云計算(Cloud Computing)是一種互聯網上的資源利用新方式,可為大眾用戶依托互聯網異構、自治的服務進行按需即取的計算 , 云計算的資源是動態易擴展而且虛擬化的,通過互聯網提供。云計算讓現在的IT 環境更具生命力,實現了資源調度按需分配,環境部署自動化,降低人工運維成本,提高了生產效率。隨著云計算的成熟,虛擬桌面或者說“桌面云”將成為未來終端管理和桌面系統建設的主要趨勢。
桌面云,簡而言之就是基于云計算的虛擬桌面,是在本地具備輸入、輸出設備的硬件環境,而運行環境由云端資源虛擬實現,同時,相關的應用、數據、運算都部署于云端。桌面云是云計算的重要應用領域之一,也是最具特點的應用之一。相對于傳統本地桌面,桌面云具有數據安全、節能減排、易于管理、靈活訪問、穩定可靠、易于備份的特點。在云計算架構中,桌面云是一種實現計算、存儲、網絡等資源的集中化、共享化的平臺方案,能夠將單臺PC 的處理能力(包括CPU 和硬盤)集中到數據中心,
辦公個人終端變成TC(Terminal Client),從而不需要強的處理能力和存儲能力就能夠搭建好整個業務平臺,并兼具計算高效性和數據保密安全性。
處于后臺的云數據中心將負責給每個辦公終端提供虛擬化的“計算機”平臺,每個終端所使用的資源都是共享的,通過云數據中心的統一調度和管理,實現對資源的“按需分配”管理。
1、桌面云準入控制架構
圖1 展示了桌面云及其安全準入體系的一個基本架構。
總體來看,桌面云安全平臺分為前端和后端。如圖2 所示。
1.1 桌面云安全平臺建設
桌面云安全平臺的建設包括以下幾個方面:在桌面云的前端搭建虛擬安全交付平臺;在桌面云后端服務器上加裝安全操作系統以及用戶的各類應用系統(如CRM、收費系統及其他核心業務)的對應客戶端,并將這些應用客戶端發布到前端的虛擬交付平臺。通過以上設計思路,在建設好桌面云安全平臺之后,終端用戶的安全體驗即可生成,用戶只需要登錄到虛擬交互平臺上,使用后端服務器上的操作系統自身提供的認證資源以及利用客戶端訪問控制系統即可實現安全交互。此時的操作系統及應用系統客戶端均運行在后端服務器,而不是運行在用戶的本地終端,從而實現數據、協議、操作均控制在“云”范圍內的效果,大大提高了計算速度和安全性。
1.2 桌面云準入控制的技術環境
對于運維管理者而言,實現云系統的準入控制,需要組建集中化的、高性能的云計算數據中心和認證中心,其技術設備包括:
(1)計算及認證設備,基于各類后臺操作系統(最好是基于安全開放的編程體系,如UNIX)對提交上來的業務數據進行計算處理,并將處理結果寫入存儲設備;
(2)存儲設備,存儲用戶內部的重要業務應用系統及各類重要數據資源、各類日志等;
(3)網絡設備,支撐云后端體系的通信工作;
(4)機柜系統,放置上述的硬件設備;
(5)UPS 電源系統,為全套硬件系統提供能源保障;
(6)軟件系統,VM(Virtual Manufacturing)虛擬化平臺、密鑰管理系統、業務平臺、操作系統、數據庫平臺等。
2、桌面云面臨的威脅
許多用戶在把自己的傳統桌面替換成桌面云的過程中,經常會受到桌面云的安全問題的困擾,因此,在實施桌面云架構過程中必須要著重考慮安全問題。
云計算在為個人和單位用戶提供豐富數據資源的同時,也對隱私、信任體系和身份產生了新的挑戰。具體來說,云計算應用有很多優點,但仍然面臨如下安全威脅:
1)服務可用性威脅。用戶的數據和業務應用處于云計算系統中,其業務流程將依賴于云計算服務提供商所提供的服務,這對服務商的云平臺服務連續性、SLA(服務等級協議)和IT 流程、安全策略、事件處理和分析等提出了挑戰。另外,當發生系統故障時,如何保證用戶數據的快速恢復也成為一個重要問題。
2)桌面云用戶信息濫用與泄露風險。用戶的資料存儲、處理、網絡傳輸等都與云計算系統有關,如果發生關鍵或隱私信息丟失或遭竊取,對用戶來說是不能接受的。如何保證云服務提供商內部的安全管理和訪問控制機制符合客戶的安全需求,實施有效的安全審計,對數據操作進行安全監控,以及避免云計算環境中多用戶共存帶來的潛在風險等問題都成為云計算環境下所面臨的安全挑戰。
