【51CTO.com 独家译稿】我将为大家介绍如何在将VMware View部署在自己无法控制或不受信任的主机上时,利用思科的SSL VPN来保障其运行安全。由于自备电脑进行工作的风气愈发盛行,加之VDI也开始涉及B2B(即企业间业务往来,尤其是供应商与承包商之间)合作伙伴间的访问业务,如何安全地将VDI部署于其中就显得格外重要。在这里我会提出一些建议,帮助大家利用思科的ASA SSL VPN方案保证View运行环境的安全稳定。
1.对基于SSL VPN portal的无客户端浏览器网络用户进行验证。尽可能地使用双重身份验证。也就是说利用AD值(即距离值)及认证证书这两种因素协同审核。
2.锁定思科的非客户端portal并清空浏览器的缓存。缓存清空是指删除掉cookie信息、临时文件等浏览器所保存的资料,注意这时需要断开SSL VPN。
#p#
3.在身份验证通过之后,尽快安装并运行思科AnyConnect SSL VPN客户端。这一过程将设置一套来自主机的完整VPN通路。大家所设定的anyconnect以及portal集群方案会自动安装。
我们在集群方案中所配置的整套VPN通路如下所示
4.Anyconnect将会对主机状态进行评估,以确保该主机已经安装了所有必要的补丁、执行了安全控制工具并具备正确的硬件运行要求。大家也可以进行检查,看看这台企业所有或是企业控制的主机是否应用了认证检查或注册检查。首先在集群方案中设置如下状态模块。
接下来,下图为设置并启用主机扫描
#p#
然后在CSD主机扫描中启用高级端点评估
最后,配置DAP(即数据获取与处理)以检查主机状态及AAA认证(即身份验证、授权及统计)。
5.在状态评估阶段,大家同样要进行检查以确保主机上安装并运行了防病毒客户端,且已升级至最新版本。我们还将依靠A/V客户端来检测系统中是否存在键盘记录程序。如果A/V客户端不是最新版本,Anyconnect能够自动为其升级。#p#
6.根据状态评估扫描所反馈的结果来执行任何自动或手动的修复工作。而如果主机被证明存在重大的安全问题,客户端会自动断开连接。
7.为VMware View设置执行方案,以确保以下项目被锁定
一、剪贴板功能被锁定以保证剪切、粘贴、复制这些操作从VDI到主机都无法进行;
二、禁用所有的主机驱动器从/到VDI主机的读写操作(包括USB接口、映射驱动器以及本地硬盘驱动器访问等等)
8.在主机上自动安装(如果尚未安装)并运行View客户端。这可以通过让Anycconect在网络连接上运行脚本的方式实现。VBS(即采用VB编写的脚本)或bat(即批处理文件)脚本将对View客户端进行检查,若该客户端不存在,则脚本会进行下载并安装。如果View客户端已存在,则脚本会将其启动。
9.对那些能够在View和Anycconect会话处于活动状态时运行的应用程序进行锁定。大家可以通过建立应用程序白名单或者黑名单的方式来达到这种运行控制要求。要实现此功能,我们需要将主机注册表中的信息利用前面提到的脚本进行修改。而想要将这些变更进行移除,大家要利用到脱机脚本。#p#
以下是一个VBS脚本范例,大家可以根据自己的使用习惯进行修改。只要将其载入ASA防火墙即可。
- If WScript.Arguments.length =0 Then
- 'run script as administrator
- Set objShell = CreateObject("Shell.Application")
- 'Pass a bogus argument with leading blank space, say [ uac]
- objShell.ShellExecute "wscript.exe", Chr(34) & _
- WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1
- Else
- 'Add your code here
- Dim WshShell
- Set WshShell = WScript.CreateObject("WScript.Shell")
- 'code to prevent certain apps from running
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 1, "REG_DWORD"
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "DisallowRun"
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1", "calc.exe", "REG_SZ"
- 'Code to open ie and direct it to vmware view download page
- wshShell.run "iexplore.exe -new http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6"
- 'code to start an application on the host
- 'wshShell.run "c:\Program Files\VMware\VMware View\Client\bin\wswc.exe"
- wshShell.run "%windir%\system32\notepad.exe"
- End If
- Set WshShell = Nothing
这里是为大家准备的VBS脱机脚本范例
- If WScript.Arguments.length =0 Then
- 'run script as administrator
- Set objShell = CreateObject("Shell.Application")
- 'Pass a bogus argument with leading blank space, say [ uac]
- objShell.ShellExecute "wscript.exe", Chr(34) & _
- WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1
- Else
- 'Add your code here
- Dim WshShell
- Set WshShell = WScript.CreateObject("WScript.Shell")
- 'code to undo DisallowRun registry keys
- WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 0, "REG_DWORD"
- WshShell.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\"
- End If
#p#
10.回到终止SSL VPN通路的ASA设备头端,我们将希望能尽快为其分配防火墙保障体系。理想状况下我们只允许作为通路的主机与自己的VMware View服务器会话,且该会话应通过指定的端口实现。
11.ASA设备上将运行僵尸网络过滤及全套IPS(即互联网协议群)。在主机安全控制的帮助下,这些客户端将使整个通路覆盖于僵尸网络过滤机制之下,而且IPS会识别出所有来自接入主机的恶意软件。首先如下图所示,启用僵尸网络过滤功能。然后启用dns监控并对流量配置进行设定以对全部或是指定接口进行扫描。最后,根据危险级别对操作模块进行配置。
#p#
12.别忘了关注View 桌面程序自身的安全。正在运行的应该是A/V,PFW(即任务进程信息),A/S等等,类似一般主机的常见状态。我们同样要像在一般主机上那样处理这些程序的网络接入及安全问题。这意味着将其数据包运行在IPS,防火墙以及网页过滤功能等等的保护之下。由于vSphere服务器的固有漏洞具有相当大的安全隐患(目前所有view桌面程序都存在该漏洞),因此我们一定要最大限度地发挥VMware vSphere服务器自身的基础保护能力。
在部署的过程中,我们有许多情况要考虑并制定出解决方案。希望我的文章能为大家提供一点帮助。如果大家认为我在某些方面有所遗漏,请留言告知。当然,我在文中所提到的方法绝不是惟一的,大家可以随意挑选自己更喜欢的方案来达到目的。
这是一篇ASA管理员指南文章的链接
http://www.cisco.com/en/US/products/ps6120/products_installation_and_con...
www.cisco.com/go/asa
这是一篇VMware View介绍文档的链接
http://www.vmware.com/support/pubs/view_pubs.html
原文链接:http://www.networkworld.com/community/node/73261
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】
