桌面虛擬化技術(shù)如何提升管理效率?

責(zé)任編輯:editor006

2014-11-11 17:13:52

摘自:論壇

桌面虛擬化是指將計算機的桌面進行虛擬化,用戶可以通過任何終端設(shè)備,不受地點和時間限制,訪問在網(wǎng)絡(luò)上的屬于個人的桌面系統(tǒng)。通過限定MAC地址對允許訪問虛擬化桌面系統(tǒng)的客戶端進行一個范圍限定,雖然犧牲了一定靈活性,但可以大幅提升用戶的可控性。

桌面虛擬化是指將計算機的桌面進行虛擬化,用戶可以通過任何終端設(shè)備,不受地點和時間限制,訪問在網(wǎng)絡(luò)上的屬于個人的桌面系統(tǒng)。桌面虛擬化是一種基于服務(wù)器的計算模型,同時借用了傳統(tǒng)的瘦客戶端模型。桌面虛擬化具備兩個方面的特點,一是將所有桌面虛擬機在數(shù)據(jù)中心進行托管并統(tǒng)一管理,二是用戶能夠獲得完整的計算機使用體驗。由于桌面虛擬化技術(shù)本身是一種利用網(wǎng)絡(luò)、動態(tài)可伸縮的虛擬化資源計算模式,符合云計算的特點,所以也經(jīng)常稱桌面虛擬化技術(shù)為桌面云技術(shù)。

近年來,虛擬化桌面系統(tǒng)已逐步應(yīng)用于各領(lǐng)域,特別是教育、金融等行業(yè)應(yīng)用最為廣泛。通過桌面虛擬化,將逐漸脫離傳統(tǒng)的、靜態(tài)的計算模式,轉(zhuǎn)而遷移到動態(tài)的、靈活的、可擴展的基礎(chǔ)架構(gòu),這種架構(gòu)可輕松應(yīng)對業(yè)務(wù)需求變化,還能夠能大幅節(jié)約成本。

桌面虛擬化技術(shù)提升管理效率

隨著服務(wù)器虛擬技術(shù)的逐步成熟,桌面虛擬化技術(shù)也經(jīng)歷了一個發(fā)展過程。第一代桌面虛擬化技術(shù),將遠程桌面的遠程訪問能力與虛擬操作系統(tǒng)結(jié)合了起來,使得桌面虛擬化的應(yīng)用成為可能。第二代桌面虛擬化技術(shù)進一步將桌面系統(tǒng)的運行環(huán)境與安裝環(huán)境拆分、應(yīng)用與桌面拆分、配置文件拆分,從而大大降低了管理復(fù)雜度與成本,提高了管理效率。

VDI虛擬桌面架構(gòu)是基于早期的RDP協(xié)議和瘦客戶機逐步演變而來的,也是VMware等國外虛擬化廠商采用的模式。VDI旨在為智能分布式計算帶來較好的響應(yīng)能力和定制化的用戶體驗,并通過基于服務(wù)器的模式提供管理和安全。

VOI 虛擬桌面構(gòu)架的實現(xiàn),從桌面應(yīng)用提升到了操作系統(tǒng)層面,與傳統(tǒng)的VDI 設(shè)計不同之處在于終端對本機系統(tǒng)資源的充分利用不再依靠于GPU 虛擬化,而是直接在I/O 層實現(xiàn)對物理存儲介質(zhì)的數(shù)據(jù)重定向,以達到虛擬化的操作系統(tǒng)完全工作于本機物理硬件之上,從驅(qū)動程序、應(yīng)用程序到各種設(shè)備均不存在遠程端口映射關(guān)系,而是直接的內(nèi)部地址。

OSV智能桌面虛擬化,是基于X86標(biāo)準(zhǔn)計算機系統(tǒng)下實現(xiàn)桌面的集中管理、控制、存儲、維護的桌面虛擬化技術(shù)。OSV與VDI最大的區(qū)別在于前者使用集中管理、分布運算機制,而后者采用的是集中管理、集中計算,后者對于服務(wù)器的依賴要遠遠超過前者。

遠程托管桌面

多臺終端使用客戶端軟件登錄到服務(wù)器,而用戶在終端的顯示器上獲得服務(wù)器端用戶的桌面圖像,以及來回傳送鍵盤和鼠標(biāo)的輸入信號。多用戶之間共享應(yīng)用程序和操作系統(tǒng)實例,以及磁盤空間等資源。