3)拒絕服務攻擊威脅。云計算應用由于其用戶、信息資源的高度集中,容易成為黑客攻擊的目標,同時由拒絕服務攻擊造成的后果和破壞性將會明顯超過傳統的企業網應用環境。從上面桌面云的安全問題和面臨的威脅中不難看出,桌面云涉及到終端、網絡、服務器、存儲器、軟件架構以及內部和外部等各個方面。同時,桌面云支持多種接入方式,包括移動方式的接入,如IOS 和Android 的智能手機、平板電腦等,在這種情況下,對于用戶認證和接入控制不嚴格,會導致整個系統的不安全。因此,網絡準入控制技術在愈演愈烈的“云時代”將會發揮出越來越大的作用。
3、桌面云的網絡準入控制技術分析
3.1 安全控制技術需求
隨著云計算的不斷深入,越來越多的企業業務系統由傳統的C/S 架構向B/S 架構遷移,以往訪問后臺數據需要安裝專用軟件,IT 部門控制客戶端軟件的許可發放,就能夠大致控制訪問用戶的范圍。而在B/S 架構中,用戶只需要一個Web瀏覽器即可登錄系統,加上智能手機、智能平板電腦和WiFi的流行,以往的限制條件消失了,任何人手中的設備都成了可能訪問后臺數據庫的平臺。在虛擬化越來越深入的云時代,網絡管理部門需要得到一種可以控制眾多虛擬端口的技術保障。
3.2 技術發展方向
在桌面云安全中,還有十分重要和關鍵的一環,就是接入云用戶的身份認證。傳統的“云”認證一般都是采用WindowsAD 域或加裝第三方LDAP(Lightweight Directory Access Protocol,輕量目錄訪問協議)服務器的方式來實現,但許多用戶反映要建設一個具有整體性且功能完善的AD(Active Directory,簡稱活動目錄)域,實現及維護工作量巨大,而AD 域最大的缺陷是,當受控終端不訪問云資源的時候,則完全可以逃避AD 域的控制和約束。這樣一來,系統管理者在AD 域的建設上投入了大量的時間、精力和成本,但可用性卻不高,而系統的管理者最終需要的是一套將桌面云用戶及所有入網用戶結合為一體來進行身份認證和安全控制的準入控制系統,如果重新構建這樣一套系統將面臨重復投資和重復性維護工作,這對絕大多數用戶而言是不能接受的。
由于LDAP 服務器安全控制功能太弱,只能作為一個純身份信息數據庫的單一化節點,成為對已有強安全系統的一個便利型的補充。而在沒有強入網控制系統的情況下,系統的安全便得不到保障。
對于桌面云的建設者而言,云架構本身的安全性就在于應用安全,系統數據的安全使用屬于控制層次較高的使用范疇,這對于用戶的業務型安全需求是基本符合的。但正因為控制層次太高,在基本IP 層或MAC 層的控制手段就形同虛設,基本通信級的接入控制非常有限,從國際通用的安全標準考慮,忽視底層的安全將帶來大量的滲透風險(當然由于應用層的強力控制,這其中可能只有少部分滲透能夠威脅到核心數據),但這樣門戶洞開對于黑客或攻擊者的誘惑是相當大的。可以想象,一個每日不斷被侵入的桌面云系統,其虛擬交互平臺將承受巨大的攻擊風險。
換句話說,如果在基本的IP 或MAC 層就進行接入控制,絕大部分的攻擊將在交換機端口就得到有效的限制,從而大大減輕云前端虛擬交付平臺的抗風險攻擊壓力。這也標志著桌面云環境中,網絡準入控制系統(NAC)依然會發揮至關重要的接入控制作用,通過NAC 的底層控制和桌面云自身的高層控制,共同打造用戶網絡的整體安全架構。
3.3 網絡準入控制技術分析
通過詳細分析,這里對近年來的桌面云網絡準入控制技術的發展趨勢作出如下預測。
3.3.1 無客戶端化成為技術發展主要趨勢
2012 年是我國信息化領域提出無客戶端準入的第三個年頭,越來越多的機構開始進入無客戶端準入的用戶陣營。鑒于桌面云系統隱私、實施便捷性、維護度、故障點等多方面的原因,高端客戶或對準入控制技術有深入了解的客戶,也更傾向于只需要一臺硬件化的設備就能夠幫助自己解決絕大多數的問題。對于意欲實施NAC 的行業,尤其是在政府行業,無客戶端化的準入產品已經成為了系統必需的配置,另一方面,準入選型中的無客戶端化也已成為了眾多安全應用部門最基本的需求。當然,此類技術的使用還需要提供可供選擇的客戶端配置。尤其對于重點行業用戶來說,NAC 所附加的功能(如交互式提醒、虛擬防火墻、準入環境下的軟件監測等)大大提升了系統管理和控制能力。
