1.引言

　　桌面虛擬化（Desktop Virtualization）是虛擬化技術(shù)在應(yīng)用層面的一個(gè)分支，其他分支還包括服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化等。桌面虛擬化是一種廣義上的概念，是指采用客戶端/服務(wù)器（C/S）模式將個(gè)人計(jì)算機(jī)桌面環(huán)境與物理機(jī)器分開。

　　隨著服務(wù)器虛擬化技術(shù)的發(fā)展，虛擬桌面基礎(chǔ)設(shè)施（Virtual Desktop Infrastructure，VDI）作為桌面虛擬化的一種實(shí)現(xiàn)技術(shù)應(yīng)運(yùn)而生。虛擬桌面基礎(chǔ)設(shè)施是指將桌面操作系統(tǒng)托管在一臺(tái)運(yùn)行在托管式的、集中化的或遠(yuǎn)程的服務(wù)器上的虛擬機(jī)（Virtual Machine，VM）內(nèi)，用戶可以在任何時(shí)候、任何地點(diǎn)，采用任何設(shè)備對(duì)個(gè)人桌面進(jìn)行訪問。

　　目前，越來越多的企業(yè)嘗試建立自己的桌面虛擬化系統(tǒng)，但在建立過程中，對(duì)系統(tǒng)的安全性有較大的憂慮，特別是軍工企業(yè)。本文通過對(duì)桌面虛擬化安全性的分析，探討企業(yè)在建立桌面虛擬化系統(tǒng)時(shí)應(yīng)該考慮的安全性設(shè)計(jì)，并提出相應(yīng)的解決建議，為當(dāng)前桌面虛擬化系統(tǒng)安全問題提供了一套解決思路和辦法。

　　2.系統(tǒng)邏輯架構(gòu)設(shè)計(jì)

　　整個(gè)方案的體系架構(gòu)分為三個(gè)層次。即“云、管、端”三個(gè)層次，如圖1 所示。

圖1 系統(tǒng)邏輯架構(gòu)

　　“云”層：主要是存放于數(shù)據(jù)中心的各種資源，包括統(tǒng)一存儲(chǔ)、統(tǒng)一計(jì)算、統(tǒng)一網(wǎng)絡(luò)，并通過虛擬化技術(shù)，實(shí)現(xiàn)資源的池化和集中管理、隨需而變的應(yīng)用。

　　“管”層：主要是系統(tǒng)的集中管理平臺(tái)。提供統(tǒng)一的圖形界面管理軟件，可以在一個(gè)地點(diǎn)完成所有虛擬機(jī)系統(tǒng)的日常管理工作，包括控制管理、CPU 管理、內(nèi)存管理、用戶管理、存儲(chǔ)管理、網(wǎng)絡(luò)管理、日志收集、性能分析、故障診斷、權(quán)限管理、在線維護(hù)等工作。

　　“端”層：在遠(yuǎn)端用于訪問桌面“云”中虛擬桌面的特定的瘦終端。

　　系統(tǒng)安全貫穿于整個(gè)“云”、“管”、“端”三個(gè)層次，是一個(gè)防御體系，而非單個(gè)安全產(chǎn)品的簡(jiǎn)單堆砌。從網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層以及終端層，建立起一個(gè)縱深防御體系。

　　3.安全性設(shè)計(jì)

　　3.1 終端安全設(shè)計(jì)

　　終端總是一個(gè)單位的IT 中最難管理的部分，管控難度主要包括：數(shù)量龐大、維護(hù)難度高、升級(jí)速度慢、維護(hù)時(shí)間長(zhǎng)；客戶端的應(yīng)用越來越臃腫龐大；隨著客戶端安全措施的增多，應(yīng)用的兼容性風(fēng)險(xiǎn)不斷增大。終端管理也是保密工作中的重點(diǎn)和難點(diǎn)，在保密標(biāo)準(zhǔn)中涉及終端管理的中止項(xiàng)和重大項(xiàng)最多，是最容易出現(xiàn)問題的環(huán)節(jié)。

