從最初作為滿足“遠程接入”、“遠程應用”剛性需求而出現的虛擬應用軟件,在逐步體現出占用資源少、便于管理集中應用等優勢之后,得到了更多認可。 隨著移動客戶端的需求快速增長,虛擬應用模式對于跨平臺的支持更加有了用武之地,越來越多的企事業單位選擇使用虛擬應用軟件來搭建私有云IT平臺。
與此同時,與受限于局域網相比,訪問接入的開放將給信息系統的安全帶來更多的考驗,必須給予足夠重視。作為虛擬應用管理的平臺軟件,應提供必要的安全管理手段和功能。
一、登錄安全保護
用戶名/密碼(靜態口令)登錄基本上依靠用戶本人的安全意識,是系統安全的主要隱患。對安全要求較高的用戶登錄方式,目前常用的有動態密碼(動態口令)、 USB Key(U盾、加密鎖)等,操作簡單,安全性強。隨著此類硬件產品的完善和價格降低,已經得到廣泛普及。
私有云IT平臺需要提供對動態口令和USB Key的支持,滿足重要崗位或應用的安全性高要求。特別是USB Key登錄方式,帶來的操作便捷也會顯著提升用戶體驗的滿意度。
圖1:USB Disk Key是VA虛擬應用管理平臺客戶端登錄模式之一,簡化登錄和提升安全
二、接入安全驗證
作為企業內部的信息管理系統,僅僅依靠用戶名/密碼訪問驗證是不夠的,多數情況下還需要更復雜的后臺驗證,同時對訪問對象進行適當的限制。這類驗證技術的實現我們稱之為“接入防火墻”。
接入防火墻設置訪問規則,保障“云終端”訪問的合法性。防火墻通過用戶/用戶組、IP地址/客戶機指紋/客戶機名/內外網限制等方式過濾客戶端設備,從而保證了合法的客戶端訪問服務器。同時防火墻還可以控制客戶端或注冊用戶訪問不同應用的時間。因此接入防火墻可以簡單描述為:什么人、從哪來、在什么時間、訪問什么應用、被允許還是被拒絕。
還可以對系統運行的穩定性發揮作用。例如,可以限制外網訪問某些網絡流量較大的應用,保護其他的遠程接入帶寬。
圖2: VA虛擬應用管理防火墻 對訪問者和訪問資源全面管理
三、服務器安全策略
虛擬應用采用基于服務器計算模式技術(server-based computing),服務器集群是應用虛擬化的基礎平臺,保證了這個平臺的穩定和安全,就保證了私有云系統的穩定和安全。為了更好地對服務器系統進行安 全策略設置,需要針對虛擬應用的特點,預設各種級別安全策略,并支持自定義安全策略,為每個用戶綁定。
在某些情況下,安全策略的限制會造成應用程序加載問題,所以需要能夠設置應用程序的不同加載方式,避免此類問題。
圖3:VA虛擬應用的服務器安全策略,通過200余項策略設置,可以有效防范對服務器未經授權的操作。
四、實時監控
系統的實時監控包括:服務器資源和運行狀態、接入會話的全面信息、被訪問應用的情況等。可以查看整個平臺的實時狀態和訪問細節,必要時可進行干預控制和應急處理。
圖4:VA虛擬應用的集群狀態監控,包括圖示服務器狀態和會話狀態、應用狀態
五、系統數據安全
虛擬應用自身的系統數據安全必須得到有效保護。同時,備份與恢復的操作,卸載、升級以及遷移等情況下的處理,應該提供相應的維護工具和實用的處理方案。
圖5:VA虛擬應用的系統數據安全設計,有效保障云計算平臺安全
六、安全審計
作為例行監督檢查或事后核查,安全審計的基礎,是系統運行和用戶活動的相關記錄。系統需要提供盡可能全面的數據和核查功能,包括上述安全管理的記錄、會話和訪問應用的記錄、打印記錄、系統運行報警事件記錄、文件訪問記錄等。
圖6:VA虛擬應用的歷史日記數據提供全面的運行記錄
總結:信息系統的安全需要全方位的保護,建設私有云信息化平臺應該選擇具有全方位安全功能的虛擬應用軟件,在保證技術手段的同時,還要重視安全管理制度的建設和執行,為新一代的企業IT平臺提供有效的安全保障。
京公網安備 11010502049343號