數(shù)據(jù)泄露防護(Data leakage prevention,DLP), 又稱為“數(shù)據(jù)丟失防護”(Data Loss prevention,DLP)是指通過IT技術(shù)方式, 防止企業(yè)指定的數(shù)據(jù)信息的非法被策略規(guī)定以外的第三方獲取。目前Symantec、Macafee等國際企業(yè)。以及中軟、伊時代、圣博潤等國內(nèi)廠商都有相應的數(shù)據(jù)防泄密產(chǎn)品方案。
同時,根據(jù)諸多IT調(diào)研機構(gòu)的報告顯示,該市場在2010年至加20年將保持20% 以上高速增長。然而隨著桌面虛擬化技術(shù)(VDI)興起,不少人會認為通過桌面虛擬化將終端用戶的信息整合在后端進行統(tǒng)一管理,就可以達到數(shù)據(jù)防泄密的效果。殊不知在虛擬桌面的整體系統(tǒng)角度來看,客戶端、傳輸網(wǎng)絡、服務器端、存儲端等各個方面,都會產(chǎn)生安全風險。忽略任伺一個細節(jié)都會導致整個系統(tǒng)的信息漏洞。
客戶端:在虛擬桌面的應用環(huán)境中,只要有訪問權(quán)限,任何智能終端都可以訪問云端的桌面環(huán)境,即許多虛擬桌面供應商宣稱的隨時隨地的系統(tǒng)訪問。但是如果訪問權(quán)限不可靠怎么辦?如果使用單純的用戶名密碼作為身份認證,那么其泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng),并獲取相關(guān)數(shù)據(jù)。傳統(tǒng)的桌面可以采用物理隔離的方式。其他人無法進安全控制區(qū)域竊取資料;而在虛擬桌面環(huán)境下,這種安全保障就不復存在了。這就要求有更加嚴格的終端身份認證機制。好比原來辦理銀行業(yè)務都需要本人攜身份證去銀行,要“偷”別人賬戶中的錢首先就過不了身份認證這一關(guān),F(xiàn)在有網(wǎng)銀了,如果仍然還是卡號加密碼的方式。那儲戶賬戶中的資金就太不安全了。此外,通過MAC地址對于允許訪問云端的客戶端進行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性,比如終端用戶從網(wǎng)吧等公共設(shè)備上無法訪問云端.但這種方式可以大幅提升客戶端的可控性。
傳輸網(wǎng)絡:絕大部分企業(yè)級用戶都會為遠程接入設(shè)備提供安全連接點。供在防火墻保護以外的設(shè)備遠程接人。但是并非所有的智能終端都支持相應的VPN技術(shù)。智能手機等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN方案。企業(yè)內(nèi)部的終端和云端的通訊可以通過SSL協(xié)議進行傳輸加密,確保整體傳輸過程中的安全性。而對于采用公有云服務的小型企業(yè)和個人用戶,云服務商會提供相應的傳輸加密途徑,而云服務商一般也會將這一選項算作增值服務,計入最終用戶的租賃成本中。
服務器端:在虛擬桌面的整體方案架構(gòu)中,后臺服務器端架構(gòu)通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統(tǒng)的高可用性;另一方面可以根據(jù)用戶數(shù)量逐步增加計算能力。在大并發(fā)的使用環(huán)境下,系統(tǒng)前端會使用負載均衡器,將用戶的連接請求發(fā)送給當前仍有剩余計算能力的服務器處理。這種架構(gòu)很容易遭到分布式拒絕攻擊,因此需要在前端的負載均衡器上配置安全控制組件,或者在防火墻的后端設(shè)置安全網(wǎng)關(guān)進行身份鑒定授權(quán)。
存儲端: 采用虛擬桌面方案之后,所有的信息都會存儲在后臺的磁盤陣列中.為了滿足文件系統(tǒng)的訪問需要.一般會采用NAS架構(gòu)的存儲系統(tǒng)。這種方式的優(yōu)勢在于企業(yè)只需要考慮保護后端磁盤陣列的信息防泄漏,原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是,如果系統(tǒng)管理員,或者是具有管理員權(quán)限的非法用戶想要獲取信息的話,這種集中式的信息存儲方式正中其下懷。
如果使用普通的文件系統(tǒng)機制,系統(tǒng)管理員作為超級用戶具有打開所有用戶目錄,獲取數(shù)據(jù)的權(quán)限。這意味著所有客戶端的信息都會被十分簡便地獲取、檢索、修改。這種威脅有時也會成為阻礙虛擬桌面為前端用戶所接受的原因之一。
在虛擬桌面的環(huán)境中。一般采用專業(yè)的加密設(shè)備進行加密存儲的方式。并且為了滿足合規(guī)的要求,加密算法應當可以有前端用戶指定。同時.在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施,及需要系統(tǒng)管理員、數(shù)據(jù)外發(fā)審核員和數(shù)據(jù)所有人同時確認也能夠允許信息的發(fā)送。這樣可以實現(xiàn)主動防泄密。此外,還需要通過審計方式確保所有操作的可追溯性。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:桌面虛擬化環(huán)境中的安全性問題
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121513427.html