文档介绍：桌面虚拟化安全技术分析
吴孔辉
vwu@
威睿信息技术(中国)有限公司
保密资料
© 2010 VMware Inc. 保留所有权利
虚拟桌面方案安全性分析
①终端物理安全③用户接入安全⑤用户数据安全
远程连接
SSL安全隧道
②终端可靠性④传输安全性⑥云平台可靠性
2 保密资料
Page 2
终端物理安全
概述
. 保护计算机设备、设施免遭自然灾害和环境
事故(如电磁污染等)以及人为操作失误及计
算机犯罪行为导致的破坏
优点
. 环境安全:对系统所在环境的安全保护、防
止电磁干扰、静电等
. 灾难保护:灾难的预警、应急处理、系统及数
据的恢复
3 保密资料
终端安全可靠性
瘦客户机的硬体稳定可靠性
概述
. 瘦客户机整机采用嵌入式硬件方案设计
. 整机无风扇及可拆卸配件设计
. 用户展现形制及外设接驳端口与PC相同
嵌入式硬件
优点
. 没有消耗性的故障及机械维护,高度可靠
. 可直接替代PC作为VDI的访问端,支持现有
各类外设接驳使用
. 适合用户长时间、高负荷访问稳定访问
4 保密资料
终端安全可靠性
瘦客户机的软体安全可靠性
概述
. 瘦客户机软件采用嵌入式软件系统方案
. 与现有PC系统异构(如采用嵌入式Linux)
. 支持现有VDI客户端集成
. 可实现开机直接进入桌面的需求
嵌入式软件
. 瘦客户机自身具备集中管理功能(如客户端
版本的集中自动升级)
优点
.
Linux 嵌入式系统稳定免维护
. 异构系统实现了网络环境的安全保障
Embedded
. VDI客户端集成实现了开箱即用
. 开机到桌面满足用户无缝集成的桌面体验
. 客户端自动更新实现了与虚拟系统的统一
5 保密资料
终端安全可靠性
瘦客户机与桌面虚拟化形制比喻
终端总结
.
机顶盒效应! 硬件可靠稳定免维护
. 软件可靠安全稳定性高
. 设备开箱即用
. 开机直接到虚拟桌面
. 统一集中管理
6 保密资料
用户接入安全
身份认证(用户名/密码)
概述
. 使用AD集成的用户身份验证
. 支持密码强度/复杂性及密码周期规则
. 可通过组策略统一或者分组进行调整
优点
. 结合企业已有的安全策略和规范
. 实施成本和风险较低
. 不影响用户体验及使用习惯
7 保密资料
用户接入安全
双因素身份认证(可选)
概述
. 可选支持动态密码及智能卡登录方式进行强
认证,避免传统密码丢失,被破解的风险
. 通过智能卡来验证其计算机网络来访用户的
身份。
. 能够为证书、PIN 管理和通知建立特定的策
略
优点
. 双因素认证极大的提高了接入的安全性
. 和现有的双因素认证体系无缝集成
. 支持 PCoIP 和 RDP
. 支持主流智能卡制造商产品、远程访问解决
方案、瘦客户端和可提高工作效率的应用程
序。
8 保密资料
用户接入安全
可以配置用于执行客户端证书处理的设置
概述
. 可配置的客户端设置
. 禁用、用户选择或强制
. 利用浏览器 SSL 安全模式
. 商用和自签名证书
优点
. 提高 IT 控制力
. 结合现有企业安全策略
. 不影响用户体验及使用习惯
9 保密资料
传输安全性
通过SSL隧道实现传输加密
概述
. 使用 SSL 安全加密链路确保对所有连接进
行完全加密
. 智能卡用户必须使用SSL
SSL安全隧道优点
. 通过隧道加密保证了传输的安全
. 可通过策略配置灵活启用/禁用SSL
. 和主流SSL VPN方案无缝集成
10 保密资料