“云”時(shí)代來臨　你實(shí)現(xiàn)準(zhǔn)入控制了嗎？

發(fā)布時(shí)間：2011.04.27 00:13 　　　 來源：賽迪網(wǎng)　　　 作者：何俊

---

【賽迪網(wǎng)-IT技術(shù)訊】在云計(jì)算架構(gòu)中，“桌面云”是一種實(shí)現(xiàn)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源的集中化、共享化的平臺(tái)方案，能夠?qū)闻_(tái)PC的處理能力（包括CPU和硬盤）集中到數(shù)據(jù)中心，辦公個(gè)人終端變成TC（terminal client），從而不需要強(qiáng)的處理能力和存儲(chǔ)能力就能夠搭建好整個(gè)業(yè)務(wù)平臺(tái)，并兼具計(jì)算高效性和數(shù)據(jù)保密安全性。

云概況與平臺(tái)搭建

處于后臺(tái)的云數(shù)據(jù)中心將負(fù)責(zé)給每個(gè)辦公終端提供虛擬化的“計(jì)算機(jī)”實(shí)現(xiàn)，每個(gè)終端所使用的資源都是共享的，通過云數(shù)據(jù)中心的統(tǒng)一調(diào)度和管理，實(shí)現(xiàn)對(duì)資源的“按需分配”管理。

總體來看，桌面云的平臺(tái)搭建分為前端和后端。

云計(jì)算平臺(tái)物理架構(gòu)

·“云”前端建設(shè)

步驟一：建設(shè)桌面云的前端虛擬交付平臺(tái)；

步驟二：在桌面云的后端服務(wù)器上安裝windows桌面系統(tǒng)，并安裝用戶的各類應(yīng)用系統(tǒng)（如CRM、收費(fèi)系統(tǒng)及其他核心業(yè)務(wù)）的對(duì)應(yīng)客戶端，并將這些應(yīng)用客戶端發(fā)布到前端的虛擬交付平臺(tái)；

在建設(shè)好前端之后，終端用戶的體驗(yàn)即可生成，使用者只需要登錄到虛擬交付平臺(tái)上來使用后端服務(wù)器上的windows資源以及利用后端客戶端訪問相應(yīng)的應(yīng)用服務(wù)即可，此時(shí)的操作系統(tǒng)及應(yīng)用系統(tǒng)客戶端均運(yùn)行在后端服務(wù)器，而不是運(yùn)行在用戶的本地終端，從而實(shí)現(xiàn)數(shù)據(jù)、協(xié)議、操作均控制在“云”范圍內(nèi)的效果，大大提高了計(jì)算速度和安全性。

·“云”后端建設(shè)

對(duì)于運(yùn)維管理者而言，在云后端則需要組建集中化的、高性能的云計(jì)算數(shù)據(jù)中心，包括

計(jì)算設(shè)備，基于各類后臺(tái)操作系統(tǒng)（如unix）對(duì)提交上來的業(yè)務(wù)數(shù)據(jù)進(jìn)行計(jì)算處理，并將處理結(jié)果寫入存儲(chǔ)設(shè)備；

存儲(chǔ)設(shè)備，存儲(chǔ)用戶內(nèi)部的重要業(yè)務(wù)應(yīng)用系統(tǒng)及各類重要數(shù)據(jù)資源、各類日志等；

網(wǎng)絡(luò)設(shè)備，支撐云后端體系的通信工作；

機(jī)柜系統(tǒng)，放置上述的硬件設(shè)備；

UPS電源系統(tǒng)，為全套硬件系統(tǒng)提供能源保障；

軟件系統(tǒng)，VM虛擬化平臺(tái)、業(yè)務(wù)平臺(tái)、操作系統(tǒng)、數(shù)據(jù)庫(kù)平臺(tái)等。

“云”安全性

桌面云的建設(shè)目標(biāo)就在于實(shí)現(xiàn)高效能的計(jì)算和集中化管理的數(shù)據(jù)安全，在“云”中，用戶能夠充分享受到傳統(tǒng)分散式桌面計(jì)算所無法保證的高度的數(shù)據(jù)安全性。

·防數(shù)據(jù)泄漏

桌面云的用戶桌面環(huán)境都是托管在后端的數(shù)據(jù)中心，本地終端只是一個(gè)顯示設(shè)備而已。因此，即便用戶在桌面系統(tǒng)中保存了數(shù)據(jù)，實(shí)質(zhì)上也是存儲(chǔ)在后端的數(shù)據(jù)中心，而沒有在接入“云”的終端設(shè)備上保存任何副本。通過這樣的數(shù)據(jù)隔離措施，管理者能夠有效的保證數(shù)據(jù)不被違規(guī)帶出，從而實(shí)現(xiàn)了數(shù)據(jù)安全。

·存儲(chǔ)容災(zāi)