　　3.1.1 瘦客戶機(jī)的安全設(shè)計(jì)

　　基于管理方便和使用安全的角度，桌面虛擬化系統(tǒng)中的瘦客戶機(jī)（Thin Client，TC）種類不宜過多，一般控制在1-3種瘦客戶機(jī)較好，并且應(yīng)考慮以下幾點(diǎn)安全性要求：

　　1) TC 無硬盤。無用戶可直接使用的存儲(chǔ)設(shè)備，用戶不能在TC 上存儲(chǔ)文件。

　　2) 嚴(yán)格確保TC 和虛擬機(jī)之間不能進(jìn)行文件交換。

　　3) 非Windows 操作系統(tǒng)，且只讀。盡量降低操作系統(tǒng)帶來的潛在安全風(fēng)險(xiǎn)。

　　4) TC 從固件層面上禁用USB、串口、并口等，并且固件升級(jí)嚴(yán)格受控。

　　5) 采購(gòu)無USB、串口、并口等接口的TC，TC 上只保留PS2 的鍵盤和鼠標(biāo)接口，盡量減少終端上的接口。

　　6) 普通用戶無法對(duì)TC 進(jìn)行任何配置更改。

　　7) 用戶數(shù)據(jù)只能存在NAS 上，用戶無法在虛擬桌面和瘦客戶機(jī)上存放數(shù)據(jù)。

　　3.1.2 終端操作系統(tǒng)鏡像的安全

　　操作系統(tǒng)完全按照相關(guān)保密標(biāo)準(zhǔn)，設(shè)置安全策略，和傳統(tǒng)終端的安全設(shè)置完全相同。而且，這些安全策略的設(shè)置都是通過組策略統(tǒng)一設(shè)置，無需逐臺(tái)設(shè)置。一般應(yīng)考慮以下安全設(shè)置：

　　1) 安裝Windows XP SP3 操作系統(tǒng)并加入域管理。

　　2) 禁用的一切本地共享服務(wù)、禁用一切不必要的系統(tǒng)服務(wù)和程序。刪除USBSTOR.SYS（大容量存儲(chǔ)設(shè)備）的驅(qū)動(dòng)程序。

　　3) 操作系統(tǒng)只設(shè)系統(tǒng)盤，且系統(tǒng)盤通過權(quán)限策略設(shè)置只讀屬性，禁止用戶向系統(tǒng)盤內(nèi)存儲(chǔ)信息。

　　4) 按現(xiàn)有計(jì)算機(jī)終端的相關(guān)要求進(jìn)行安全配置，安裝防病毒軟件、啟動(dòng)windows 防火墻等。

　　5) 一旦發(fā)現(xiàn)某個(gè)虛擬機(jī)感染病毒，只需要重新分配一個(gè)新的虛擬機(jī)，桌面就自動(dòng)恢復(fù)到未受感染的狀態(tài)。

　　3.1.3 終端身份認(rèn)證和權(quán)限控制

　　系統(tǒng)可考慮采用域身份認(rèn)證+令牌的雙因素身份認(rèn)證，保證系統(tǒng)的身份認(rèn)證的安全。身份認(rèn)證完成后，通過應(yīng)用增強(qiáng)系統(tǒng)的權(quán)限控制，用戶才能登陸虛擬機(jī)，使用屬于自己的操作系統(tǒng)。登陸系統(tǒng)后，通過NAS 安全增強(qiáng)系統(tǒng)的權(quán)限控制，用戶才能對(duì)集中數(shù)據(jù)存儲(chǔ)的訪問。對(duì)普通用戶取消本地管理員權(quán)限，無權(quán)安裝軟件，無權(quán)變更設(shè)置，可以有效避免木馬的植入、病毒的傳播。

　　3.2 網(wǎng)絡(luò)接入安全設(shè)計(jì)

