1.引言

　　桌面虛擬化（Desktop Virtualization）是虛擬化技術在應用層面的一個分支，其他分支還包括服務器虛擬化、存儲虛擬化、網絡虛擬化等。桌面虛擬化是一種廣義上的概念，是指采用客戶端/服務器（C/S）模式將個人計算機桌面環境與物理機器分開。

　　隨著服務器虛擬化技術的發展，虛擬桌面基礎設施（Virtual Desktop Infrastructure，VDI）作為桌面虛擬化的一種實現技術應運而生。虛擬桌面基礎設施是指將桌面操作系統托管在一臺運行在托管式的、集中化的或遠程的服務器上的虛擬機（Virtual Machine，VM）內，用戶可以在任何時候、任何地點，采用任何設備對個人桌面進行訪問。

　　目前，越來越多的企業嘗試建立自己的桌面虛擬化系統，但在建立過程中，對系統的安全性有較大的憂慮，特別是軍工企業。本文通過對桌面虛擬化安全性的分析，探討企業在建立桌面虛擬化系統時應該考慮的安全性設計，并提出相應的解決建議，為當前桌面虛擬化系統安全問題提供了一套解決思路和辦法。

　　2.系統邏輯架構設計

　　整個方案的體系架構分為三個層次。即“云、管、端”三個層次，如圖1 所示。

圖1 系統邏輯架構

　　“云”層：主要是存放于數據中心的各種資源，包括統一存儲、統一計算、統一網絡，并通過虛擬化技術，實現資源的池化和集中管理、隨需而變的應用。

　　“管”層：主要是系統的集中管理平臺。提供統一的圖形界面管理軟件，可以在一個地點完成所有虛擬機系統的日常管理工作，包括控制管理、CPU 管理、內存管理、用戶管理、存儲管理、網絡管理、日志收集、性能分析、故障診斷、權限管理、在線維護等工作。

　　“端”層：在遠端用于訪問桌面“云”中虛擬桌面的特定的瘦終端。

　　系統安全貫穿于整個“云”、“管”、“端”三個層次，是一個防御體系，而非單個安全產品的簡單堆砌。從網絡層、應用層、數據層以及終端層，建立起一個縱深防御體系。

　　3.安全性設計

　　3.1 終端安全設計

　　終端總是一個單位的IT 中最難管理的部分，管控難度主要包括：數量龐大、維護難度高、升級速度慢、維護時間長；客戶端的應用越來越臃腫龐大；隨著客戶端安全措施的增多，應用的兼容性風險不斷增大。終端管理也是保密工作中的重點和難點，在保密標準中涉及終端管理的中止項和重大項最多，是最容易出現問題的環節。

　　3.1.1 瘦客戶機的安全設計

　　基于管理方便和使用安全的角度，桌面虛擬化系統中的瘦客戶機（Thin Client，TC）種類不宜過多，一般控制在1-3種瘦客戶機較好，并且應考慮以下幾點安全性要求：

