什么是虚拟桌面基础架构   


浅析虚拟桌面安全设计_java浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_03

虚拟桌面基础架构,简称VDI,英文全称Virtual Desktop Infrastructure,是近年来虚拟化技术由服务器虚拟化向桌面虚拟化延伸的一个技术名称。虚拟桌面基础架构采用“集中计算,分布显示”的原则,通过虚拟化技术,将所有客户端的运算合为一体,在企业数据中心内进行集中处理,而桌面用户采用瘦客户端或软客户端,仅负责输入输出与界面显示,不参与任何计算和应用。

浅析虚拟桌面安全设计_java_04浅析虚拟桌面安全设计_java_05浅析虚拟桌面安全设计_java_02





02

   VDI的优势   


浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_02

虚拟桌面技术实现了在标准计算环境下的集中数据管理、集中计算资源管理和调配等功能。主要优势如下:

优势一:由于对数据进行集中管理,客户端本地不存储任何数据,客户端本地的安全策略由服务端统一设置,能在很大程度上避免信息的泄露。

优势二:用户可以使用任何一台网络可达的终端,在世界上任何一个地方访问自己的远端云桌面,远端的桌面永远会保持个人设置的工作界面,实现灵活移动办公。

优势三:在管理和备份终端的数据方面,由于桌面用户本地端没有任何实质数据存储,只需在服务端统一进行管理和备份,不用考虑每个不同桌面的硬件系统,可以大量节省人力资源,同时数据备份更安全高效。




03

   VDI的组成   


一个完整的VDI组成通常包括三个部分:

(1)虚拟化服务器端:采用中端、高端配置的服务器,安装虚拟化软件,通过服务器虚拟化技术,将资源池化,每个宿主系统上可创建数十个虚拟机,进而将虚拟机关联到对应的终端桌面用户。虚拟化软件要求具有大容量、高可靠性、易管理,能适应高密度大压力的集中运算能力。

(2)桌面虚拟化管理端:部署在虚拟化服务器端和云终端之间,负责系统资源整合、系统的认证和权限管理、创建和分配管理、基于用户身份的信息流控制、镜像克隆管理、虚拟桌面白名单安全管理、各种终端的安全接入管理,负责监控整个系统的运行状态,并可以对资源进行动态调度。

(3)终端用户桌面端:面向终端用户的桌面客户端,可以是目前使用的普通PC,也可以是瘦客户端或专用小型终端机,每个桌面用户需配置显示器、键盘、鼠标和终端机。云终端必须支持通过远程桌面协议连接服务器端的虚拟机,并以与传统PC机相同的操作方式操作虚拟机完成正常的业务流程操作。

浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_02




04

   VDI的架构安全   


浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_03

从上面的分析我们可以看到,VDI环境至少包括服务器虚拟化端、桌面管理端、接入终端,下面我们分别从这三方面的安全设计来进行分析:


服务器虚拟化端的安全

资源隔离

所有虚拟机在资源层面互相隔离,多个虚拟机可在共享硬件的同时安全地运行,既确保能够访问硬件,又保证运行不受干扰。如果某个虚拟机上的云桌面运行时发生故障,则虚拟机隔离技术将确保同一台物理主机上的其他虚拟机可以继续运行。某台云桌面发生故障不会影响用户访问其他虚拟机的能力,也不会影响正常运行的虚拟机访问其所需资源的能力。


数据集中

用户数据集中存放在统一存储设备中进行统一管理,云终端本地无硬盘,真正实现终端不留密。虚拟机对数据盘的访问经过加密处理,防止管理员、非法用户非授权查看用户数据。用户在通过身份认证之后才可以访问数据盘,保证用户数据之间相互隔离。


系统病毒防护

对于虚拟机病毒防护,由于虚拟机都集中管理,可以采用支持无代理部署模式的安全防护,统一在hypervisor层进行病毒查杀。也可以在每台独立的虚拟机中安装病毒防护的agent,定时对虚拟机进行统一的病毒扫描和更新。


管理组件加固

通过操作系统加固(关闭不必要的服务、控制文件和目录的访问权限)、数据库加固、安装安全补丁、防病毒等手段保证管理组件虚拟机的安全。主要加固措施:关闭不必要的通信端口、服务进程、限制系统访问权限、各账号严格控制访问权限、开启安全日志审计功能、避免黑客通过漏洞攻击系统、Web服务平台能够自动把客户的请求转向到HTTPS连接。


