1.引言
桌面虚拟化(Desktop Virtualization)是虚拟化技术在应用层面的一个分支,其他分支还包括服务器虚拟化、存储虚拟化、网络虚拟化等。桌面虚拟化是一种广义上的概念,是指采用客户端/服务器(C/S)模式将个人计算机桌面环境与物理机器分开。
随着服务器虚拟化技术的发展,虚拟桌面基础设施(Virtual Desktop Infrastructure,VDI)作为桌面虚拟化的一种实现技术应运而生。虚拟桌面基础设施是指将桌面操作系统托管在一台运行在托管式的、集中化的或远程的服务器上的虚拟机(Virtual Machine,VM)内,用户可以在任何时候、任何地点,采用任何设备对个人桌面进行访问。
目前,越来越多的企业尝试建立自己的桌面虚拟化系统,但在建立过程中,对系统的安全性有较大的忧虑,特别是军工企业。本文通过对桌面虚拟化安全性的分析,探讨企业在建立桌面虚拟化系统时应该考虑的安全性设计,并提出相应的解决建议,为当前桌面虚拟化系统安全问题提供了一套解决思路和办法。
2.系统逻辑架构设计
整个方案的体系架构分为三个层次。即“云、管、端”三个层次,如图1 所示。
图1 系统逻辑架构
“云”层:主要是存放于数据中心的各种资源,包括统一存储、统一计算、统一网络,并通过虚拟化技术,实现资源的池化和集中管理、随需而变的应用。
“管”层:主要是系统的集中管理平台。提供统一的图形界面管理软件,可以在一个地点完成所有虚拟机系统的日常管理工作,包括控制管理、CPU 管理、内存管理、用户管理、存储管理、网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等工作。
“端”层:在远端用于访问桌面“云”中虚拟桌面的特定的瘦终端。
系统安全贯穿于整个“云”、“管”、“端”三个层次,是一个防御体系,而非单个安全产品的简单堆砌。从网络层、应用层、数据层以及终端层,建立起一个纵深防御体系。
3.安全性设计
3.1 终端安全设计
终端总是一个单位的IT 中最难管理的部分,管控难度主要包括:数量庞大、维护难度高、升级速度慢、维护时间长;客户端的应用越来越臃肿庞大;随着客户端安全措施的增多,应用的兼容性风险不断增大。终端管理也是保密工作中的重点和难点,在保密标准中涉及终端管理的中止项和重大项最多,是最容易出现问题的环节。
3.1.1 瘦客户机的安全设计
基于管理方便和使用安全的角度,桌面虚拟化系统中的瘦客户机(Thin Client,TC)种类不宜过多,一般控制在1-3种瘦客户机较好,并且应考虑以下几点安全性要求:
1) TC 无硬盘。无用户可直接使用的存储设备,用户不能在TC 上存储文件。
2) 严格确保TC 和虚拟机之间不能进行文件交换。
3) 非Windows 操作系统,且只读。尽量降低操作系统带来的潜在安全风险。
4) TC 从固件层面上禁用USB、串口、并口等,并且固件升级严格受控。
5) 采购无USB、串口、并口等接口的TC,TC 上只保留PS2 的键盘和鼠标接口,尽量减少终端上的接口。
6) 普通用户无法对TC 进行任何配置更改。
7) 用户数据只能存在NAS 上,用户无法在虚拟桌面和瘦客户机上存放数据。
3.1.2 终端操作系统镜像的安全
操作系统完全按照相关保密标准,设置安全策略,和传统终端的安全设置完全相同。而且,这些安全策略的设置都是通过组策略统一设置,无需逐台设置。一般应考虑以下安全设置:
1) 安装Windows XP SP3 操作系统并加入域管理。
2) 禁用的一切本地共享服务、禁用一切不必要的系统服务和程序。删除USBSTOR.SYS(大容量存储设备)的驱动程序。
3) 操作系统只设系统盘,且系统盘通过权限策略设置只读属性,禁止用户向系统盘内存储信息。
4) 按现有计算机终端的相关要求进行安全配置,安装防病毒软件、启动windows 防火墙等。
5) 一旦发现某个虚拟机感染病毒,只需要重新分配一个新的虚拟机,桌面就自动恢复到未受感染的状态。
3.1.3 终端身份认证和权限控制
系统可考虑采用域身份认证+令牌的双因素身份认证,保证系统的身份认证的安全。身份认证完成后,通过应用增强系统的权限控制,用户才能登陆虚拟机,使用属于自己的操作系统。登陆系统后,通过NAS 安全增强系统的权限控制,用户才能对集中数据存储的访问。对普通用户取消本地管理员权限,无权安装软件,无权变更设置,可以有效避免木马的植入、病毒的传播。
3.2 网络接入安全设计
网络接入安全是桌面虚拟化系统中非常重要的一个考虑方面,一般地,网络接入安全应从TC接入网络安全、TC 接入虚拟桌面(VDI)安全两个方面进行设计。当TC接入网络时,瘦客户端的MAC 地址和交换机端口应进行绑定,限制非授权设备随意接入网络;同时,设置DHCP 服务为TC 客户端分配IP地址,通过DHCP 服务的IP 池管理对自动分配的IP 作静态绑定。当TC 接入虚拟桌面时,需要考虑的安全设计更加多一些,可以从以下几个方面考虑:
1) 设置两台虚拟化安全增强系统,即相当于设置一个应用网关(如图2 所示)。TC 客户端对虚拟桌面的访问只能透过该应用网关(应用网关作为接入客户端的访问终结点和代理,代其向数据中心发起访问并返回数据),应用网关还能提供负载均衡的功能。
图2 网络接入安全
2) TC 客户端至应用网关通过HTTPS 进行连接,保证数据传输的安全。