　　1) TC 無硬盤。無用戶可直接使用的存儲設備，用戶不能在TC 上存儲文件。

　　2) 嚴格確保TC 和虛擬機之間不能進行文件交換。

　　3) 非Windows 操作系統，且只讀。盡量降低操作系統帶來的潛在安全風險。

　　4) TC 從固件層面上禁用USB、串口、并口等，并且固件升級嚴格受控。

　　5) 采購無USB、串口、并口等接口的TC，TC 上只保留PS2 的鍵盤和鼠標接口，盡量減少終端上的接口。

　　6) 普通用戶無法對TC 進行任何配置更改。

　　7) 用戶數據只能存在NAS 上，用戶無法在虛擬桌面和瘦客戶機上存放數據。

　　3.1.2 終端操作系統鏡像的安全

　　操作系統完全按照相關保密標準，設置安全策略，和傳統終端的安全設置完全相同。而且，這些安全策略的設置都是通過組策略統一設置，無需逐臺設置。一般應考慮以下安全設置：

　　1) 安裝Windows XP SP3 操作系統并加入域管理。

　　2) 禁用的一切本地共享服務、禁用一切不必要的系統服務和程序。刪除USBSTOR.SYS（大容量存儲設備）的驅動程序。

　　3) 操作系統只設系統盤，且系統盤通過權限策略設置只讀屬性，禁止用戶向系統盤內存儲信息。

　　4) 按現有計算機終端的相關要求進行安全配置，安裝防病毒軟件、啟動windows 防火墻等。

　　5) 一旦發現某個虛擬機感染病毒，只需要重新分配一個新的虛擬機，桌面就自動恢復到未受感染的狀態。

　　3.1.3 終端身份認證和權限控制

　　系統可考慮采用域身份認證+令牌的雙因素身份認證，保證系統的身份認證的安全。身份認證完成后，通過應用增強系統的權限控制，用戶才能登陸虛擬機，使用屬于自己的操作系統。登陸系統后，通過NAS 安全增強系統的權限控制，用戶才能對集中數據存儲的訪問。對普通用戶取消本地管理員權限，無權安裝軟件，無權變更設置，可以有效避免木馬的植入、病毒的傳播。

　　3.2 網絡接入安全設計

　　網絡接入安全是桌面虛擬化系統中非常重要的一個考慮方面，一般地，網絡接入安全應從TC接入網絡安全、TC 接入虛擬桌面(VDI)安全兩個方面進行設計。當TC接入網絡時，瘦客戶端的MAC 地址和交換機端口應進行綁定，限制非授權設備隨意接入網絡；同時，設置DHCP 服務為TC 客戶端分配IP地址，通過DHCP 服務的IP 池管理對自動分配的IP 作靜態綁定。當TC 接入虛擬桌面時，需要考慮的安全設計更加多一些，可以從以下幾個方面考慮：

　　1) 設置兩臺虛擬化安全增強系統，即相當于設置一個應用網關（如圖2 所示）。TC 客戶端對虛擬桌面的訪問只能透過該應用網關（應用網關作為接入客戶端的訪問終結點和代理，代其向數據中心發起訪問并返回數據），應用網關還能提供負載均衡的功能。

圖2 網絡接入安全

　　2) TC 客戶端至應用網關通過HTTPS 進行連接，保證數據傳輸的安全。

　　3) 中心服務器和遠端終端設備之間傳遞的是經過壓縮和加密的屏幕刷新和鼠標鍵盤信息，無實際數據流動，最大程度保證了數據的傳輸安全。

　　4) 每個虛擬桌面只允許一個用戶同時登錄，防數據竊取和攻擊。

　　3.3 虛擬化安全設計

　　虛擬化安全包括虛擬機隔離、Hypervisor 自身安全、惡意虛擬機防護等。通過內存隔離、CPU 隔離、網絡隔離、IO隔離等技術，使同一物理機上的不同虛擬機之間相互隔離，互不影響。VM 無法訪問Hypervisor。在主機內部的網絡中，vSwitch 支持VLAN 功能，同一臺主機的不同VM 可通過VLAN進行隔離。

　　3.3.1 虛擬化安全增加系統

　　在虛擬桌面接入服務器前端部署虛擬化安全增強系統（如圖2 所示），通過其細粒度的訪問控制、日志審計，保證虛擬化桌面使用的安全性；限制管理員的權限，確保用戶安全接入，實現桌面虛擬化安全管理。

　　虛擬化安全增強系統管理員依據“角色分離機制”分為系統管理員、安全管理員和審計管理員；對管理員的訪問控制策略細化到桌面分配策略、桌面安全策略操作行為；提供管理員對虛擬桌面系統的操作行為審計，包括對桌面管理的操作、訪問規則設置操作和相關安全配置的操作行為等，實現對管理員操作行為的有據可查，防止業務抵賴行為的發生；對普通用戶訪問虛擬桌面進行限制，控制策略細化到訪問時間、IP 地址、MAC 地址；通過支持HA（雙機冗余）部署，保證虛擬桌面業務的高連續性和可靠性。

　　3.3.2 Hypervisor 安全

　　Hypervisor 是虛擬化軟件中硬件上的一個薄層。虛擬機通過Hypervisor 來使用底層的硬件資源，因為Hypervisor 是封裝好的，可讀不可寫，所以Hypervisor 是非常安全的。