　　網(wǎng)絡(luò)接入安全是桌面虛擬化系統(tǒng)中非常重要的一個(gè)考慮方面，一般地，網(wǎng)絡(luò)接入安全應(yīng)從TC接入網(wǎng)絡(luò)安全、TC 接入虛擬桌面(VDI)安全兩個(gè)方面進(jìn)行設(shè)計(jì)。當(dāng)TC接入網(wǎng)絡(luò)時(shí)，瘦客戶端的MAC 地址和交換機(jī)端口應(yīng)進(jìn)行綁定，限制非授權(quán)設(shè)備隨意接入網(wǎng)絡(luò)；同時(shí)，設(shè)置DHCP 服務(wù)為TC 客戶端分配IP地址，通過DHCP 服務(wù)的IP 池管理對(duì)自動(dòng)分配的IP 作靜態(tài)綁定。當(dāng)TC 接入虛擬桌面時(shí)，需要考慮的安全設(shè)計(jì)更加多一些，可以從以下幾個(gè)方面考慮：

　　1) 設(shè)置兩臺(tái)虛擬化安全增強(qiáng)系統(tǒng)，即相當(dāng)于設(shè)置一個(gè)應(yīng)用網(wǎng)關(guān)（如圖2 所示）。TC 客戶端對(duì)虛擬桌面的訪問只能透過該應(yīng)用網(wǎng)關(guān)（應(yīng)用網(wǎng)關(guān)作為接入客戶端的訪問終結(jié)點(diǎn)和代理，代其向數(shù)據(jù)中心發(fā)起訪問并返回?cái)?shù)據(jù)），應(yīng)用網(wǎng)關(guān)還能提供負(fù)載均衡的功能。

圖2 網(wǎng)絡(luò)接入安全

　　2) TC 客戶端至應(yīng)用網(wǎng)關(guān)通過HTTPS 進(jìn)行連接，保證數(shù)據(jù)傳輸?shù)陌踩��?/p>

　　3) 中心服務(wù)器和遠(yuǎn)端終端設(shè)備之間傳遞的是經(jīng)過壓縮和加密的屏幕刷新和鼠標(biāo)鍵盤信息，無實(shí)際數(shù)據(jù)流動(dòng)，最大程度保證了數(shù)據(jù)的傳輸安全。

　　4) 每個(gè)虛擬桌面只允許一個(gè)用戶同時(shí)登錄，防數(shù)據(jù)竊取和攻擊。

　　3.3 虛擬化安全設(shè)計(jì)

　　虛擬化安全包括虛擬機(jī)隔離、Hypervisor 自身安全、惡意虛擬機(jī)防護(hù)等。通過內(nèi)存隔離、CPU 隔離、網(wǎng)絡(luò)隔離、IO隔離等技術(shù)，使同一物理機(jī)上的不同虛擬機(jī)之間相互隔離，互不影響。VM 無法訪問Hypervisor。在主機(jī)內(nèi)部的網(wǎng)絡(luò)中，vSwitch 支持VLAN 功能，同一臺(tái)主機(jī)的不同VM 可通過VLAN進(jìn)行隔離。

　　3.3.1 虛擬化安全增加系統(tǒng)

　　在虛擬桌面接入服務(wù)器前端部署虛擬化安全增強(qiáng)系統(tǒng)（如圖2 所示），通過其細(xì)粒度的訪問控制、日志審計(jì)，保證虛擬化桌面使用的安全性；限制管理員的權(quán)限，確保用戶安全接入，實(shí)現(xiàn)桌面虛擬化安全管理。