遠程虛擬應(yīng)用程序

與共享桌面不同的地方是,它只需要瀏覽器和標(biāo)準(zhǔn)的Web協(xié)議(HTTP、HTTPS和SSL)來創(chuàng)建安全連接、傳輸圖像和數(shù)據(jù)。最終用戶的機器可能處理應(yīng)用程序的一些邏輯或圖形,也可能只打開顯示器、向服務(wù)器發(fā)送鼠標(biāo)點擊,具體取決于應(yīng)用程序的設(shè)計。

遠程托管專用虛擬桌面

用戶在服務(wù)器上使用的虛擬桌面并不與其他的用戶共享文件目錄或應(yīng)用程序,而是在該用戶才能訪問的虛擬桌面里面有一套獨立的系統(tǒng)。虛擬機可以在服務(wù)器上運行,與其他專用的虛擬機共享資源;也可以在刀片PC上獨自運行。既可以遠程托管,也可以流式傳送。

本地虛擬應(yīng)用程序

應(yīng)用程序從服務(wù)器下載到客戶機,然后在客戶機上運行,使用本地內(nèi)存和處理功能。但應(yīng)用程序在"沙箱"(sandbox)里面運行,而沙箱為本地機器可以進行什么操作、可連接至什么設(shè)備制定了一套規(guī)則。

本地虛擬操作系統(tǒng)

分為兩種方式,第一種方式虛擬機管理程序可以在筆記本電腦或臺式機上創(chuàng)建一個虛擬機,虛擬機可充當(dāng)一個完全獨立的單元,與虛擬機之外的客戶機上的軟硬件隔離開來。第二種方式,虛擬機管理程序在機器的BIOS上運行,允許用戶運行多個操作系統(tǒng)。

桌面虛擬化存在的安全風(fēng)險

通過桌面虛擬化技術(shù)實現(xiàn)了多樣的接入方式和方便的管理模式,桌面系統(tǒng)的靈活性、安全性、可控制和可管理性得到了有效的保障。但從虛擬化桌面系統(tǒng)的整體安全角度來看,從接入層面、傳輸層面、管理與服務(wù)層面、數(shù)據(jù)存儲層面和用戶層面等各個方面,都會產(chǎn)生安全風(fēng)險,忽略任何一個細節(jié)都會導(dǎo)致全局的安全問題。

對虛擬化安全的認知

桌面虛擬化技術(shù)的使用,解決了傳統(tǒng)桌面系統(tǒng)固有的安全風(fēng)險,使得分散的桌面系統(tǒng)易于管理、易于配置。但大多數(shù)用戶并未意識到虛擬環(huán)境的安全性問題,也沒有意識到虛擬化技術(shù)同樣可以帶來安全風(fēng)險。桌面虛擬化技術(shù)在帶來大量安全性的同時,將不安全性更加隱藏起來,使得用戶更難以發(fā)現(xiàn)桌面虛擬化技術(shù)背后深層次的安全問題。

接入層面的安全問題

在桌面虛擬化技術(shù)的應(yīng)用環(huán)境中,只要有訪問權(quán)限,任何智能終端都可以訪問服務(wù)端的桌面環(huán)境,即隨時隨地的系統(tǒng)訪問。如果單純的依靠用戶名和口令作為合法用戶身份認證,一旦用戶名和口令泄露就意味著非授權(quán)用戶可以在任何位置訪問到桌面系統(tǒng),并獲取相關(guān)數(shù)據(jù)。

傳輸層面的安全問題

由于虛擬桌面需要在網(wǎng)絡(luò)上進行大量的文件遷移,文件遷移過程使得在局域網(wǎng)內(nèi)的用戶容易產(chǎn)生信息泄露。同時大量的文件系統(tǒng)遷移對網(wǎng)絡(luò)性能要求很高,還使得在遷移過程中的不確定性被增加了。

同時用戶在進行遠程桌面系統(tǒng)調(diào)用時,并非所有的智能終端都支持相應(yīng)的VPN技術(shù)。

管理與服務(wù)層面的安全問題

在桌面虛擬化技術(shù)的架構(gòu)中,后臺服務(wù)器端通常會采用橫向擴展的方式,在大并發(fā)的使用環(huán)境下,系統(tǒng)前端會使用負載均衡器,將用戶的連接請求發(fā)送給當(dāng)前仍有剩余計算能力的服務(wù)器處理,這種架構(gòu)很容易遭到分布式拒絕攻擊。