桌面云采用集中部署所有托管桌面的方式，所有桌面數(shù)據(jù)都集中存儲(chǔ)在數(shù)據(jù)中心，因此，用戶能夠輕松的實(shí)現(xiàn)在不同站點(diǎn)間的數(shù)據(jù)復(fù)制，桌面系統(tǒng)可以融入到整體IT容災(zāi)體系中，構(gòu)成一個(gè)完整的容災(zāi)體系。當(dāng)災(zāi)難發(fā)生的時(shí)候，可以迅速恢復(fù)所有托管桌面，保證完全恢復(fù)業(yè)務(wù)的處理能力。

你的“云”，準(zhǔn)入控制了嗎？

在“云”安全中，還有十分重要和關(guān)鍵的一環(huán)，就是接入“云”用戶的身份認(rèn)證。傳統(tǒng)的“云”認(rèn)證一般都是采用windows AD域或加裝第三方LDAP服務(wù)器的方式來實(shí)現(xiàn)的，但許多用戶反映要建設(shè)一個(gè)具有整體性且功能完善的AD域十分復(fù)雜，實(shí)現(xiàn)及維護(hù)工作量巨大，而AD域最大的缺陷在于，對(duì)于需要對(duì)員工進(jìn)行入網(wǎng)規(guī)范的企業(yè)客戶來說，當(dāng)員工逃避管理，不訪問“云”資源的時(shí)候，則完全可以逃避AD域的約束。此時(shí)管理者將面臨兩難的局面：在辛辛苦苦建設(shè)好AD域后，突然發(fā)現(xiàn)真正需要與“云”安全結(jié)合的其實(shí)是一套對(duì)“云”用戶及所有入網(wǎng)用戶結(jié)合為一體來進(jìn)行身份認(rèn)證和安全控制的準(zhǔn)入控制系統(tǒng)；而在AD域的建設(shè)上又投入了大量的時(shí)間、精力和成本，最終可用性不高。這樣的重復(fù)投資和重復(fù)性維護(hù)工作對(duì)于投資者將是一個(gè)極大的難題。

在傳統(tǒng)“云”安全中使用的LDAP服務(wù)器則由于安全控制功能太弱，只能完全淪為一個(gè)純身份信息數(shù)據(jù)庫(kù)的單一化節(jié)點(diǎn)，定位為對(duì)已有強(qiáng)安全系統(tǒng)的一個(gè)便利型的補(bǔ)充。而在沒有強(qiáng)入網(wǎng)控制系統(tǒng)的情況下，這沒有任何意義。

對(duì)于“云”的建設(shè)者而言，“云”架構(gòu)本身的安全性就在于應(yīng)用（本質(zhì)是數(shù)據(jù)）安全，屬于控制層次較高的安全范疇，這對(duì)于用戶的業(yè)務(wù)型安全需求是基本符合的。但正因?yàn)榭刂茖哟翁?，在基本ip層或mac層的控制力度就形同虛設(shè)，基本的通信級(jí)的接入控制近乎為零，從國(guó)際通用的安全標(biāo)準(zhǔn)考慮，忽視底層的安全將帶來大量的滲透風(fēng)險(xiǎn)（當(dāng)然由于應(yīng)用層的強(qiáng)力控制，這其中可能只有少部分滲透能夠威脅到核心數(shù)據(jù)），但這樣門戶洞開對(duì)于黑客或攻擊者的誘惑是相當(dāng)大的，試想一個(gè)每日被不斷物理侵入的“云”網(wǎng)絡(luò)，其虛擬交付平臺(tái)將承受多大的攻擊風(fēng)險(xiǎn)？

換句話說，如果在基本的ip或mac層就進(jìn)行接入控制，絕大部分的攻擊將在交換機(jī)端口級(jí)別就得到有效的限制，從而大大減輕云前端虛擬交付臺(tái)的抗風(fēng)險(xiǎn)攻擊壓力。這也標(biāo)志著在用戶“云”時(shí)代，NAC準(zhǔn)入控制系統(tǒng)依然將發(fā)揮著至關(guān)重要的接入控制功用，通過NAC的底層控制和“云”自身的高層控制，共同打造用戶網(wǎng)絡(luò)的整體安全架構(gòu)。

盈高TM科技充分考慮到用戶建設(shè)“云”網(wǎng)絡(luò)的必然性，在采用第三代appliance-based架構(gòu)的NAC設(shè)備ASM中能夠特別提供對(duì)用戶 “云”建設(shè)的強(qiáng)大身份認(rèn)證和接入控制功能，同時(shí)ASM在國(guó)內(nèi)無客戶端NAC領(lǐng)域的大量客戶和技術(shù)領(lǐng)先性同樣能保證在用戶現(xiàn)階段傳統(tǒng)桌面網(wǎng)絡(luò)中的NAC建設(shè)需要，只需通過一次建設(shè)，即可幫助用戶搭建起從傳統(tǒng)桌面網(wǎng)絡(luò)到“云”網(wǎng)絡(luò)均具有長(zhǎng)期應(yīng)用價(jià)值的NAC準(zhǔn)入控制平臺(tái)。盈高TM科技做為NAC領(lǐng)域的領(lǐng)導(dǎo)品牌將確保用戶安全邁入“云”時(shí)代。

桌面云-ASM身份認(rèn)證示意圖