云計(jì)算(Cloud Computing)是一種互聯(lián)網(wǎng)上的資源利用新方式,可為大眾用戶依托互聯(lián)網(wǎng)異構(gòu)、自治的服務(wù)進(jìn)行按需即取的計(jì)算 , 云計(jì)算的資源是動(dòng)態(tài)易擴(kuò)展而且虛擬化的,通過互聯(lián)網(wǎng)提供。云計(jì)算讓現(xiàn)在的IT 環(huán)境更具生命力,實(shí)現(xiàn)了資源調(diào)度按需分配,環(huán)境部署自動(dòng)化,降低人工運(yùn)維成本,提高了生產(chǎn)效率。隨著云計(jì)算的成熟,虛擬桌面或者說“桌面云”將成為未來終端管理和桌面系統(tǒng)建設(shè)的主要趨勢(shì)。
桌面云,簡(jiǎn)而言之就是基于云計(jì)算的虛擬桌面,是在本地具備輸入、輸出設(shè)備的硬件環(huán)境,而運(yùn)行環(huán)境由云端資源虛擬實(shí)現(xiàn),同時(shí),相關(guān)的應(yīng)用、數(shù)據(jù)、運(yùn)算都部署于云端。桌面云是云計(jì)算的重要應(yīng)用領(lǐng)域之一,也是最具特點(diǎn)的應(yīng)用之一。相對(duì)于傳統(tǒng)本地桌面,桌面云具有數(shù)據(jù)安全、節(jié)能減排、易于管理、靈活訪問、穩(wěn)定可靠、易于備份的特點(diǎn)。在云計(jì)算架構(gòu)中,桌面云是一種實(shí)現(xiàn)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源的集中化、共享化的平臺(tái)方案,能夠?qū)闻_(tái)PC 的處理能力(包括CPU 和硬盤)集中到數(shù)據(jù)中心,
辦公個(gè)人終端變成TC(Terminal Client),從而不需要強(qiáng)的處理能力和存儲(chǔ)能力就能夠搭建好整個(gè)業(yè)務(wù)平臺(tái),并兼具計(jì)算高效性和數(shù)據(jù)保密安全性。
處于后臺(tái)的云數(shù)據(jù)中心將負(fù)責(zé)給每個(gè)辦公終端提供虛擬化的“計(jì)算機(jī)”平臺(tái),每個(gè)終端所使用的資源都是共享的,通過云數(shù)據(jù)中心的統(tǒng)一調(diào)度和管理,實(shí)現(xiàn)對(duì)資源的“按需分配”管理。
1、桌面云準(zhǔn)入控制架構(gòu)
圖1 展示了桌面云及其安全準(zhǔn)入體系的一個(gè)基本架構(gòu)。
總體來看,桌面云安全平臺(tái)分為前端和后端。如圖2 所示。
1.1 桌面云安全平臺(tái)建設(shè)
桌面云安全平臺(tái)的建設(shè)包括以下幾個(gè)方面:在桌面云的前端搭建虛擬安全交付平臺(tái);在桌面云后端服務(wù)器上加裝安全操作系統(tǒng)以及用戶的各類應(yīng)用系統(tǒng)(如CRM、收費(fèi)系統(tǒng)及其他核心業(yè)務(wù))的對(duì)應(yīng)客戶端,并將這些應(yīng)用客戶端發(fā)布到前端的虛擬交付平臺(tái)。通過以上設(shè)計(jì)思路,在建設(shè)好桌面云安全平臺(tái)之后,終端用戶的安全體驗(yàn)即可生成,用戶只需要登錄到虛擬交互平臺(tái)上,使用后端服務(wù)器上的操作系統(tǒng)自身提供的認(rèn)證資源以及利用客戶端訪問控制系統(tǒng)即可實(shí)現(xiàn)安全交互。此時(shí)的操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端均運(yùn)行在后端服務(wù)器,而不是運(yùn)行在用戶的本地終端,從而實(shí)現(xiàn)數(shù)據(jù)、協(xié)議、操作均控制在“云”范圍內(nèi)的效果,大大提高了計(jì)算速度和安全性。
1.2 桌面云準(zhǔn)入控制的技術(shù)環(huán)境
對(duì)于運(yùn)維管理者而言,實(shí)現(xiàn)云系統(tǒng)的準(zhǔn)入控制,需要組建集中化的、高性能的云計(jì)算數(shù)據(jù)中心和認(rèn)證中心,其技術(shù)設(shè)備包括:
