上的不同虛擬機(jī)之間相互隔離,互不影響。VM 無法訪問Hypervisor。在主機(jī)內(nèi)部的網(wǎng)絡(luò)中,vSwitch 支持VLAN 功能,同一臺主機(jī)的不同VM 可通過VLAN進(jìn)行隔離。
3.3.1 虛擬化安全增加系統(tǒng)
在虛擬桌面接入服務(wù)器前端部署虛擬化安全增強(qiáng)系統(tǒng)(如圖2 所示),通過其細(xì)粒度的訪問控制、日志審計,保證虛擬化桌面使用的安全性;限制管理員的權(quán)限,確保用戶安全接入,實現(xiàn)桌面虛擬化安全管理。
虛擬化安全增強(qiáng)系統(tǒng)管理員依據(jù)“角色分離機(jī)制”分為系統(tǒng)管理員、安全管理員和審計管理員;對管理員的訪問控制策略細(xì)化到桌面分配策略、桌面安全策略操作行為;提供管理員對虛擬桌面系統(tǒng)的操作行為審計,包括對桌面管理的操作、訪問規(guī)則設(shè)置操作和相關(guān)安全配置的操作行為等,實現(xiàn)對管理員操作行為的有據(jù)可查,防止業(yè)務(wù)抵賴行為的發(fā)生;對普通用戶訪問虛擬桌面進(jìn)行限制,控制策略細(xì)化到訪問時間、IP 地址、MAC 地址;通過支持HA(雙機(jī)冗余)部署,保證虛擬桌面業(yè)務(wù)的高連續(xù)性和可靠性。
3.3.2 Hypervisor 安全
Hypervisor 是虛擬化軟件中硬件上的一個薄層。虛擬機(jī)通過Hypervisor 來使用底層的硬件資源,因為Hypervisor 是封裝好的,可讀不可寫,所以Hypervisor 是非常安全的。
3.3.3 虛擬機(jī)資源隔離安全
虛擬化軟件Hypervisor 能實現(xiàn)同一物理機(jī)上不同虛擬機(jī)之間的資源隔離,避免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊,保證虛擬機(jī)的資源使用不受周邊虛擬機(jī)的影響。終端用戶使用虛擬機(jī)時,僅能訪問屬于自己的虛擬機(jī)的資源(如硬件、軟件和數(shù)據(jù)),不能訪問其他虛擬機(jī)的資源,保證虛擬機(jī)隔離安全。基本上所有的虛擬化產(chǎn)品都能保證這一點。
3.4 數(shù)據(jù)安全設(shè)計
在數(shù)據(jù)存儲系統(tǒng)的設(shè)計上,考慮將系統(tǒng)數(shù)據(jù)區(qū)和用戶數(shù)據(jù)區(qū)完全隔離,同時,按使用人員是否涉密,將用戶數(shù)據(jù)區(qū)分成涉密區(qū)和非涉密區(qū),把涉密數(shù)據(jù)和非涉密數(shù)據(jù)放在不同的存儲系統(tǒng)上。通過數(shù)據(jù)備份、用戶卷隔離、用戶數(shù)據(jù)加密、管理員權(quán)限控制等措施,加強(qiáng)數(shù)據(jù)的安全。如配置兩臺NAS 安全增強(qiáng)系統(tǒng),實現(xiàn)了細(xì)粒度的權(quán)限控制、“三員”(系統(tǒng)管理員、安全保密管理員、安全審計員)角色的分離、管理員權(quán)限的限制、用戶數(shù)據(jù)的加密、用戶行為的審計等。
3.5 日志和審計安全設(shè)計