由于采用虛擬化技術(shù)集中了核心數(shù)據(jù)資源,使得管理員認為只關(guān)注核心數(shù)據(jù)資源就可以保障虛擬化桌面的整體安全,但是由于沒有集中審計和訪問控制措施,使得每個虛擬化桌面客戶端沒有權(quán)限的差別,在這種工作環(huán)境中,不得不考慮的風(fēng)險就是低級別的虛擬化桌面越過權(quán)限訪問高級別的虛擬化桌面數(shù)據(jù)空間。

數(shù)據(jù)存儲層面的安全問題

采用桌面虛擬化技術(shù)之后,所有的信息都會存儲在后臺的磁盤陣列中,為了滿足文件系統(tǒng)的訪問需要,一般會采用NAS架構(gòu)的存儲系統(tǒng)。這種數(shù)據(jù)存儲方式使得管理員對核心數(shù)據(jù)的控制力度過大,以前需要從多臺電腦上獲得的數(shù)據(jù)現(xiàn)在較容易就可以獲得了,而且數(shù)據(jù)是集中存儲的。管理員的權(quán)限增加帶來的風(fēng)險使得管理員進行泄密和破壞的成本降到最低,即便是數(shù)據(jù)進行了加密,管理員也可以將整盤數(shù)據(jù)進行拷貝,然后再進行破解。

用戶層面的安全問題

使用桌面虛擬化技術(shù)后,用戶的桌面特性被統(tǒng)一化和定制化,但在很多情況下各個用戶的軟件需求不同,各個業(yè)務(wù)部門的軟件需求也不同,虛擬化的桌面特性只能滿足部分人員和部門的需求。如果滿足所有用戶的需求就需要盡可能的增加鏡像文件的容量,管理員將面臨著虛擬主機的快速增長,造成對虛擬化桌面系統(tǒng)的管理非常困難,同時虛擬機的利用率也有很大程度的降低,每個用戶面對的多數(shù)是自己無用的程序。

保障桌面虛擬化的安全

鑒于桌面虛擬化存在多個層面的安全問題,可以從以下幾個方面加強桌面虛擬化的安全保障。

加強用戶身份認證

為保障用戶接入的安全,虛擬化桌面系統(tǒng)需具備更加嚴格的終端身份認證機制,需支持豐富的認證、鑒權(quán)模式。虛擬化桌面系統(tǒng)采用LDAP等實現(xiàn)用戶身份認證,并與上網(wǎng)行為管理系統(tǒng)相結(jié)合,實現(xiàn)基于用戶、用戶組、地址段等的用戶訪問互聯(lián)網(wǎng)行為的監(jiān)管。同時,桌面虛擬化系統(tǒng)支持用戶通過瘦終端、物理PC等,采用外接智能卡方式,實現(xiàn)用戶遠程接入的身份認證。

此外,通過限定MAC地址對允許訪問虛擬化桌面系統(tǒng)的客戶端進行一個范圍限定,雖然犧牲了一定靈活性,但可以大幅提升用戶的可控性。

建立健全的訪問控制機制

需要在虛擬機的內(nèi)部和外部建立完善的權(quán)限和訪問控制機制,建立集中和合理化訪問控制方法,以減少冗余和效率低下。提供細化的訪問控制粒度,以適應(yīng)虛擬資源類型、用戶角色和訪問控制協(xié)議。進一步保證每個虛擬機的權(quán)限和資源訪問能力,應(yīng)該建立基于虛擬機的程序控制列表,使得每臺虛擬化桌面可以訪問不同的應(yīng)用程序,可以獲得不同的虛擬化桌面。

虛擬化桌面系統(tǒng)盤支持差分模式和獨立運行模式,差分模式允許用戶在共享系統(tǒng)盤的基礎(chǔ)上,保留自己的私有數(shù)據(jù),包括應(yīng)用和系統(tǒng)數(shù)據(jù);獨立運行模式不允許用戶修改系統(tǒng)盤,所有的修改在虛擬桌面重啟后均會丟失。任何人員(包括管理員)無法訪問他人虛擬桌面鏡像文件中的用戶數(shù)據(jù)信息。