。1)計(jì)算及認(rèn)證設(shè)備,基于各類后臺(tái)操作系統(tǒng)(最好是基于安全開放的編程體系,如UNIX)對(duì)提交上來的業(yè)務(wù)數(shù)據(jù)進(jìn)行計(jì)算處理,并將處理結(jié)果寫入存儲(chǔ)設(shè)備;
。2)存儲(chǔ)設(shè)備,存儲(chǔ)用戶內(nèi)部的重要業(yè)務(wù)應(yīng)用系統(tǒng)及各類重要數(shù)據(jù)資源、各類日志等;
(3)網(wǎng)絡(luò)設(shè)備,支撐云后端體系的通信工作;
。4)機(jī)柜系統(tǒng),放置上述的硬件設(shè)備;
。5)UPS 電源系統(tǒng),為全套硬件系統(tǒng)提供能源保障;
。6)軟件系統(tǒng),VM(Virtual Manufacturing)虛擬化平臺(tái)、密鑰管理系統(tǒng)、業(yè)務(wù)平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫平臺(tái)等。
2、桌面云面臨的威脅
許多用戶在把自己的傳統(tǒng)桌面替換成桌面云的過程中,經(jīng)常會(huì)受到桌面云的安全問題的困擾,因此,在實(shí)施桌面云架構(gòu)過程中必須要著重考慮安全問題。
云計(jì)算在為個(gè)人和單位用戶提供豐富數(shù)據(jù)資源的同時(shí),也對(duì)隱私、信任體系和身份產(chǎn)生了新的挑戰(zhàn)。具體來說,云計(jì)算應(yīng)用有很多優(yōu)點(diǎn),但仍然面臨如下安全威脅:
1)服務(wù)可用性威脅。用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算系統(tǒng)中,其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)提供商所提供的服務(wù),這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA(服務(wù)等級(jí)協(xié)議)和IT 流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外,當(dāng)發(fā)生系統(tǒng)故障時(shí),如何保證用戶數(shù)據(jù)的快速恢復(fù)也成為一個(gè)重要問題。
2)桌面云用戶信息濫用與泄露風(fēng)險(xiǎn)。用戶的資料存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計(jì)算系統(tǒng)有關(guān),如果發(fā)生關(guān)鍵或隱私信息丟失或遭竊取,對(duì)用戶來說是不能接受的。如何保證云服務(wù)提供商內(nèi)部的安全管理和訪問控制機(jī)制符合客戶的安全需求,實(shí)施有效的安全審計(jì),對(duì)數(shù)據(jù)操作進(jìn)行安全監(jiān)控,以及避免云計(jì)算環(huán)境中多用戶共存帶來的潛在風(fēng)險(xiǎn)等問題都成為云計(jì)算環(huán)境下所面臨的安全挑戰(zhàn)。
3)拒絕服務(wù)攻擊威脅。云計(jì)算應(yīng)用由于其用戶、信息資源的高度集中,容易成為黑客攻擊的目標(biāo),同時(shí)由拒絕服務(wù)攻擊造成的后果和破壞性將會(huì)明顯超過傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。從上面桌面云的安全問題和面臨的威脅中不難看出,桌面云涉及到終端、網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)器、軟件架構(gòu)以及內(nèi)部和外部等各個(gè)方面。同時(shí),桌面云支持多種接入方式,包括移動(dòng)方式的接入,如IOS 和Android 的智能手機(jī)、平板電腦等,在這種情況下,對(duì)于用戶認(rèn)證和接入控制不嚴(yán)格,會(huì)導(dǎo)致整個(gè)系統(tǒng)的不安全。因此,網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在愈演愈烈的“云時(shí)代”將會(huì)發(fā)揮出越來越大的作用。