桌面虛擬化系統(tǒng)中必須充分考慮日志和審計,建議采用統(tǒng)一的桌面運(yùn)維服務(wù)管理平臺(如圖3所示),基于B/S架構(gòu),提供遠(yuǎn)程集中運(yùn)維管理。運(yùn)維管理系統(tǒng)參考ITIL 標(biāo)準(zhǔn),基于統(tǒng)一維護(hù),統(tǒng)一管理的理念,并符合虛擬化的特點。支持友好的Web 界面,統(tǒng)一管理所有硬件資源與虛擬化資源,提供基于定制化策略的自動化運(yùn)維系統(tǒng)。該系統(tǒng)能進(jìn)行集中的日志收集和審計功能;對管理員的日常操作都進(jìn)行錄像,以備審計;支持集中日志收集,包括用戶桌面日志、管理日志進(jìn)行集中收集和分析;支持SSL、數(shù)據(jù)加密、用戶密碼加密保存;支持虛擬機(jī)快照、使用快照創(chuàng)建虛擬機(jī)和恢復(fù)虛擬機(jī)。為用戶數(shù)據(jù)提供備份功能。統(tǒng)一資源發(fā)放、回收,業(yè)務(wù)發(fā)放更靈活、更高效等。
圖3 虛擬化運(yùn)維管理體系
3.6 管理員安全設(shè)計
當(dāng)所有數(shù)據(jù)都轉(zhuǎn)移到后臺數(shù)據(jù)中心的時候,管理員的權(quán)限過大問題十分突出。主要有以下四類潛在風(fēng)險。
3.6.1 對虛擬機(jī)系統(tǒng)的操作權(quán)限過大
一般地,管理員可隨意操作、修改和使用虛擬機(jī),管理員可登錄進(jìn)行查看和操作用戶虛擬桌面系統(tǒng)中的數(shù)據(jù)。同時,管理員可隨意更改虛擬桌面用戶的訪問和桌面分配策略,非法提升用戶訪問和操作虛擬桌面的權(quán)限。針對這些問題,可以考慮采取虛擬化安全增強(qiáng)系統(tǒng)規(guī)避此類風(fēng)險。依據(jù)“角色分離機(jī)制”劃分三員角色;對管理員的訪問控制策略細(xì)化到桌面分配策略、桌面操作行為策略;提供管理員對虛擬桌面系統(tǒng)的操作行為審計。
3.6.2 對存儲系統(tǒng)的操作權(quán)限過大
一般地,管理員可隨意查看集中存儲系統(tǒng)中的數(shù)據(jù),這種行為存在巨大的安全風(fēng)險。針對這個問題,可以考慮采取存儲安全增強(qiáng)系統(tǒng)規(guī)避此類風(fēng)險。實現(xiàn)“三員”的權(quán)限分離; NAS 安全增強(qiáng)系統(tǒng)提供的數(shù)據(jù)加密功能,使得存儲系統(tǒng)上看不到明文數(shù)據(jù),即使拷貝出去也無法打開;在NAS 安全增強(qiáng)系統(tǒng)上建立訪問控制規(guī)則,實現(xiàn)僅僅私有目錄的擁有者有權(quán)限訪問,以保證NAS 存儲上的數(shù)據(jù)不會被非法查看。
3.6.3 缺少日志和審計
系統(tǒng)在設(shè)計時,一定要充分考慮日志和審計功能。系統(tǒng)中采用的安全產(chǎn)品和管理平臺必須提供“三員”功能;提供管理員日志和審計功能;管理員的日常操作都進(jìn)行錄像,以備審計。
3.6.4 缺少虛擬化管理的相關(guān)流程和制度
當(dāng)桌面虛擬系統(tǒng)建立之后,相關(guān)管理流程和制度一定要及時建立,規(guī)范系統(tǒng)的建設(shè)、運(yùn)維、使用和管理。
4.結(jié)束語
虛擬化技術(shù)目前正處于高速發(fā)展期,越來越多的企業(yè)已經(jīng)建立或?qū)⒁⒆约旱淖烂嫣摂M化系統(tǒng),特別是對保密要求較高的企業(yè)。目前,國內(nèi)對虛擬化下安全的研究處于起步階段,隨著虛擬化技術(shù)應(yīng)用的不斷深入,會有更多的安全解決方案出現(xiàn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺談桌面虛擬化系統(tǒng)安全性設(shè)計
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839712756.html