3.3.2 桌面云與網絡準入控制技術的結合
NAC 與云計算的結合點從本質上看就是數據與傳輸的結合,由云來保證數據安全,NAC 來保障傳輸安全。從另一個角度說,NAC 甚至可以成為傳輸協議安全標準中的一部分。
在部署準入控制系統之前,傳統桌面云如圖3 所示。
以下是一個典型的桌面云與準入控制技術結合的應用場景,如圖4 和圖5 所示。
在保護了核心區域的應用、數據之后,所有需要接入網絡(狹義上的物理網絡)的云終端都必須通過NAC 的身份認證和安全檢查,否則就沒有接入物理網絡的權限。
桌面云環境下可信準入認證體系結構主要包括三個邏輯層次:網絡訪問層NAL、可信屬性評估層TEL、可信屬性測量層TML。每個層次的形態可以是軟件、硬件,也可以是一組函數或程序等。如圖6 所示。
圖6 中實體AR 中的網絡訪問請求部分,通常是傳統的網絡連接功能;認證模型具有 5 個實體,即請求接入者(Access Requestor,AR ), 策略執行者(Policy Enforcement Point ,PEP),策略決策者(Policy Decision point,PDP),元數據存儲點(Metadata Access Point ,MAP ) ,流量控制器和感應器( Flow Controllers-Sensors,FCSS),其中請求接入者和策略決策者是必選的實體,而其它的實體則是可選可不選的。
該認證體系通過使用基于雙線性映射的 BBS+ 簽名算法和屬性證書機制代替平臺配置信息的方式,提出了一種基于雙線性映射和屬性證書的遠程證明方案(Bilinear Mapping and Property-Based Attestation ,BMPBA)。該方案采用的加密方法主要包括:HTTPS協議技術、非對稱密鑰對生成(RSA)、非對稱加密/ 解密、哈希運算(SHA-1)、隨機數產生(RNG)等。其中,HTTPS 協議是由HTTP+SSL協議構建的可進行加密傳輸、身份認證的網絡協議。SSL 協議位于TCP/ IP 協議與各種應用層協議之間,為數據通訊提供安全支持。通訊雙方進行身份認證、協商加密算法、交換加密密鑰等實際上應用了Netscape的安全套接層(SSL)作為HTTP 應用層的子層,使用40 位關鍵字作為RC4 流加密算法。
3.3.3 第三方無線準入技術
目前,大部分的無線網絡的安全認證依然停留在對2 層網絡通信協議的安全控制上,也就是在接入SSID 時進行安全認證,比如WPA 或WPA2,或常見的IEEE802.1x 等。Wi-Fi聯盟給出的定義為:
WPA = 802.1x + EAP + TKIP + MIC
WPA2 = IEEE 802.1x/EAP +AES-CCMP
但是對于需要在接入層全部覆蓋NAC 的用戶而言,我們不得不再次強調一個談論了多年的原則:身份認證≠準入控制。作為無線桌面云環境,在大規模鋪設了專業的WLC、Lightweight AP 等設備后,具有前瞻性的管理者已經著手制定了合理的WLAN NAC 方案,這里就囊括了基本的3 層通信協議的安全認證、安全性判別、漏洞修復、虛擬防火墻等整套NAC 架構,如圖7 所示。全部方案基于無客戶端模式,而需要強調的是,不同于傳統NAC 在網關層面所做的工作,WLAN NAC 方案的合格要求應該是在接入AP(Access Point,無線訪問節點)層就實施準入管理。在這樣的要求下,目前大部分技術白皮書中以網關技術來“支持”AP 很難達到好的安全保護效果。
4、結束語
通過將準入控制技術和桌面虛擬化技術的整合,桌面云的網絡準入控制技術,能夠解決目前桌面云所面臨的一些安全風險,整體提升云桌面解決方案的安全性能。通過對接入云服務器的終端或瘦客戶端進行有效、規范的管理,能夠避免非法的信息竊取。實時監測阻止對服務器的攻擊;很好地保障數據在應用與傳輸中的安全。由此,云桌面下的準入控制也就顯得格外的重要,在未來的網絡環境中,這一技術必將成為業界所探究的重點。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:桌面云網絡準入控制技術
相關文章