3、桌面云的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)分析
3.1 安全控制技術(shù)需求
隨著云計(jì)算的不斷深入,越來越多的企業(yè)業(yè)務(wù)系統(tǒng)由傳統(tǒng)的C/S 架構(gòu)向B/S 架構(gòu)遷移,以往訪問后臺(tái)數(shù)據(jù)需要安裝專用軟件,IT 部門控制客戶端軟件的許可發(fā)放,就能夠大致控制訪問用戶的范圍。而在B/S 架構(gòu)中,用戶只需要一個(gè)Web瀏覽器即可登錄系統(tǒng),加上智能手機(jī)、智能平板電腦和WiFi的流行,以往的限制條件消失了,任何人手中的設(shè)備都成了可能訪問后臺(tái)數(shù)據(jù)庫的平臺(tái)。在虛擬化越來越深入的云時(shí)代,網(wǎng)絡(luò)管理部門需要得到一種可以控制眾多虛擬端口的技術(shù)保障。
3.2 技術(shù)發(fā)展方向
在桌面云安全中,還有十分重要和關(guān)鍵的一環(huán),就是接入云用戶的身份認(rèn)證。傳統(tǒng)的“云”認(rèn)證一般都是采用WindowsAD 域或加裝第三方LDAP(Lightweight Directory Access Protocol,輕量目錄訪問協(xié)議)服務(wù)器的方式來實(shí)現(xiàn),但許多用戶反映要建設(shè)一個(gè)具有整體性且功能完善的AD(Active Directory,簡(jiǎn)稱活動(dòng)目錄)域,實(shí)現(xiàn)及維護(hù)工作量巨大,而AD 域最大的缺陷是,當(dāng)受控終端不訪問云資源的時(shí)候,則完全可以逃避AD 域的控制和約束。這樣一來,系統(tǒng)管理者在AD 域的建設(shè)上投入了大量的時(shí)間、精力和成本,但可用性卻不高,而系統(tǒng)的管理者最終需要的是一套將桌面云用戶及所有入網(wǎng)用戶結(jié)合為一體來進(jìn)行身份認(rèn)證和安全控制的準(zhǔn)入控制系統(tǒng),如果重新構(gòu)建這樣一套系統(tǒng)將面臨重復(fù)投資和重復(fù)性維護(hù)工作,這對(duì)絕大多數(shù)用戶而言是不能接受的。
由于LDAP 服務(wù)器安全控制功能太弱,只能作為一個(gè)純身份信息數(shù)據(jù)庫的單一化節(jié)點(diǎn),成為對(duì)已有強(qiáng)安全系統(tǒng)的一個(gè)便利型的補(bǔ)充。而在沒有強(qiáng)入網(wǎng)控制系統(tǒng)的情況下,系統(tǒng)的安全便得不到保障。
對(duì)于桌面云的建設(shè)者而言,云架構(gòu)本身的安全性就在于應(yīng)用安全,系統(tǒng)數(shù)據(jù)的安全使用屬于控制層次較高的使用范疇,這對(duì)于用戶的業(yè)務(wù)型安全需求是基本符合的。但正因?yàn)榭刂茖哟翁,在基本IP 層或MAC 層的控制手段就形同虛設(shè),基本通信級(jí)的接入控制非常有限,從國際通用的安全標(biāo)準(zhǔn)考慮,忽視底層的安全將帶來大量的滲透風(fēng)險(xiǎn)(當(dāng)然由于應(yīng)用層的強(qiáng)力控制,這其中可能只有少部分滲透能夠威脅到核心數(shù)據(jù)),但這樣門戶洞開對(duì)于黑客或攻擊者的誘惑是相當(dāng)大的。可以想象,一個(gè)每日不斷被侵入的桌面云系統(tǒng),其虛擬交互平臺(tái)將承受巨大的攻擊風(fēng)險(xiǎn)。