　　虛擬化安全增強(qiáng)系統(tǒng)管理員依據(jù)“角色分離機(jī)制”分為系統(tǒng)管理員、安全管理員和審計(jì)管理員；對(duì)管理員的訪問控制策略細(xì)化到桌面分配策略、桌面安全策略操作行為；提供管理員對(duì)虛擬桌面系統(tǒng)的操作行為審計(jì)，包括對(duì)桌面管理的操作、訪問規(guī)則設(shè)置操作和相關(guān)安全配置的操作行為等，實(shí)現(xiàn)對(duì)管理員操作行為的有據(jù)可查，防止業(yè)務(wù)抵賴行為的發(fā)生；對(duì)普通用戶訪問虛擬桌面進(jìn)行限制，控制策略細(xì)化到訪問時(shí)間、IP 地址、MAC 地址；通過支持HA（雙機(jī)冗余）部署，保證虛擬桌面業(yè)務(wù)的高連續(xù)性和可靠性。

　　3.3.2 Hypervisor 安全

　　Hypervisor 是虛擬化軟件中硬件上的一個(gè)薄層。虛擬機(jī)通過Hypervisor 來使用底層的硬件資源，因?yàn)镠ypervisor 是封裝好的，可讀不可寫，所以Hypervisor 是非常安全的。

　　3.3.3 虛擬機(jī)資源隔離安全

　　虛擬化軟件Hypervisor 能實(shí)現(xiàn)同一物理機(jī)上不同虛擬機(jī)之間的資源隔離，避免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊，保證虛擬機(jī)的資源使用不受周邊虛擬機(jī)的影響。終端用戶使用虛擬機(jī)時(shí)，僅能訪問屬于自己的虛擬機(jī)的資源（如硬件、軟件和數(shù)據(jù)），不能訪問其他虛擬機(jī)的資源，保證虛擬機(jī)隔離安全。基本上所有的虛擬化產(chǎn)品都能保證這一點(diǎn)。

　　3.4 數(shù)據(jù)安全設(shè)計(jì)

　　在數(shù)據(jù)存儲(chǔ)系統(tǒng)的設(shè)計(jì)上，考慮將系統(tǒng)數(shù)據(jù)區(qū)和用戶數(shù)據(jù)區(qū)完全隔離，同時(shí)，按使用人員是否涉密，將用戶數(shù)據(jù)區(qū)分成涉密區(qū)和非涉密區(qū)，把涉密數(shù)據(jù)和非涉密數(shù)據(jù)放在不同的存儲(chǔ)系統(tǒng)上。通過數(shù)據(jù)備份、用戶卷隔離、用戶數(shù)據(jù)加密、管理員權(quán)限控制等措施，加強(qiáng)數(shù)據(jù)的安全。如配置兩臺(tái)NAS 安全增強(qiáng)系統(tǒng)，實(shí)現(xiàn)了細(xì)粒度的權(quán)限控制、“三員”（系統(tǒng)管理員、安全保密管理員、安全審計(jì)員）角色的分離、管理員權(quán)限的限制、用戶數(shù)據(jù)的加密、用戶行為的審計(jì)等。

　　3.5 日志和審計(jì)安全設(shè)計(jì)

桌面虛擬化系統(tǒng)中必須充分考慮日志和審計(jì)，建議采用統(tǒng)一的桌面運(yùn)維服務(wù)管理平臺(tái)（如圖3所示），基于B/S架構(gòu)，提供遠(yuǎn)程集中運(yùn)維管理。運(yùn)維管理系統(tǒng)參考ITIL 標(biāo)準(zhǔn)，基于統(tǒng)一維護(hù)，統(tǒng)一管理的理念，并符合虛擬化的特點(diǎn)。支持友好的Web 界面，統(tǒng)一管理所有硬件資源與虛擬化資源，提供基于定制化策略的自動(dòng)化運(yùn)維系統(tǒng)。該系統(tǒng)能進(jìn)行集中的日志收集和審計(jì)功能；對(duì)管理員的日常操作都進(jìn)行錄像，以備審計(jì)；支持集中日志收集，包括用戶桌面日志、管理日志進(jìn)行集中收集和分析；支持SSL、數(shù)據(jù)加密、用戶密碼加密保存；支持虛擬機(jī)快照、使用快照創(chuàng)建虛擬機(jī)和恢復(fù)虛擬機(jī)。為用戶數(shù)據(jù)提供備份功能。統(tǒng)一資源發(fā)放、回收，業(yè)務(wù)發(fā)放更靈活、更高效等。

