“云”时代来临 你实现准入控制了吗?

发布时间:2011.04.27 00:13     来源:赛迪网    作者:何俊

【赛迪网-IT技术讯】在云计算架构中,“桌面云”是一种实现计算、存储、网络等资源的集中化、共享化的平台方案,能够将单台PC的处理能力(包括CPU和硬盘)集中到数据中心,办公个人终端变成TC(terminal client),从而不需要强的处理能力和存储能力就能够搭建好整个业务平台,并兼具计算高效性和数据保密安全性。

云概况与平台搭建

处于后台的云数据中心将负责给每个办公终端提供虚拟化的“计算机”实现,每个终端所使用的资源都是共享的,通过云数据中心的统一调度和管理,实现对资源的“按需分配”管理。

总体来看,桌面云的平台搭建分为前端和后端。


云计算平台物理架构

·“云”前端建设

步骤一:建设桌面云的前端虚拟交付平台;

步骤二:在桌面云的后端服务器上安装windows桌面系统,并安装用户的各类应用系统(如CRM、收费系统及其他核心业务)的对应客户端,并将这些应用客户端发布到前端的虚拟交付平台;

在建设好前端之后,终端用户的体验即可生成,使用者只需要登录到虚拟交付平台上来使用后端服务器上的windows资源以及利用后端客户端访问相应的应用服务即可,此时的操作系统及应用系统客户端均运行在后端服务器,而不是运行在用户的本地终端,从而实现数据、协议、操作均控制在“云”范围内的效果,大大提高了计算速度和安全性。

·“云”后端建设

对于运维管理者而言,在云后端则需要组建集中化的、高性能的云计算数据中心,包括

计算设备,基于各类后台操作系统(如unix)对提交上来的业务数据进行计算处理,并将处理结果写入存储设备;

存储设备,存储用户内部的重要业务应用系统及各类重要数据资源、各类日志等;

网络设备,支撑云后端体系的通信工作;

机柜系统,放置上述的硬件设备;

UPS电源系统,为全套硬件系统提供能源保障;

软件系统,VM虚拟化平台、业务平台、操作系统、数据库平台等。

“云”安全性

桌面云的建设目标就在于实现高效能的计算和集中化管理的数据安全,在“云”中,用户能够充分享受到传统分散式桌面计算所无法保证的高度的数据安全性。

·防数据泄漏

桌面云的用户桌面环境都是托管在后端的数据中心,本地终端只是一个显示设备而已。因此,即便用户在桌面系统中保存了数据,实质上也是存储在后端的数据中心,而没有在接入“云”的终端设备上保存任何副本。通过这样的数据隔离措施,管理者能够有效的保证数据不被违规带出,从而实现了数据安全。

·存储容灾

桌面云采用集中部署所有托管桌面的方式,所有桌面数据都集中存储在数据中心,因此,用户能够轻松的实现在不同站点间的数据复制,桌面系统可以融入到整体IT容灾体系中,构成一个完整的容灾体系。当灾难发生的时候,可以迅速恢复所有托管桌面,保证完全恢复业务的处理能力。

你的“云”,准入控制了吗?

在“云”安全中,还有十分重要和关键的一环,就是接入“云”用户的身份认证。传统的“云”认证一般都是采用windows AD域或加装第三方LDAP服务器的方式来实现的,但许多用户反映要建设一个具有整体性且功能完善的AD域十分复杂,实现及维护工作量巨大,而AD域最大的缺陷在于,对于需要对员工进行入网规范的企业客户来说,当员工逃避管理,不访问“云”资源的时候,则完全可以逃避AD域的约束。此时管理者将面临两难的局面:在辛辛苦苦建设好AD域后,突然发现真正需要与“云”安全结合的其实是一套对“云”用户及所有入网用户结合为一体来进行身份认证和安全控制的准入控制系统;而在AD域的建设上又投入了大量的时间、精力和成本,最终可用性不高。这样的重复投资和重复性维护工作对于投资者将是一个极大的难题。

在传统“云”安全中使用的LDAP服务器则由于安全控制功能太弱,只能完全沦为一个纯身份信息数据库的单一化节点,定位为对已有强安全系统的一个便利型的补充。而在没有强入网控制系统的情况下,这没有任何意义。

对于“云”的建设者而言,“云”架构本身的安全性就在于应用(本质是数据)安全,属于控制层次较高的安全范畴,这对于用户的业务型安全需求是基本符合的。但正因为控制层次太高,在基本ip层或mac层的控制力度就形同虚设,基本的通信级的接入控制近乎为零,从国际通用的安全标准考虑,忽视底层的安全将带来大量的渗透风险(当然由于应用层的强力控制,这其中可能只有少部分渗透能够威胁到核心数据),但这样门户洞开对于黑客或攻击者的诱惑是相当大的,试想一个每日被不断物理侵入的“云”网络,其虚拟交付平台将承受多大的攻击风险?

换句话说,如果在基本的ip或mac层就进行接入控制,绝大部分的攻击将在交换机端口级别就得到有效的限制,从而大大减轻云前端虚拟交付台的抗风险攻击压力。这也标志着在用户“云”时代,NAC准入控制系统依然将发挥着至关重要的接入控制功用,通过NAC的底层控制和“云”自身的高层控制,共同打造用户网络的整体安全架构。

盈高TM科技充分考虑到用户建设“云”网络的必然性,在采用第三代appliance-based架构的NAC设备ASM中能够特别提供对用户 “云”建设的强大身份认证和接入控制功能,同时ASM在国内无客户端NAC领域的大量客户和技术领先性同样能保证在用户现阶段传统桌面网络中的NAC建设需要,只需通过一次建设,即可帮助用户搭建起从传统桌面网络到“云”网络均具有长期应用价值的NAC准入控制平台。盈高TM科技做为NAC领域的领导品牌将确保用户安全迈入“云”时代。


桌面云-ASM身份认证示意图