換句話說,如果在基本的IP 或MAC 層就進(jìn)行接入控制,絕大部分的攻擊將在交換機(jī)端口就得到有效的限制,從而大大減輕云前端虛擬交付平臺(tái)的抗風(fēng)險(xiǎn)攻擊壓力。這也標(biāo)志著桌面云環(huán)境中,網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)(NAC)依然會(huì)發(fā)揮至關(guān)重要的接入控制作用,通過NAC 的底層控制和桌面云自身的高層控制,共同打造用戶網(wǎng)絡(luò)的整體安全架構(gòu)。
3.3 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)分析
通過詳細(xì)分析,這里對(duì)近年來的桌面云網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的發(fā)展趨勢(shì)作出如下預(yù)測(cè)。
3.3.1 無客戶端化成為技術(shù)發(fā)展主要趨勢(shì)
2012 年是我國信息化領(lǐng)域提出無客戶端準(zhǔn)入的第三個(gè)年頭,越來越多的機(jī)構(gòu)開始進(jìn)入無客戶端準(zhǔn)入的用戶陣營。鑒于桌面云系統(tǒng)隱私、實(shí)施便捷性、維護(hù)度、故障點(diǎn)等多方面的原因,高端客戶或?qū)?zhǔn)入控制技術(shù)有深入了解的客戶,也更傾向于只需要一臺(tái)硬件化的設(shè)備就能夠幫助自己解決絕大多數(shù)的問題。對(duì)于意欲實(shí)施NAC 的行業(yè),尤其是在政府行業(yè),無客戶端化的準(zhǔn)入產(chǎn)品已經(jīng)成為了系統(tǒng)必需的配置,另一方面,準(zhǔn)入選型中的無客戶端化也已成為了眾多安全應(yīng)用部門最基本的需求。當(dāng)然,此類技術(shù)的使用還需要提供可供選擇的客戶端配置。尤其對(duì)于重點(diǎn)行業(yè)用戶來說,NAC 所附加的功能(如交互式提醒、虛擬防火墻、準(zhǔn)入環(huán)境下的軟件監(jiān)測(cè)等)大大提升了系統(tǒng)管理和控制能力。
3.3.2 桌面云與網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的結(jié)合
NAC 與云計(jì)算的結(jié)合點(diǎn)從本質(zhì)上看就是數(shù)據(jù)與傳輸?shù)慕Y(jié)合,由云來保證數(shù)據(jù)安全,NAC 來保障傳輸安全。從另一個(gè)角度說,NAC 甚至可以成為傳輸協(xié)議安全標(biāo)準(zhǔn)中的一部分。
在部署準(zhǔn)入控制系統(tǒng)之前,傳統(tǒng)桌面云如圖3 所示。
以下是一個(gè)典型的桌面云與準(zhǔn)入控制技術(shù)結(jié)合的應(yīng)用場(chǎng)景,如圖4 和圖5 所示。
在保護(hù)了核心區(qū)域的應(yīng)用、數(shù)據(jù)之后,所有需要接入網(wǎng)絡(luò)(狹義上的物理網(wǎng)絡(luò))的云終端都必須通過NAC 的身份認(rèn)證和安全檢查,否則就沒有接入物理網(wǎng)絡(luò)的權(quán)限。
桌面云環(huán)境下可信準(zhǔn)入認(rèn)證體系結(jié)構(gòu)主要包括三個(gè)邏輯層次:網(wǎng)絡(luò)訪問層NAL、可信屬性評(píng)估層TEL、可信屬性測(cè)量層TML。每個(gè)層次的形態(tài)可以是軟件、硬件,也可以是一組函數(shù)或程序等。如圖6 所示。
圖6 中實(shí)體AR 中的網(wǎng)絡(luò)訪問請(qǐng)求部分,通常是傳統(tǒng)的網(wǎng)絡(luò)連接功能;認(rèn)證模型具有 5 個(gè)實(shí)體,即請(qǐng)求接入者(Access Requestor,AR ), 策略執(zhí)行者(Policy Enforcement Point ,PEP),策略決策者(Policy Decision point,PDP),元數(shù)據(jù)存儲(chǔ)點(diǎn)(Metadata Access Point ,MAP ) ,流量控制器和感應(yīng)器( Flow Controllers-Sensors,F(xiàn)CSS),其中請(qǐng)求接入者和策略決策者是必選的實(shí)體,而其它的實(shí)體則是可選可不選的。
