“云”時代來臨 你實現(xiàn)準入控制了嗎?

發(fā)布時間:2011.04.27 00:13     來源:賽迪網(wǎng)    作者:何俊

【賽迪網(wǎng)-IT技術訊】在云計算架構中,“桌面云”是一種實現(xiàn)計算、存儲、網(wǎng)絡等資源的集中化、共享化的平臺方案,能夠將單臺PC的處理能力(包括CPU和硬盤)集中到數(shù)據(jù)中心,辦公個人終端變成TC(terminal client),從而不需要強的處理能力和存儲能力就能夠搭建好整個業(yè)務平臺,并兼具計算高效性和數(shù)據(jù)保密安全性。

云概況與平臺搭建

處于后臺的云數(shù)據(jù)中心將負責給每個辦公終端提供虛擬化的“計算機”實現(xiàn),每個終端所使用的資源都是共享的,通過云數(shù)據(jù)中心的統(tǒng)一調度和管理,實現(xiàn)對資源的“按需分配”管理。

總體來看,桌面云的平臺搭建分為前端和后端。


云計算平臺物理架構

·“云”前端建設

步驟一:建設桌面云的前端虛擬交付平臺;

步驟二:在桌面云的后端服務器上安裝windows桌面系統(tǒng),并安裝用戶的各類應用系統(tǒng)(如CRM、收費系統(tǒng)及其他核心業(yè)務)的對應客戶端,并將這些應用客戶端發(fā)布到前端的虛擬交付平臺;

在建設好前端之后,終端用戶的體驗即可生成,使用者只需要登錄到虛擬交付平臺上來使用后端服務器上的windows資源以及利用后端客戶端訪問相應的應用服務即可,此時的操作系統(tǒng)及應用系統(tǒng)客戶端均運行在后端服務器,而不是運行在用戶的本地終端,從而實現(xiàn)數(shù)據(jù)、協(xié)議、操作均控制在“云”范圍內的效果,大大提高了計算速度和安全性。

·“云”后端建設

對于運維管理者而言,在云后端則需要組建集中化的、高性能的云計算數(shù)據(jù)中心,包括

計算設備,基于各類后臺操作系統(tǒng)(如unix)對提交上來的業(yè)務數(shù)據(jù)進行計算處理,并將處理結果寫入存儲設備;

存儲設備,存儲用戶內部的重要業(yè)務應用系統(tǒng)及各類重要數(shù)據(jù)資源、各類日志等;

網(wǎng)絡設備,支撐云后端體系的通信工作;

機柜系統(tǒng),放置上述的硬件設備;

UPS電源系統(tǒng),為全套硬件系統(tǒng)提供能源保障;

軟件系統(tǒng),VM虛擬化平臺、業(yè)務平臺、操作系統(tǒng)、數(shù)據(jù)庫平臺等。

“云”安全性

桌面云的建設目標就在于實現(xiàn)高效能的計算和集中化管理的數(shù)據(jù)安全,在“云”中,用戶能夠充分享受到傳統(tǒng)分散式桌面計算所無法保證的高度的數(shù)據(jù)安全性。

·防數(shù)據(jù)泄漏

桌面云的用戶桌面環(huán)境都是托管在后端的數(shù)據(jù)中心,本地終端只是一個顯示設備而已。因此,即便用戶在桌面系統(tǒng)中保存了數(shù)據(jù),實質上也是存儲在后端的數(shù)據(jù)中心,而沒有在接入“云”的終端設備上保存任何副本。通過這樣的數(shù)據(jù)隔離措施,管理者能夠有效的保證數(shù)據(jù)不被違規(guī)帶出,從而實現(xiàn)了數(shù)據(jù)安全。

·存儲容災

桌面云采用集中部署所有托管桌面的方式,所有桌面數(shù)據(jù)都集中存儲在數(shù)據(jù)中心,因此,用戶能夠輕松的實現(xiàn)在不同站點間的數(shù)據(jù)復制,桌面系統(tǒng)可以融入到整體IT容災體系中,構成一個完整的容災體系。當災難發(fā)生的時候,可以迅速恢復所有托管桌面,保證完全恢復業(yè)務的處理能力。

你的“云”,準入控制了嗎?

在“云”安全中,還有十分重要和關鍵的一環(huán),就是接入“云”用戶的身份認證。傳統(tǒng)的“云”認證一般都是采用windows AD域或加裝第三方LDAP服務器的方式來實現(xiàn)的,但許多用戶反映要建設一個具有整體性且功能完善的AD域十分復雜,實現(xiàn)及維護工作量巨大,而AD域最大的缺陷在于,對于需要對員工進行入網(wǎng)規(guī)范的企業(yè)客戶來說,當員工逃避管理,不訪問“云”資源的時候,則完全可以逃避AD域的約束。此時管理者將面臨兩難的局面:在辛辛苦苦建設好AD域后,突然發(fā)現(xiàn)真正需要與“云”安全結合的其實是一套對“云”用戶及所有入網(wǎng)用戶結合為一體來進行身份認證和安全控制的準入控制系統(tǒng);而在AD域的建設上又投入了大量的時間、精力和成本,最終可用性不高。這樣的重復投資和重復性維護工作對于投資者將是一個極大的難題。

在傳統(tǒng)“云”安全中使用的LDAP服務器則由于安全控制功能太弱,只能完全淪為一個純身份信息數(shù)據(jù)庫的單一化節(jié)點,定位為對已有強安全系統(tǒng)的一個便利型的補充。而在沒有強入網(wǎng)控制系統(tǒng)的情況下,這沒有任何意義。

對于“云”的建設者而言,“云”架構本身的安全性就在于應用(本質是數(shù)據(jù))安全,屬于控制層次較高的安全范疇,這對于用戶的業(yè)務型安全需求是基本符合的。但正因為控制層次太高,在基本ip層或mac層的控制力度就形同虛設,基本的通信級的接入控制近乎為零,從國際通用的安全標準考慮,忽視底層的安全將帶來大量的滲透風險(當然由于應用層的強力控制,這其中可能只有少部分滲透能夠威脅到核心數(shù)據(jù)),但這樣門戶洞開對于黑客或攻擊者的誘惑是相當大的,試想一個每日被不斷物理侵入的“云”網(wǎng)絡,其虛擬交付平臺將承受多大的攻擊風險?

換句話說,如果在基本的ip或mac層就進行接入控制,絕大部分的攻擊將在交換機端口級別就得到有效的限制,從而大大減輕云前端虛擬交付臺的抗風險攻擊壓力。這也標志著在用戶“云”時代,NAC準入控制系統(tǒng)依然將發(fā)揮著至關重要的接入控制功用,通過NAC的底層控制和“云”自身的高層控制,共同打造用戶網(wǎng)絡的整體安全架構。

盈高TM科技充分考慮到用戶建設“云”網(wǎng)絡的必然性,在采用第三代appliance-based架構的NAC設備ASM中能夠特別提供對用戶 “云”建設的強大身份認證和接入控制功能,同時ASM在國內無客戶端NAC領域的大量客戶和技術領先性同樣能保證在用戶現(xiàn)階段傳統(tǒng)桌面網(wǎng)絡中的NAC建設需要,只需通過一次建設,即可幫助用戶搭建起從傳統(tǒng)桌面網(wǎng)絡到“云”網(wǎng)絡均具有長期應用價值的NAC準入控制平臺。盈高TM科技做為NAC領域的領導品牌將確保用戶安全邁入“云”時代。


桌面云-ASM身份認證示意圖