桌面管理端的安全

接入控制管理

在终端接入的策略中,可以根据实际场景需求,将用户帐号与设备的MAC或UUID地址进行绑定,绑定后用户只能从该终端设备登录虚拟机,不能从PC和其他设备登录虚拟机。同时可针对用户、虚拟机、桌面组等不同的对象设置允许客户端接入的时间,降低非法登陆的风险。


身份认证与访问控制

只有合法的用户才能连接服务器访问授权的虚拟桌面。一般采用与AD动态目录同步的集中认证机制来控制桌面客户端的访问,在制订了相应的规则之后,只有获准使用指定虚拟桌面的用户才有访问权限。


终端安全策略

  • 外设端口重定向控制:对于配置有USB接口、扫描仪、摄像头、打印机等外设接口的终端,可考虑将外设接口禁止,从服务器端设置策略不允许外设接口以任何形式启用,以杜绝在终端处理的数据可以通过外设接口非法流出系统。

  • 文件和剪切板策略:可以根据实际场景需求,控制服务端到客户端的单向、双向数据拷贝,或完全禁用文件拷贝和剪切板功能,即控制数据内拷和数据外发的通道。

  • 客户端会话策略:在检测到会话窗口无键鼠来源时,超过等待时间后,虚拟机将自动锁屏,经过再次等待时间,系统依然无键鼠来源,虚拟机将根据需求设置自动进行断开/注销/重启/关机的动作。

  • 水印显示策略:用户接入虚拟机后,在屏幕上显示水印,水印的使用可震慑用户对屏幕内容的拍照行为。

  • 带宽策略:对云桌面中涉及带宽传输的场景进行限制,如总带宽控制、多媒体带宽控制、USB带宽控制、打印机带宽控制、文件重定向及剪切板带宽控制、摄像头带宽控制等,通过带宽的精细化设置,可均衡各类流量之间的相互影响,保障用户的使用体验。


用户行为监控及审计

通过桌面虚拟化管理平台与监控审计类产品结合,自动记录用户的操作行为,实现用户在云桌面上的行为风险监控、高危行为阻止、行为留痕与追溯、终端安全准入等功能。保障用户在云桌面内任何操作:行为可追溯、过程可审计。


接入终端的安全

浅析虚拟桌面安全设计_java_04

图片来源于网络


传输链路安全

云桌面的访问按照使用的场景需求,一种是通过内网直接访问虚拟桌面网关,实现云桌面的登录使用。另一种是处于外网环境下,需要通过远程访问技术,来实现内部资源的连接,在连接过程中数据的安全传输,目前一般采用SSL VPN的方式来确保数据在远程传输链路上的保密性和完整性。


终端认证

支持指纹登录认证、动态口令认证、USBKey认证、固定终端认证等多因子认证技术,并支持各种移动设备的安全接入。用户在任何时候、任何地点均可以通过传统PC机、安全瘦客户机、智能终端等设备安全地访问内网应用系统,并且不会导致应用系统数据外泄等安全问题。

浅析虚拟桌面安全设计_java_15浅析虚拟桌面安全设计_java_02




05

   VDI可靠性设计   


计算层

硬件组件冗余

关键部件均采用多处理机冗余技术,如服务器的双电源、电池保护设计、管理节点等均采用主备机运行方式。在正常情况下,主用处理机控制模块的运行,备用处理机则实时与主用处理机保持同步;一旦主用处理机故障,备用处理机将立即投入运行接替主用处理机控制模块,从而保证系统的业务不中断。


集群高可用

通过配置多台服务器构建虚拟化群集,将硬件设备、网络、存储等多个层面的冗余实现平台层面的高可用,为虚拟化平台中运行的应用程序提供快速中断恢复和容错保障。一旦单台服务器出现故障,HA能够自动检测到节点状态对其进行隔离,并由其他服务器接管原服务器承载的虚拟机,通过虚拟机重启并还原服务完成在不同服务器之间迁移,减小故障影响范围,缩短业务影响时间,保证生产持续运行。


管理节点的主备

管理节点均采用1+1备份的方式运行,对外通过浮动IP进行连接或提供业务。HA主备双机部署在不同的物理服务器上,主备管理节点采用管理平面的心跳检测,备用节点实时检测主用节点的健康状态,一旦发现主用管理节点故障,备用管理节点将立刻接管主用节点的任务,保证整个系统不间断运行。如果主备管理节点同时故障,相关的业务管理会受影响,例如虚拟机的创建和删除等。但是对于已经存在并运行中的虚拟机,不会有任何影响,用户可以继续使用虚拟机上的应用程序,不会有任何感知。