　　3.3.3 虛擬機資源隔離安全

　　虛擬化軟件Hypervisor 能實現同一物理機上不同虛擬機之間的資源隔離，避免虛擬機之間的數據竊取或惡意攻擊，保證虛擬機的資源使用不受周邊虛擬機的影響。終端用戶使用虛擬機時，僅能訪問屬于自己的虛擬機的資源（如硬件、軟件和數據），不能訪問其他虛擬機的資源，保證虛擬機隔離安全。基本上所有的虛擬化產品都能保證這一點。

　　3.4 數據安全設計

　　在數據存儲系統的設計上，考慮將系統數據區和用戶數據區完全隔離，同時，按使用人員是否涉密，將用戶數據區分成涉密區和非涉密區，把涉密數據和非涉密數據放在不同的存儲系統上。通過數據備份、用戶卷隔離、用戶數據加密、管理員權限控制等措施，加強數據的安全。如配置兩臺NAS 安全增強系統，實現了細粒度的權限控制、“三員”（系統管理員、安全保密管理員、安全審計員）角色的分離、管理員權限的限制、用戶數據的加密、用戶行為的審計等。

　　3.5 日志和審計安全設計

桌面虛擬化系統中必須充分考慮日志和審計，建議采用統一的桌面運維服務管理平臺（如圖3所示），基于B/S架構，提供遠程集中運維管理。運維管理系統參考ITIL 標準，基于統一維護，統一管理的理念，并符合虛擬化的特點。支持友好的Web 界面，統一管理所有硬件資源與虛擬化資源，提供基于定制化策略的自動化運維系統。該系統能進行集中的日志收集和審計功能；對管理員的日常操作都進行錄像，以備審計；支持集中日志收集，包括用戶桌面日志、管理日志進行集中收集和分析；支持SSL、數據加密、用戶密碼加密保存；支持虛擬機快照、使用快照創建虛擬機和恢復虛擬機。為用戶數據提供備份功能。統一資源發放、回收，業務發放更靈活、更高效等。

圖3 虛擬化運維管理體系

　　3.6 管理員安全設計

當所有數據都轉移到后臺數據中心的時候，管理員的權限過大問題十分突出。主要有以下四類潛在風險。

　　3.6.1 對虛擬機系統的操作權限過大

　　一般地，管理員可隨意操作、修改和使用虛擬機，管理員可登錄進行查看和操作用戶虛擬桌面系統中的數據。同時，管理員可隨意更改虛擬桌面用戶的訪問和桌面分配策略，非法提升用戶訪問和操作虛擬桌面的權限。針對這些問題，可以考慮采取虛擬化安全增強系統規避此類風險。依據“角色分離機制”劃分三員角色；對管理員的訪問控制策略細化到桌面分配策略、桌面操作行為策略；提供管理員對虛擬桌面系統的操作行為審計。

　　3.6.2 對存儲系統的操作權限過大

　　一般地，管理員可隨意查看集中存儲系統中的數據，這種行為存在巨大的安全風險。針對這個問題，可以考慮采取存儲安全增強系統規避此類風險。實現“三員”的權限分離； NAS 安全增強系統提供的數據加密功能，使得存儲系統上看不到明文數據，即使拷貝出去也無法打開；在NAS 安全增強系統上建立訪問控制規則，實現僅僅私有目錄的擁有者有權限訪問，以保證NAS 存儲上的數據不會被非法查看。

　　3.6.3 缺少日志和審計

　　系統在設計時，一定要充分考慮日志和審計功能。系統中采用的安全產品和管理平臺必須提供“三員”功能；提供管理員日志和審計功能；管理員的日常操作都進行錄像，以備審計。

　　3.6.4 缺少虛擬化管理的相關流程和制度

　　當桌面虛擬系統建立之后，相關管理流程和制度一定要及時建立，規范系統的建設、運維、使用和管理。

　　4.結束語

　　虛擬化技術目前正處于高速發展期，越來越多的企業已經建立或將要建立自己的桌面虛擬化系統，特別是對保密要求較高的企業。目前，國內對虛擬化下安全的研究處于起步階段，隨著虛擬化技術應用的不斷深入，會有更多的安全解決方案出現。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：淺談桌面虛擬化系統安全性設計

本文網址：http://www.guhuozai8.cn/html/consultation/10839712756.html