虚拟化 频道

如何打造“虚拟化”桌面的安全措施?

  建立健全的访问控制机制

  需要在虚拟机的内部和外部建立完善的权限和访问控制机制,建立集中和合理化访问控制方法,以减少冗余和效率低下。提供细化的访问控制粒度,以适应虚拟资源类型、用户角色和访问控制协议。进一步保证每个虚拟机的权限和资源访问能力,应该建立基于虚拟机的程序控制列表,使得每台虚拟化桌面可以访问不同的应用程序,可以获得不同的虚拟化桌面。

  虚拟化桌面系统盘支持差分模式和独立运行模式,差分模式允许用户在共享系统盘的基础上,保留自己的私有数据,包括应用和系统数据;独立运行模式不允许用户修改系统盘,所有的修改在虚拟桌面重启后均会丢失。任何人员(包括管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息。

  实现传输通道的安全保护

  可以通过硬件建立虚拟桌面的加密传输通道,保证系统在迁移的过程中不会被“整盘拷贝”。为远程接入设备提供安全连接点,供在防火墙保护以外的设备远程接入,智能终端等设备一般可采用专业安全厂商提供的定制化VPN技术。同时虚拟化桌面和服务端的通讯可以通过SSL协议进行传输加密,确保整体传输过程中的安全性。

  提高数据集中存储的安全性

  桌面虚拟化技术中对集中存储的保护是最重要的部分,一旦集中存储遭到破坏,整个虚拟架构就会受到严重的影响。在虚拟桌面的环境中,一般采用专业的加密设备进行加密存储的方式,并且为了满足合规规范的要求,加密算法应当可以由用户指定。同时,在数据管理上需要考虑三权分立的措施,即需要系统管理员、安全审核员和数据所有人同时确认才能够允许信息的发送,这样可以实现主动防泄密。此外,还需要通过审计方式确保所有操作的可追溯性。

  加强运维管理的安全性

  建立完善的管理员配置审计和用户日志审计手段,使得管理员的行为和用户的行为都有详细的审计记录,从而保证每个用户的行为有据可查。

  桌面虚拟化技术应支持两类系统管理员的管理,一类是系统业务维护管理员,负责进行创建虚拟化桌面,附加和解除用户关系,修改、注销、查看虚拟桌面,桌面资源计算等工作。另一类是系统日志管理员,负责对用户和系统业务维护管理员使用桌面虚拟化系统的日志记录的查看、审计等工作;

  要求两类管理员严格独立,系统业务维护管理员的任何操作均需产生日志,并由系统日志管理员统一管理。

  提高系统运行的可靠性

  虚拟化桌面系统的稳定运行主要依靠服务器、存储系统、业务网络、系统软件和虚拟桌面资源池的可靠性进行保障。具体的可靠性保障包括:

  服务器和存储系统均需具备电信级的可靠性。

  通过网络架构和路由协议,保证系统的网络可靠性,包括:无单点故障、有丰富的路由、有相应安全技术保障等。

  所有软件系统均需采用负载均衡、主/备份等方式实现,单个部件故障对业务无影响。

  虚拟桌面以资源池的方式进行管理,单个主机/部件发生故障时,在其上使用的用户只需重新登录,即可重新进行资源分配,实现用户的迁移。

  系统管理软件运行在虚拟机上,并实现HA功能,虚拟机发生故障时可自动进行迁移。

  当前虚拟化技术主要包括服务器虚拟化、应用虚拟化和桌面虚拟化等,其中桌面虚拟化技术是当前发展最快、最具应用前景的技术。桌面虚拟化技术可以在数据中心集中应用软件,从而简化治理、充分利用硬件资源以及尽量减少软件冲突等。由于桌面在数据中心运行,因此管理员可以更轻松地对其进行部署、管理和维护。用户可以灵活访问与普通桌面功能相同的虚拟桌面。

  桌面虚拟化技术在带来极大便利的同时,也悄然的引进了不安全性,作为用户是极难去发现和了解。因此,加强虚拟化桌面系统的安全保障措施的实施,提升虚拟化桌面系统的信息安全保障能力是政府部门、企事业单位的当务之急。

1
相关文章