企業(yè)如何對私有云主機進(jìn)行管理��?
發(fā)布時(shí)間:2021-11-19 12:14
來(lái)源:主機之家
閱讀:0
作者:
欄目: 云產(chǎn)品
歡迎投稿:712375056
互聯(lián)網(wǎng)的大數據時(shí)代��,企業(yè)的服務(wù)器也在跟著(zhù)時(shí)代更新?lián)Q代���,從舊時(shí)的系統到云平臺的轉移�,這一過(guò)程對企業(yè)來(lái)說(shuō)可以算是一門(mén)挑戰��,因為云主機等云端服務(wù)器對于大部分人來(lái)說(shuō)還是比較陌生����。而服務(wù)器的重要性我相信不需要再花
互聯(lián)網(wǎng)的大數據時(shí)代�,企業(yè)的服務(wù)器也在跟著(zhù)時(shí)代更新?lián)Q代����,從舊時(shí)的系統到云平臺的轉移��,這一過(guò)程對企業(yè)來(lái)說(shuō)可以算是一門(mén)挑戰�,因為等云端服務(wù)器對于大部分人來(lái)說(shuō)還是比較陌生����。而服務(wù)器的重要性我相信不需要再花時(shí)間去討論�����,針對云主機的安全策略����,企業(yè)需要仔細考慮好��。
企業(yè)如何對私有云主機進(jìn)行管理?
我們先由對虛擬云桌面開(kāi)始說(shuō)起�。
首先從每個(gè)員工使用的桌面終端來(lái)說(shuō)�����。隨著(zhù)虛擬化技術(shù)的發(fā)展�,在企業(yè)里虛擬云桌面終端也迅速部署應用起來(lái)��,虛擬化桌面終端安全問(wèn)題也逐漸凸顯�����。虛擬化云桌面終端安全所面臨的主要問(wèn)題可劃分為兩大類(lèi)�,一類(lèi)是傳統的終端安全問(wèn)題的延續;另一類(lèi)是在虛擬化環(huán)境下所面臨的新問(wèn)題�。虛擬化環(huán)境下所面臨的新問(wèn)題主要包括虛擬化環(huán)境所面臨的安全威脅��、無(wú)邊界訪(fǎng)問(wèn)帶來(lái)的安全威脅���、虛擬機防護間隙帶來(lái)的威脅和安全防護引發(fā)的資源爭用等多項安全問(wèn)題�����。
云桌面通過(guò)虛擬化技術(shù)來(lái)實(shí)現了桌面的統一��、資源的共享�����,讓員工通過(guò)瘦客戶(hù)端來(lái)實(shí)現任何時(shí)間�����、任何地點(diǎn)訪(fǎng)問(wèn)跨平臺的桌面系統�,能夠解決傳統桌面管理模式的弊端����,而且通過(guò)統一規劃所有云桌面用戶(hù)的IP地址,在防火墻和交換機上設置策略���、建立訪(fǎng)問(wèn)控制列表��,限制該網(wǎng)段互聯(lián)網(wǎng)訪(fǎng)問(wèn)權限�����,也可以方便實(shí)現云桌面用戶(hù)與互聯(lián)網(wǎng)的隔離��。
云桌面使用方便也易于實(shí)現統一管理�����,然而在資源高度聚合��、數據遠程化�、彈性大規模的云桌面應用模式下��,安全問(wèn)題仍然不可避免�。
從虛擬云桌面的整體系統角度來(lái)看�����,客戶(hù)端��、傳輸網(wǎng)絡(luò )�����、服務(wù)器端���、存儲端等各個(gè)方面��,都會(huì )產(chǎn)生安全風(fēng)險��。忽略任何一個(gè)細節都會(huì )導致整個(gè)系統的信息漏洞���。
