随着桌面虚拟化技术(VDI)兴起,人们通常认为通过桌面虚拟化将终端用户的信息整合在后端进行统一管理,就可以达到数据防泄密的效果。然而从虚拟桌面的整体系统角度来看,客户端、传输网络、服务器端、访问控制等各个环节,忽略任何一个细节都会产生信息漏洞。本文将以方物软件自主研发的虚拟桌面交付平台(FDP)为主线解析桌面安全的若干方面。
客户端:在虚拟桌面的应用环境中,只要有访问权限,任何智能终端都可以访问云端的桌面环境,即许多虚拟桌面供应商宣称的随时随地的系统访问。如果使用单纯的用户名密码作为身份认证,那么一旦泄露就意味着对方可以在任何位置访问你的桌面系统,并获取相关数据。
这就要求有更加严格的终端身份认证机制。方物虚拟桌面系统采用了多因子交叉认证方式确定用户身份(包括桌面虚拟化客户端认证、操作系统认证、AD域认证、电子令牌等多种方式),此外,FDP还支持域控智能卡模式进行身份认证,并且可以实现用户名与计算机绑定。虽然牺牲了一定灵活性,比如终端用户从网吧等公共设备上无法访问云端,但这种方式可以大幅提升客户端的可控性。
另一方面,用户的应用程序通过方物FVA(应用虚拟化套件)集中发布,细分权限控制,即使有非法用户登陆到桌面,想要访问应用和业务数据仍然需要独立认证才能获得权限,大大提高了虚拟桌面的终端安全性。
网络传输:VDI方式在客户端与服务器之间本身没有数据传输,通过FAP协议仅传输操作指令和屏幕变化信息,用户并不用担心,在网络传输过程中有人截获数据,但是从安全角度出发,虽然不能截获数据但是仍会存在链路风险,因此方物FAP协议采用了传输效率高,安全性能好的SSL方式进行网络传输,解决了网络传输的安全问题。
服务器端:在虚拟桌面的整体方案架构中,后台服务器端架构通常会采用横向扩展的方式。这样一方面通过增强冗余提升了系统的高可用性;另一方面可以根据用户数量逐步增加计算能力。在大并发的使用环境下,系统前端会使用集群调度程序,将用户的连接请求发送给当前仍有剩余计算能力的服务器处理。
访问控制:FDP提供了多种资源访问控制策略,管理员可以基于时间、IP、应用类型、外设类型、桌面类型等多重维度对用户的访问权限进行控制,大大细化了管理策略的精细程度,增强了访问控制管理的强度,保证用户核心数据的安全。
综述:桌面虚拟化给用户带来便捷与实惠的同时,也给IT管理带来了新的挑战。方物软件在系统设计伊始就充分的考虑到了安全性,在虚拟桌面的各个环节层层防护,缜密设计为用户提供了尽可能安全可靠的桌面环境。