保护终端用户安全 虚拟桌面基础设施帮忙
目前,瘦客户端(thin client)正卷土重来,这得感谢服务器虚拟化的潮流。我们都记得,前些年IT界曾尝试过给商业桌面瘦身,让它变得小巧精悍易于管理。可是当用户们得知一旦装了瘦客户端之后,就不能随意安装自己喜爱的应用程序时,他们就变得犹豫不决了。
VDI的精妙架构
在附图中我们展示了虚拟桌面的各个组件是如何交互运作的。通常在企业内部署VDI是从在数据中心里设置一个服务器群集开始的。终端用户可以利用现有的硬件进行连接,只需要删除原有的Windows,然后再安装一个管理程序就可以了。用户打开终端机器的电源后,马上就能进入登录界面,然后会被分配到一个虚拟桌面镜像。真正的IT控制狂一定会喜欢这种新型的哑终端(dumb terminals)。功能齐全的普通台式机价格一般在300到600美元之间,而性能良好的VDI瘦客户端的价格则在250到700美元之间,因此我们认为VDI客户端并不具备什么价格优势。当然,在使用传统台式机的时候,员工们可以利用闪存盘拷贝一个操作系统,然后在电脑上任性捣乱。如果采用VDI客户端也许就不会出现这样的问题了,但是请记住,没什么系统是牢不可破的。另外,有些应用程序只能在本地的Windows系统运行,不能在虚拟系统上运行,有鉴于此你也许会希望保留一些“臃肿的”的传统台式机。一旦员工连上了网络,桌面终端机就只不过是管道而已。数据在传输时将会受到安全套接层(Secure Sockets Layer,SSL)的保护。
现有的系统将被逐步淘汰,让我们来看看经过VDI优化的客户端能提供些什么。“哑终端”这个词可能会带给人们一些糟糕的回忆,因为以往的瘦客户端有两个显著的局限:一是内存有限,二是CPU太小。如今的VDI瘦客户端则突破了这两个局限。桌面客户端硬件采用了模块化设计,只有少数几个活动的组件,没有配备硬盘或复杂的驱动器。
客户端-主机操作系统是一种超轻量级、内嵌于硬件的桌面管理程序,它并不支持够在系统上运行的应用程序。用户可以同时调用一个或多个虚拟操作系统,运行这些虚拟机的本地版本,物理桌面的强劲机能会让用户受益匪浅,而智能的管理程序以及为虚拟化做了特别优化的底层硬件则能带给用户额外的信息安全保障。
无论在服务器端还是在桌面客户端,管理程序都是实现虚拟化的关键。由于管理程序规定了虚拟机的界限和资源需求,同时也是安全堆栈(security stack)的关键,因此需要认真对待。
如果桌面管理程序小巧得能内嵌于硬件中,或者自身就具有虚拟设备的功能,那系统的安全性就会得到很大改善。VMware公司正在将庞大(2GB左右)且较易受到攻击的管理程序和服务控制台缩减为仅32MB大小的完整平台。它内嵌于硬件中,或者储存在U盘或光盘上,可以从这些媒介上启动。一旦管理程序在桌面上启动,用户就可以随心所欲地让它为自己工作,比如说协调网络认证或进行机器隔离(machine isolation)。
芯片制造商们也在紧锣密鼓地进行研发工作。以可信平台模块组织为例。你可以将TPM芯片想像成一个基于硬件的保险柜,用户可以在这里存放凭证和证书,管理密钥,加密电子邮件和文档。VDI管理程序能够利用这种安全机制,向硬件发送调用指令而不用将重要信息储存在软件中。
英特尔和AMD向来靠着不断增强的CPU性能赚得盆满钵溢,现在它们推出的可信处理平台(trusted processing platform)能够适应所有虚拟化软件的需要。我们可以称之为通用扩展性,这类似于我们希望在替换硬件时让软件运行如故的能力,而且我们也希望在虚拟化软件方面的投资能在未来见到成效,不至于花钱打了水漂。这项开发目前以CPU为中心,同时外围设备也在开发之中。
通过软件实现信息安全的VMware公司正在利用SSL来确保它的旗舰VDI产品的数据传输安全。对于它的ACE桌面虚拟化管理产品,VMware公司采用了虚拟权限管理(Virtual Rights Management)技术来管理安全策略以及对离线虚拟机的访问。当然,你还可以加密虚拟磁盘。
VMware 公司和思杰公司的VDI产品在控制访问权限和数据传输安全问题上采用了相同的解决方案。两种产品都采用与动态目录(Active Directory)同步的集中认证机制(centralized authentication mechanism)来控制桌面客户端的访问,在制订了相应的规定之后,只有获准使用指定虚拟桌面的用户才有访问权限。
用户权限的发放和回收是通过中央控制台来完成的。像太阳微系统公司(Sun Microsystems,下称太阳公司)和Ericom公司那样提供大批VDI和仿真产品的厂商,是后端供应商中的不可知论者;太阳公司推出的Sun Ray产品线提供了客户端硬件。所有这些产品都使用软件作为首要的安全保障方法:虚拟机依然储存在数据中心里,然后发布到客户端。
那么,你现在就购买VDI的话能得到多少附加的信息安全保障呢?在市场上其他厂商提供的各种安全方案面前,实施VDI真的物有所值吗?
熟悉网络访问控制的用户将会发现下一代桌面虚拟化的安全机制与之类似:认证请求不再是提交给基于软件的认证机制,而是提交给更有效、更少依赖于用户的硬件来处理。企业以后将不再需要分发网络用户名和密码,只需验证员工用来连接到网络的客户端机器,而虚拟机也会效法此种机制。如今VDI用户仍然需要用凭证和密码来登录,虽然拥有连接代理的瘦客户端也可以实现单点登录。