客戶(hù)端:在虛擬云桌面的應用環(huán)境中��,只要有訪(fǎng)問(wèn)權限��,任何智能終端都可以訪(fǎng)問(wèn)云端的桌面環(huán)境����,如果使用單純的用戶(hù)名密碼作為身份認證���,那么其泄露就意味著(zhù)對方可以在任何位置訪(fǎng)問(wèn)你的桌面系統����,并獲取相關(guān)數據�����。傳統的桌面可以采用物理隔離的方式�����,其他人無(wú)法進(jìn)安全控制區域竊取資料;而在虛擬桌面環(huán)境下��,這種安全保障就不復存在了����。這就要求有更加嚴格的終端身份認證機制�����。目前比較好的方案有Ukey準入認證���,利用Ukey 認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性��,也能夠使Ukey 發(fā)揮最大效能�,充分利用Ukey高可靠性的特點(diǎn)實(shí)現對云計算資源的保護���,防止無(wú)授權用戶(hù)的非法操作�����。相對于遠程用戶(hù)�,則可以采用Ukey 認證與SSL VPN 技術(shù)相結合�����,為遠程用戶(hù)提供一種安全通信服務(wù)��。還有就是通過(guò)MAC地址對于允許訪(fǎng)問(wèn)云端的客戶(hù)端進(jìn)行一個(gè)范圍限定也是不錯的辦法��。雖然犧牲了一定靈活性��,但這種方式可以大幅提升客戶(hù)端的可控性�。
(注:國內的USBKEY品牌型號繁多���,企業(yè)在選擇USBKEY時(shí)一般也沒(méi)有太多的考慮��,因此導致了多種型號及品牌的KEY共存的現象比較普遍���。建議測試幾種使用���,另外還有無(wú)驅的Ukey, 會(huì )模擬成HID�,有的不能自動(dòng)映射�,還需要手動(dòng)連接)
傳輸網(wǎng)絡(luò ):絕大部分企業(yè)級用戶(hù)都會(huì )為遠程接入設備提供安全連接點(diǎn)�����,供在防火墻保護以外的設備遠程接入�,但是并非所有的智能終端都支持相應的VPN技術(shù)�。智能手機等設備一般可采用專(zhuān)業(yè)安全廠(chǎng)商提供的定制化VPN方案���。企業(yè)內部的終端和云端的通訊可以通過(guò)SSL VPN協(xié)議進(jìn)行傳輸加密���,確保整體傳輸過(guò)程中的安全性����。
服務(wù)器端:在虛擬桌面的整體方案架構中����,后臺服務(wù)器端架構通常會(huì )采用橫向擴展的方式�����。這樣一方面通過(guò)增強冗余提升了系統的高可用性;另一方面可以根據用戶(hù)數量逐步增加計算能力���。在大并發(fā)的使用環(huán)境下���,系統前端會(huì )使用負載均衡器�,將用戶(hù)的連接請求發(fā)送給當前仍有剩余計算能力的服務(wù)器處理��。這種架構很容易遭到分布式拒絕攻擊���,因此需要在前端的負載均衡器上需要配置安全控制組件��,或者在防火墻的后端設置安全網(wǎng)關(guān)進(jìn)行身份鑒定授權�����。
存儲端:采用虛擬桌面方案之后���,所有的信息都會(huì )存儲在后臺的磁盤(pán)陣列中��,為了滿(mǎn)足文件系統的訪(fǎng)問(wèn)需要��,一般會(huì )采用NAS架構的存儲系統�����。這種方式的優(yōu)勢在于企業(yè)只需要考慮保護后端磁盤(pán)陣列的信息防泄漏�,原本前端客戶(hù)端可能引起的主動(dòng)式的信息泄密幾率大為減少�。但是��,如果系統管理員�����,或者是具有管理員權限的非法用戶(hù)想要獲取信息的話(huà)���,這種集中式的信息存儲方式還是存在隱患的���。如果使用普通的文件系統機制�,系統管理員作為超級用戶(hù)具有打開(kāi)所有用戶(hù)目錄�,獲取數據的權限���。 一般可以采用專(zhuān)業(yè)的加密設備進(jìn)行加密存儲并且為了滿(mǎn)足合規規范的要求�,加密算法應當可以有前端用戶(hù)指定��。同時(shí)�����,在數據管理上需要考慮三權分立的措施���,及需要系統管理員��、數據外發(fā)審核員和數據所有人同時(shí)確認也能夠允許信息的發(fā)送�����。這樣可以實(shí)現主動(dòng)防泄密����。此外���,還需要通過(guò)審計方式確保所有操作的可追溯性����。