3) 中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,无实际数据流动,最大程度保证了数据的传输安全。
4) 每个虚拟桌面只允许一个用户同时登录,防数据窃取和攻击。
3.3 虚拟化安全设计
虚拟化安全包括虚拟机隔离、Hypervisor 自身安全、恶意虚拟机防护等。通过内存隔离、CPU 隔离、网络隔离、IO隔离等技术,使同一物理机上的不同虚拟机之间相互隔离,互不影响。VM 无法访问Hypervisor。在主机内部的网络中,vSwitch 支持VLAN 功能,同一台主机的不同VM 可通过VLAN进行隔离。
3.3.1 虚拟化安全增加系统
在虚拟桌面接入服务器前端部署虚拟化安全增强系统(如图2 所示),通过其细粒度的访问控制、日志审计,保证虚拟化桌面使用的安全性;限制管理员的权限,确保用户安全接入,实现桌面虚拟化安全管理。
虚拟化安全增强系统管理员依据“角色分离机制”分为系统管理员、安全管理员和审计管理员;对管理员的访问控制策略细化到桌面分配策略、桌面安全策略操作行为;提供管理员对虚拟桌面系统的操作行为审计,包括对桌面管理的操作、访问规则设置操作和相关安全配置的操作行为等,实现对管理员操作行为的有据可查,防止业务抵赖行为的发生;对普通用户访问虚拟桌面进行限制,控制策略细化到访问时间、IP 地址、MAC 地址;通过支持HA(双机冗余)部署,保证虚拟桌面业务的高连续性和可靠性。
3.3.2 Hypervisor 安全
Hypervisor 是虚拟化软件中硬件上的一个薄层。虚拟机通过Hypervisor 来使用底层的硬件资源,因为Hypervisor 是封装好的,可读不可写,所以Hypervisor 是非常安全的。
3.3.3 虚拟机资源隔离安全
虚拟化软件Hypervisor 能实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件、软件和数据),不能访问其他虚拟机的资源,保证虚拟机隔离安全。基本上所有的虚拟化产品都能保证这一点。
3.4 数据安全设计
在数据存储系统的设计上,考虑将系统数据区和用户数据区完全隔离,同时,按使用人员是否涉密,将用户数据区分成涉密区和非涉密区,把涉密数据和非涉密数据放在不同的存储系统上。通过数据备份、用户卷隔离、用户数据加密、管理员权限控制等措施,加强数据的安全。如配置两台NAS 安全增强系统,实现了细粒度的权限控制、“三员”(系统管理员、安全保密管理员、安全审计员)角色的分离、管理员权限的限制、用户数据的加密、用户行为的审计等。
3.5 日志和审计安全设计
桌面虚拟化系统中必须充分考虑日志和审计,建议采用统一的桌面运维服务管理平台(如图3所示),基于B/S架构,提供远程集中运维管理。运维管理系统参考ITIL 标准,基于统一维护,统一管理的理念,并符合虚拟化的特点。支持友好的Web 界面,统一管理所有硬件资源与虚拟化资源,提供基于定制化策略的自动化运维系统。该系统能进行集中的日志收集和审计功能;对管理员的日常操作都进行录像,以备审计;支持集中日志收集,包括用户桌面日志、管理日志进行集中收集和分析;支持SSL、数据加密、用户密码加密保存;支持虚拟机快照、使用快照创建虚拟机和恢复虚拟机。为用户数据提供备份功能。统一资源发放、回收,业务发放更灵活、更高效等。
图3 虚拟化运维管理体系
3.6 管理员安全设计
当所有数据都转移到后台数据中心的时候,管理员的权限过大问题十分突出。主要有以下四类潜在风险。
3.6.1 对虚拟机系统的操作权限过大
一般地,管理员可随意操作、修改和使用虚拟机,管理员可登录进行查看和操作用户虚拟桌面系统中的数据。同时,管理员可随意更改虚拟桌面用户的访问和桌面分配策略,非法提升用户访问和操作虚拟桌面的权限。针对这些问题,可以考虑采取虚拟化安全增强系统规避此类风险。依据“角色分离机制”划分三员角色;对管理员的访问控制策略细化到桌面分配策略、桌面操作行为策略;提供管理员对虚拟桌面系统的操作行为审计。
3.6.2 对存储系统的操作权限过大
一般地,管理员可随意查看集中存储系统中的数据,这种行为存在巨大的安全风险。针对这个问题,可以考虑采取存储安全增强系统规避此类风险。实现“三员”的权限分离; NAS 安全增强系统提供的数据加密功能,使得存储系统上看不到明文数据,即使拷贝出去也无法打开;在NAS 安全增强系统上建立访问控制规则,实现仅仅私有目录的拥有者有权限访问,以保证NAS 存储上的数据不会被非法查看。
3.6.3 缺少日志和审计
系统在设计时,一定要充分考虑日志和审计功能。系统中采用的安全产品和管理平台必须提供“三员”功能;提供管理员日志和审计功能;管理员的日常操作都进行录像,以备审计。
3.6.4 缺少虚拟化管理的相关流程和制度
当桌面虚拟系统建立之后,相关管理流程和制度一定要及时建立,规范系统的建设、运维、使用和管理。
4.结束语
虚拟化技术目前正处于高速发展期,越来越多的企业已经建立或将要建立自己的桌面虚拟化系统,特别是对保密要求较高的企业。目前,国内对虚拟化下安全的研究处于起步阶段,随着虚拟化技术应用的不断深入,会有更多的安全解决方案出现。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅谈桌面虚拟化系统安全性设计
本文网址:http://www.toberp.com/html/consultation/10839712756.html