企業(yè)私有云安全性全方位解決方案

責(zé)任編輯:editor006

2014-07-22 16:33:43

摘自:論壇

從最初作為滿足“遠(yuǎn)程接入”、“遠(yuǎn)程應(yīng)用”剛性需求而出現(xiàn)的虛擬應(yīng)用軟件,在逐步體現(xiàn)出占用資源少、便于管理集中應(yīng)用等優(yōu)勢(shì)之后,得到了更多認(rèn)可。

從最初作為滿足“遠(yuǎn)程接入”、“遠(yuǎn)程應(yīng)用”剛性需求而出現(xiàn)的虛擬應(yīng)用軟件,在逐步體現(xiàn)出占用資源少、便于管理集中應(yīng)用等優(yōu)勢(shì)之后,得到了更多認(rèn)可。 隨著移動(dòng)客戶端的需求快速增長(zhǎng),虛擬應(yīng)用模式對(duì)于跨平臺(tái)的支持更加有了用武之地,越來(lái)越多的企事業(yè)單位選擇使用虛擬應(yīng)用軟件來(lái)搭建私有云IT平臺(tái)。

與此同時(shí),與受限于局域網(wǎng)相比,訪問(wèn)接入的開(kāi)放將給信息系統(tǒng)的安全帶來(lái)更多的考驗(yàn),必須給予足夠重視。作為虛擬應(yīng)用管理的平臺(tái)軟件,應(yīng)提供必要的安全管理手段和功能。

一、登錄安全保護(hù)

用戶名/密碼(靜態(tài)口令)登錄基本上依靠用戶本人的安全意識(shí),是系統(tǒng)安全的主要隱患。對(duì)安全要求較高的用戶登錄方式,目前常用的有動(dòng)態(tài)密碼(動(dòng)態(tài)口令)、 USB Key(U盾、加密鎖)等,操作簡(jiǎn)單,安全性強(qiáng)。隨著此類硬件產(chǎn)品的完善和價(jià)格降低,已經(jīng)得到廣泛普及。

私有云IT平臺(tái)需要提供對(duì)動(dòng)態(tài)口令和USB Key的支持,滿足重要崗位或應(yīng)用的安全性高要求。特別是USB Key登錄方式,帶來(lái)的操作便捷也會(huì)顯著提升用戶體驗(yàn)的滿意度。

企業(yè)私有云安全性全方位解決方案

圖1:USB Disk Key是VA虛擬應(yīng)用管理平臺(tái)客戶端登錄模式之一,簡(jiǎn)化登錄和提升安全

二、接入安全驗(yàn)證

作為企業(yè)內(nèi)部的信息管理系統(tǒng),僅僅依靠用戶名/密碼訪問(wèn)驗(yàn)證是不夠的,多數(shù)情況下還需要更復(fù)雜的后臺(tái)驗(yàn)證,同時(shí)對(duì)訪問(wèn)對(duì)象進(jìn)行適當(dāng)?shù)南拗?。這類驗(yàn)證技術(shù)的實(shí)現(xiàn)我們稱之為“接入防火墻”。

接入防火墻設(shè)置訪問(wèn)規(guī)則,保障“云終端”訪問(wèn)的合法性。防火墻通過(guò)用戶/用戶組、IP地址/客戶機(jī)指紋/客戶機(jī)名/內(nèi)外網(wǎng)限制等方式過(guò)濾客戶端設(shè)備,從而保證了合法的客戶端訪問(wèn)服務(wù)器。同時(shí)防火墻還可以控制客戶端或注冊(cè)用戶訪問(wèn)不同應(yīng)用的時(shí)間。因此接入防火墻可以簡(jiǎn)單描述為:什么人、從哪來(lái)、在什么時(shí)間、訪問(wèn)什么應(yīng)用、被允許還是被拒絕。

還可以對(duì)系統(tǒng)運(yùn)行的穩(wěn)定性發(fā)揮作用。例如,可以限制外網(wǎng)訪問(wèn)某些網(wǎng)絡(luò)流量較大的應(yīng)用,保護(hù)其他的遠(yuǎn)程接入帶寬。