圖3 虛擬化運(yùn)維管理體系

　　3.6 管理員安全設(shè)計(jì)

當(dāng)所有數(shù)據(jù)都轉(zhuǎn)移到后臺(tái)數(shù)據(jù)中心的時(shí)候，管理員的權(quán)限過大問題十分突出。主要有以下四類潛在風(fēng)險(xiǎn)。

　　3.6.1 對(duì)虛擬機(jī)系統(tǒng)的操作權(quán)限過大

　　一般地，管理員可隨意操作、修改和使用虛擬機(jī)，管理員可登錄進(jìn)行查看和操作用戶虛擬桌面系統(tǒng)中的數(shù)據(jù)。同時(shí)，管理員可隨意更改虛擬桌面用戶的訪問和桌面分配策略，非法提升用戶訪問和操作虛擬桌面的權(quán)限。針對(duì)這些問題，可以考慮采取虛擬化安全增強(qiáng)系統(tǒng)規(guī)避此類風(fēng)險(xiǎn)。依據(jù)“角色分離機(jī)制”劃分三員角色；對(duì)管理員的訪問控制策略細(xì)化到桌面分配策略、桌面操作行為策略；提供管理員對(duì)虛擬桌面系統(tǒng)的操作行為審計(jì)。

　　3.6.2 對(duì)存儲(chǔ)系統(tǒng)的操作權(quán)限過大

　　一般地，管理員可隨意查看集中存儲(chǔ)系統(tǒng)中的數(shù)據(jù)，這種行為存在巨大的安全風(fēng)險(xiǎn)。針對(duì)這個(gè)問題，可以考慮采取存儲(chǔ)安全增強(qiáng)系統(tǒng)規(guī)避此類風(fēng)險(xiǎn)。實(shí)現(xiàn)“三員”的權(quán)限分離； NAS 安全增強(qiáng)系統(tǒng)提供的數(shù)據(jù)加密功能，使得存儲(chǔ)系統(tǒng)上看不到明文數(shù)據(jù)，即使拷貝出去也無法打開；在NAS 安全增強(qiáng)系統(tǒng)上建立訪問控制規(guī)則，實(shí)現(xiàn)僅僅私有目錄的擁有者有權(quán)限訪問，以保證NAS 存儲(chǔ)上的數(shù)據(jù)不會(huì)被非法查看。

　　3.6.3 缺少日志和審計(jì)

　　系統(tǒng)在設(shè)計(jì)時(shí)，一定要充分考慮日志和審計(jì)功能。系統(tǒng)中采用的安全產(chǎn)品和管理平臺(tái)必須提供“三員”功能；提供管理員日志和審計(jì)功能；管理員的日常操作都進(jìn)行錄像，以備審計(jì)。

　　3.6.4 缺少虛擬化管理的相關(guān)流程和制度

　　當(dāng)桌面虛擬系統(tǒng)建立之后，相關(guān)管理流程和制度一定要及時(shí)建立，規(guī)范系統(tǒng)的建設(shè)、運(yùn)維、使用和管理。

　　4.結(jié)束語(yǔ)

　　虛擬化技術(shù)目前正處于高速發(fā)展期，越來越多的企業(yè)已經(jīng)建立或?qū)⒁�建立自己的桌面虛擬化系統(tǒng)，特別是對(duì)保密要求較高的企業(yè)。目前，國(guó)內(nèi)對(duì)虛擬化下安全的研究處于起步階段，隨著虛擬化技術(shù)應(yīng)用的不斷深入，會(huì)有更多的安全解決方案出現(xiàn)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：淺談桌面虛擬化系統(tǒng)安全性設(shè)計(jì)

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839712756.html