虚拟机热迁移

为了实现系统容错功能和对资源的合理分配,支持对虚拟机迁移功能,可以将虚拟机从资源占用率高的服务器迁移到资源占用率低的服务器,也可以将虚拟机从故障服务器迁移到正常工作的服务器上。迁移前后的虚拟机在名称、配置、规格、状态上保持不变。整个迁移过程不影响虚拟机上正在运行的业务,用户无感知。


故障监视及处理

虚拟化平台可以收集它运行的服务器的核心指标,如CPU占用率、内存占用率、存储占用率等,并实时将这些信息显示在运维管理系统的Web浏览器上,便于用户发现负载均衡问题、失控进程或硬件性能下降的趋势,对合理分配系统资源、提高系统整体性能起到重要作用。


存储层

存储冗余

虚拟化平台底层存储可采用传统集中式存储,通过存储阵列RAID冗余技术,实现前端存储数据的安全。也可以采用分布式存储方式,通过多节点组成存储集群结合多副本冗余技术,实现数据存储安全。目前VDI环境多采用融合的分布式存储,数据采用三副本方式存储,当出现单硬盘故障时,故障盘会被踢出存储池,同时盘上数据会由其它副本进行重构,前端业务无感知。当出现节点级故障时,节点上的虚拟机会自动HA到其它宿主机重启,同时整个节点上的存储将被踢出存储池,原有数据将会通过其它副本在剩余的节点上进行重构。整个过程自动完成,数据安全得到极大保障。


业务数据的备份

虚拟化平台可与备份系统对接实现虚拟机的备份,如备份系统采用备份一体机和对象存储服务器作为存储设备,先将数据备份到备份服务器本地,之后再备份到对象存储中,每份数据都在2处保存,保证数据不丢失。


管理数据的备份

桌面云平台提供管理系统配置数据自动备份机制,在系统配置数据意外损坏或丢失时,虽然云桌面的运行及业务数据不受影响,但桌面云平台管理界面将出现异常,管理员无法实现对云桌面的管理。此时就可通过备份的系统配置数据,尽快恢复桌面云系统的正常运行。


网络层

网络路径全冗余

通过在网络各层采用不同的冗余技术来保证全网连接的可靠性。如在服务器上,通过采用多网卡绑定,避免单个网卡故障引发的业务中断。在网络接入层、汇聚层、核心层,通过采用交换机堆叠或集群技术,来保证网络路径的冗余。


网络分平面通信

在云平台组网逻辑上可以分为三个平面:管理平面、存储平面和业务平面。不同平面间采用VLAN进行隔离,单个平面的故障不影响其余两个平面继续工作。例如当管理平面暂时故障时,业务平面还能够继续为云终端用户提供服务。此外,还可对业务平面的地址进行VLAN隔离,如开发人员只能访问用于开发的云桌面地址段,运维人员只能访问用于运维的云桌面地址段,两者之间保持完全逻辑隔离。


流量动态控制

针对关键业务流程设计流量控制机制,在系统中各个环节采取流控措施,确保各个环节不因为流量过载而导致业务失败。采用流控机制的业务包括:镜像文件下载、鉴权、虚拟机相关业务(包括虚拟机迁移,虚拟机HA,虚拟机的创建,启动和停止),块存储数据读写等。


网络边界防护

边界控制防火墙是作为边界控制的有效手段之一,在VDI环境下,通过在物理边界上的网络出入口部署防火墙以保证服务器的安全;除此之外,由于虚拟机都是在统一的虚拟网络环境中,还可通过虚拟化平台中自带的安全组功能,针对虚拟机之间的访问进行控制,实现虚拟机横向可控访问。




06

   结语   


浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_02浅析虚拟桌面安全设计_java_03

虚拟桌面在数据安全管控方面有其独特的先天优势,这一点毋庸置疑。金融行业的特殊性和数据敏感性,也刚好迎合了虚拟桌面的这一优势,因此我们可以看到如今虚拟桌面在金融行业的广泛应用。此外在疫情防控常态化的今天,虚拟桌面在远程移动办公场景下的应用,也无疑成为其凸显的另一优势。

尽管桌面虚拟化技术作为完全符合云计算标准的技术,且进入市场多年,但是事实上,基于不同的使用场景、用户工作习惯和基础环境,虚拟桌面并没有彻底而广泛的应用于各行各业。主要原因有:1、虚拟桌面用户无法离线工作;2、受到网络带宽以及后端服务器配置的限制,不适合处理高负载应用;3、外设受限,需要调试匹配。如何与场景结合,如何实现技术和成本的平衡,并得到市场认可,是需要持续思考和实践的。