虛擬桌面安全策略：網(wǎng)絡隔離方案

在傳統(tǒng)的桌面方案中網(wǎng)絡隔離方面大多使用物理隔離（如隔離卡方案、雙PC模式）以及邏輯隔離（如基于ACL/VLAN的網(wǎng)絡策略）來實現(xiàn)網(wǎng)絡的隔離。

此外也可以借此如網(wǎng)絡準入操作簡稱NAC的方式來實現(xiàn)網(wǎng)絡的邏輯隔離NAC的方式支持多種模式

• 基于802.1x(與網(wǎng)絡交換機聯(lián)動當發(fā)現(xiàn)用戶終端不符合安全策略時將用戶終端隔離到特定VLAN)。

• 基于網(wǎng)關模式的NAC(如×××模式當NAC設備放在用戶需要訪問的服務器的前端如公司內(nèi)網(wǎng)門戶用戶訪問后端服務時客戶的流量因為需要經(jīng)過NAC設備所以可以強制用戶的設備做安全檢查)。

• 基于DHCP的NAC這種方式比較容易跳過只要機器不使用DHCP指定IP地址DHCP 的NAC即不能工作。

目前桌面虛擬化技術路線上主要包括集中式的VDI模式以及分布式的桌面模式如Horizon Flex,可以理解為VDI@PC模式。這兩種技術其實都可以實現(xiàn)桌面的網(wǎng)絡隔離。

在集中式的VDI中用戶設備通過遠程桌面協(xié)議如VMware Blast,PCoIP,RDP,ICA等訪問到數(shù)據(jù)中心端的虛擬桌面本身在網(wǎng)絡協(xié)議層面上就已經(jīng)實現(xiàn)了隔離。很多單用戶多桌面的環(huán)境中一個用戶可能需要同時訪問如辦公、開發(fā)、互聯(lián)網(wǎng)等多個網(wǎng)絡的桌面那么在數(shù)據(jù)中心后端實現(xiàn)網(wǎng)絡的隔離就可以滿足網(wǎng)安全的要求。目前的數(shù)據(jù)中心端的網(wǎng)絡隔離主要包括物理隔離主要在政府、金融等有強制的法規(guī)要求的行業(yè)即部署多套網(wǎng)絡、多套網(wǎng)絡設備等以及通過邏輯網(wǎng)絡隔離 同一套物理網(wǎng)絡但是基于交換機的VLAN/ACL或者網(wǎng)絡虛擬化技術如VMware NSX來邏輯隔離網(wǎng)絡。

在分布式的VDI@PC模式中本地虛擬桌面的運算方式與集中式的VDI有很大的不同在VDI@PC模式中所有的計算均在用戶PC上完成與VMware Workstation技術類似得益于近年來筆記本性能的提升特別是SSD的普及在用戶端的筆記本上運行虛擬機已經(jīng)不是問題。如筆者使用的筆記本為Apple Macbook AirCPU為Intel i5 1.4GHz,內(nèi)存為8GSSD為128G在這樣的筆記本上可以同時運行多個虛擬機而不影響我的操作體驗。

在分布式的VDI@PC模式中因為所有的計算、存儲都在本地設備上實現(xiàn)在網(wǎng)絡連接上也如此。Horizon Flex可以實現(xiàn)數(shù)據(jù)的安全策略管理如USB禁用、復制粘貼板禁用等其實在網(wǎng)絡上除了大家熟悉的橋接、NAT、Host模式之外也可以借助×××的功能來實現(xiàn)網(wǎng)絡的隔離。

通過數(shù)據(jù)安全策略、虛擬機加密、網(wǎng)絡隔離策略三方面的配合使用VDI@PC模式在安全性可以滿足大部分客戶的需求當然我也發(fā)現(xiàn)一些已經(jīng)用了VDI而且已經(jīng)穩(wěn)定使用多年的客戶對于VDI@PC模式存在偏見和質(zhì)疑的不過我相信時間可以解決這個問題。

關于更多關于虛擬桌面網(wǎng)絡隔離技術的介紹大家可以點擊原文進行下載我制作的35頁的PPT。轉(zhuǎn)發(fā)到朋友圈并截圖發(fā)送到訂閱號的朋友可以得到無限制的PPT版本。為了加粉我也是挺拼的

本文來自微信訂閱號"最終用戶云計算"微信號是 “CHINAEUC”寫文章需要查各種資料、還要有靈感并不容易。如果覺得文章有用希望您幫忙轉(zhuǎn)發(fā)到您的朋友圈。點擊文章標題下方的小字“最終用戶計算”即可完成關注。 回復“Dir”可以查看過往文章。