實現(xiàn)傳輸通道的安全保護

可以通過硬件建立虛擬桌面的加密傳輸通道,保證系統(tǒng)在遷移的過程中不會被“整盤拷貝”。為遠程接入設(shè)備提供安全連接點,供在防火墻保護以外的設(shè)備遠程接入,智能終端等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN技術(shù)。同時虛擬化桌面和服務(wù)端的通訊可以通過SSL協(xié)議進行傳輸加密,確保整體傳輸過程中的安全性。

提高數(shù)據(jù)集中存儲的安全性

桌面虛擬化技術(shù)中對集中存儲的保護是最重要的部分,一旦集中存儲遭到破壞,整個虛擬架構(gòu)就會受到嚴重的影響。在虛擬桌面的環(huán)境中,一般采用專業(yè)的加密設(shè)備進行加密存儲的方式,并且為了滿足合規(guī)規(guī)范的要求,加密算法應(yīng)當(dāng)可以由用戶指定。同時,在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施,即需要系統(tǒng)管理員、安全審核員和數(shù)據(jù)所有人同時確認才能夠允許信息的發(fā)送,這樣可以實現(xiàn)主動防泄密。此外,還需要通過審計方式確保所有操作的可追溯性。

加強運維管理的安全性

建立完善的管理員配置審計和用戶日志審計手段,使得管理員的行為和用戶的行為都有詳細的審計記錄,從而保證每個用戶的行為有據(jù)可查。

桌面虛擬化技術(shù)應(yīng)支持兩類系統(tǒng)管理員的管理,一類是系統(tǒng)業(yè)務(wù)維護管理員,負責(zé)進行創(chuàng)建虛擬化桌面,附加和解除用戶關(guān)系,修改、注銷、查看虛擬桌面,桌面資源計算等工作。另一類是系統(tǒng)日志管理員,負責(zé)對用戶和系統(tǒng)業(yè)務(wù)維護管理員使用桌面虛擬化系統(tǒng)的日志記錄的查看、審計等工作;

要求兩類管理員嚴格獨立,系統(tǒng)業(yè)務(wù)維護管理員的任何操作均需產(chǎn)生日志,并由系統(tǒng)日志管理員統(tǒng)一管理。

提高系統(tǒng)運行的可靠性

虛擬化桌面系統(tǒng)的穩(wěn)定運行主要依靠服務(wù)器、存儲系統(tǒng)、業(yè)務(wù)網(wǎng)絡(luò)、系統(tǒng)軟件和虛擬桌面資源池的可靠性進行保障。具體的可靠性保障包括:

服務(wù)器和存儲系統(tǒng)均需具備電信級的可靠性。

通過網(wǎng)絡(luò)架構(gòu)和路由協(xié)議,保證系統(tǒng)的網(wǎng)絡(luò)可靠性,包括:無單點故障、有豐富的路由、有相應(yīng)安全技術(shù)保障等。

所有軟件系統(tǒng)均需采用負載均衡、主/備份等方式實現(xiàn),單個部件故障對業(yè)務(wù)無影響。

虛擬桌面以資源池的方式進行管理,單個主機/部件發(fā)生故障時,在其上使用的用戶只需重新登錄,即可重新進行資源分配,實現(xiàn)用戶的遷移。

系統(tǒng)管理軟件運行在虛擬機上,并實現(xiàn)HA功能,虛擬機發(fā)生故障時可自動進行遷移。

當(dāng)前虛擬化技術(shù)主要包括服務(wù)器虛擬化、應(yīng)用虛擬化和桌面虛擬化等,其中桌面虛擬化技術(shù)是當(dāng)前發(fā)展最快、最具應(yīng)用前景的技術(shù)。桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中應(yīng)用軟件,從而簡化治理、充分利用硬件資源以及盡量減少軟件沖突等。由于桌面在數(shù)據(jù)中心運行,因此管理員可以更輕松地對其進行部署、管理和維護。用戶可以靈活訪問與普通桌面功能相同的虛擬桌面。

桌面虛擬化技術(shù)在帶來極大便利的同時,也悄然的引進了不安全性,作為用戶是極難去發(fā)現(xiàn)和了解。因此,加強虛擬化桌面系統(tǒng)的安全保障措施的實施,提升虛擬化桌面系統(tǒng)的信息安全保障能力是政府部門、企事業(yè)單位的當(dāng)務(wù)之急。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號