企業(yè)私有云安全性全方位解決方案

  圖2: VA虛擬應(yīng)用管理防火墻 對(duì)訪問(wèn)者和訪問(wèn)資源全面管理

三、服務(wù)器安全策略

虛擬應(yīng)用采用基于服務(wù)器計(jì)算模式技術(shù)(server-based computing),服務(wù)器集群是應(yīng)用虛擬化的基礎(chǔ)平臺(tái),保證了這個(gè)平臺(tái)的穩(wěn)定和安全,就保證了私有云系統(tǒng)的穩(wěn)定和安全。為了更好地對(duì)服務(wù)器系統(tǒng)進(jìn)行安 全策略設(shè)置,需要針對(duì)虛擬應(yīng)用的特點(diǎn),預(yù)設(shè)各種級(jí)別安全策略,并支持自定義安全策略,為每個(gè)用戶綁定。

在某些情況下,安全策略的限制會(huì)造成應(yīng)用程序加載問(wèn)題,所以需要能夠設(shè)置應(yīng)用程序的不同加載方式,避免此類問(wèn)題。

企業(yè)私有云安全性全方位解決方案

圖3:VA虛擬應(yīng)用的服務(wù)器安全策略,通過(guò)200余項(xiàng)策略設(shè)置,可以有效防范對(duì)服務(wù)器未經(jīng)授權(quán)的操作。

四、實(shí)時(shí)監(jiān)控

系統(tǒng)的實(shí)時(shí)監(jiān)控包括:服務(wù)器資源和運(yùn)行狀態(tài)、接入會(huì)話的全面信息、被訪問(wèn)應(yīng)用的情況等。可以查看整個(gè)平臺(tái)的實(shí)時(shí)狀態(tài)和訪問(wèn)細(xì)節(jié),必要時(shí)可進(jìn)行干預(yù)控制和應(yīng)急處理。

企業(yè)私有云安全性全方位解決方案

  圖4:VA虛擬應(yīng)用的集群狀態(tài)監(jiān)控,包括圖示服務(wù)器狀態(tài)和會(huì)話狀態(tài)、應(yīng)用狀態(tài)

五、系統(tǒng)數(shù)據(jù)安全

虛擬應(yīng)用自身的系統(tǒng)數(shù)據(jù)安全必須得到有效保護(hù)。同時(shí),備份與恢復(fù)的操作,卸載、升級(jí)以及遷移等情況下的處理,應(yīng)該提供相應(yīng)的維護(hù)工具和實(shí)用的處理方案。

企業(yè)私有云安全性全方位解決方案

  圖5:VA虛擬應(yīng)用的系統(tǒng)數(shù)據(jù)安全設(shè)計(jì),有效保障云計(jì)算平臺(tái)安全

六、安全審計(jì)

作為例行監(jiān)督檢查或事后核查,安全審計(jì)的基礎(chǔ),是系統(tǒng)運(yùn)行和用戶活動(dòng)的相關(guān)記錄。系統(tǒng)需要提供盡可能全面的數(shù)據(jù)和核查功能,包括上述安全管理的記錄、會(huì)話和訪問(wèn)應(yīng)用的記錄、打印記錄、系統(tǒng)運(yùn)行報(bào)警事件記錄、文件訪問(wèn)記錄等。

企業(yè)私有云安全性全方位解決方案

  圖6:VA虛擬應(yīng)用的歷史日記數(shù)據(jù)提供全面的運(yùn)行記錄

總結(jié):信息系統(tǒng)的安全需要全方位的保護(hù),建設(shè)私有云信息化平臺(tái)應(yīng)該選擇具有全方位安全功能的虛擬應(yīng)用軟件,在保證技術(shù)手段的同時(shí),還要重視安全管理制度的建設(shè)和執(zhí)行,為新一代的企業(yè)IT平臺(tái)提供有效的安全保障。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)