該認(rèn)證體系通過使用基于雙線性映射的 BBS+ 簽名算法和屬性證書機(jī)制代替平臺(tái)配置信息的方式,提出了一種基于雙線性映射和屬性證書的遠(yuǎn)程證明方案(Bilinear Mapping and Property-Based Attestation ,BMPBA)。該方案采用的加密方法主要包括:HTTPS協(xié)議技術(shù)、非對(duì)稱密鑰對(duì)生成(RSA)、非對(duì)稱加密/ 解密、哈希運(yùn)算(SHA-1)、隨機(jī)數(shù)產(chǎn)生(RNG)等。其中,HTTPS 協(xié)議是由HTTP+SSL協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議。SSL 協(xié)議位于TCP/ IP 協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等實(shí)際上應(yīng)用了Netscape的安全套接層(SSL)作為HTTP 應(yīng)用層的子層,使用40 位關(guān)鍵字作為RC4 流加密算法。
3.3.3 第三方無線準(zhǔn)入技術(shù)
目前,大部分的無線網(wǎng)絡(luò)的安全認(rèn)證依然停留在對(duì)2 層網(wǎng)絡(luò)通信協(xié)議的安全控制上,也就是在接入SSID 時(shí)進(jìn)行安全認(rèn)證,比如WPA 或WPA2,或常見的IEEE802.1x 等。Wi-Fi聯(lián)盟給出的定義為:
WPA = 802.1x + EAP + TKIP + MIC
WPA2 = IEEE 802.1x/EAP +AES-CCMP
但是對(duì)于需要在接入層全部覆蓋NAC 的用戶而言,我們不得不再次強(qiáng)調(diào)一個(gè)談?wù)摿硕嗄甑脑瓌t:身份認(rèn)證≠準(zhǔn)入控制。作為無線桌面云環(huán)境,在大規(guī)模鋪設(shè)了專業(yè)的WLC、Lightweight AP 等設(shè)備后,具有前瞻性的管理者已經(jīng)著手制定了合理的WLAN NAC 方案,這里就囊括了基本的3 層通信協(xié)議的安全認(rèn)證、安全性判別、漏洞修復(fù)、虛擬防火墻等整套NAC 架構(gòu),如圖7 所示。全部方案基于無客戶端模式,而需要強(qiáng)調(diào)的是,不同于傳統(tǒng)NAC 在網(wǎng)關(guān)層面所做的工作,WLAN NAC 方案的合格要求應(yīng)該是在接入AP(Access Point,無線訪問節(jié)點(diǎn))層就實(shí)施準(zhǔn)入管理。在這樣的要求下,目前大部分技術(shù)白皮書中以網(wǎng)關(guān)技術(shù)來“支持”AP 很難達(dá)到好的安全保護(hù)效果。
4、結(jié)束語
通過將準(zhǔn)入控制技術(shù)和桌面虛擬化技術(shù)的整合,桌面云的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù),能夠解決目前桌面云所面臨的一些安全風(fēng)險(xiǎn),整體提升云桌面解決方案的安全性能。通過對(duì)接入云服務(wù)器的終端或瘦客戶端進(jìn)行有效、規(guī)范的管理,能夠避免非法的信息竊取。實(shí)時(shí)監(jiān)測(cè)阻止對(duì)服務(wù)器的攻擊;很好地保障數(shù)據(jù)在應(yīng)用與傳輸中的安全。由此,云桌面下的準(zhǔn)入控制也就顯得格外的重要,在未來的網(wǎng)絡(luò)環(huán)境中,這一技術(shù)必將成為業(yè)界所探究的重點(diǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:桌面云網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121510871.html