桌面虚拟化安全技术分析1

©2010VMwareInc.保留所有权利保密资料桌面虚拟化安全技术分析吴孔辉vwu@vmware.com威睿信息技术（中国）有限公司2保密资料远程连接虚拟桌面方案安全性分析Page2③用户接入安全④传输安全性⑥云平台可靠性⑤用户数据安全②终端可靠性①终端物理安全SSL安全隧道3保密资料概述终端物理安全保护计算机设备、设施免遭自然灾害和环境事故（如电磁污染等）以及人为操作失误及计算机犯罪行为导致的破坏优点环境安全：对系统所在环境的安全保护、防止电磁干扰、静电等灾难保护：灾难的预警、应急处理、系统及数据的恢复4保密资料概述终端安全可靠性瘦客户机整机采用嵌入式硬件方案设计整机无风扇及可拆卸配件设计用户展现形制及外设接驳端口与PC相同没有消耗性的故障及机械维护，高度可靠可直接替代PC作为VDI的访问端，支持现有各类外设接驳使用适合用户长时间、高负荷访问稳定访问优点瘦客户机的硬体稳定可靠性嵌入式硬件5保密资料终端安全可靠性瘦客户机的软体安全可靠性概述瘦客户机软件采用嵌入式软件系统方案与现有PC系统异构（如采用嵌入式Linux）支持现有VDI客户端集成可实现开机直接进入桌面的需求瘦客户机自身具备集中管理功能（如客户端版本的集中自动升级）嵌入式系统稳定免维护异构系统实现了网络环境的安全保障VDI客户端集成实现了开箱即用开机到桌面满足用户无缝集成的桌面体验客户端自动更新实现了与虚拟系统的统一优点嵌入式软件LinuxEmbedded6保密资料终端安全可靠性瘦客户机与桌面虚拟化形制比喻终端总结硬件可靠稳定免维护软件可靠安全稳定性高设备开箱即用开机直接到虚拟桌面统一集中管理机顶盒效应！7保密资料概述用户接入安全使用AD集成的用户身份验证支持密码强度/复杂性及密码周期规则可通过组策略统一或者分组进行调整身份认证（用户名/密码）优点结合企业已有的安全策略和规范实施成本和风险较低不影响用户体验及使用习惯8保密资料概述用户接入安全可选支持动态密码及智能卡登录方式进行强认证，避免传统密码丢失，被破解的风险通过智能卡来验证其计算机网络来访用户的身份。能够为证书、PIN管理和通知建立特定的策略双因素身份认证（可选）优点双因素认证极大的提高了接入的安全性和现有的双因素认证体系无缝集成支持PCoIP和RDP支持主流智能卡制造商产品、远程访问解决方案、瘦客户端和可提高工作效率的应用程序。9保密资料概述优点提高IT控制力结合现有企业安全策略不影响用户体验及使用习惯用户接入安全可以配置用于执行客户端证书处理的设置可配置的客户端设置禁用、用户选择或强制利用浏览器SSL安全模式商用和自签名证书10保密资料概述优点通过隧道加密保证了传输的安全可通过策略配置灵活启用/禁用SSL和主流SSLVPN方案无缝集成传输安全性通过SSL隧道实现传输加密使用SSL安全加密链路确保对所有连接进行完全加密智能卡用户必须使用SSLSSL安全隧道11保密资料概述优点无需重新登录减少用户中断改善用户体验传输安全性自动状态保持技术自动检测连接断开，并自动保存用户状态30秒内自动重新连接会话，并自动恢复用户状态12保密资料传输安全性通过SecurityServer提高外网桌面访问的安全性概述SecurityServer支持内外网网络连接优点将数据保留在数据中心之内，加强对数据的安全控制支持从所有端点以加密方式访问桌面简化关于桌面和数据使用的集中控制与审核的遵循工作兼容现有的所有ViewClientsecurityzones13保密资料概述数据安全性允许\禁止客户端与虚拟桌面的粘贴板复制单向复制粘贴优点通过策略灵活配置允许\禁止客户端与虚拟桌面的粘贴板复制策略可以继承或单独应用于某台计算机\池支持单向复制粘贴剪贴板控制14保密资料概述数据安全性允许\禁止USB映射USB存储只读通过策略禁用USB优点通过策略灵活配置允许\禁止USB映射策略可以继承或单独应用于某台计算机\池支持USB存储只读灵活的USB策略控制允许RW只读RW禁止RW15保密资料概述系统安全性通过更新管理服务器\配置管理服务器进行统一的虚拟化平台，虚拟机，操作系统，甚至是应用程序的补丁管理优点统一控制台进行补丁安全管理可与快照、备份等技术进行集成，确保系统故障后可以回滚确保操作系统级别安全16保密资料概述去除每个虚拟机中的防病毒代理，将防病毒的功能交给由防病毒厂商提供的安全VM处理使用虚拟机中的驱动强制实施策略和配置管理：通过UI或者RESTAPI日志记录和审计优点通过与防病毒厂商的合作分离杀毒功能提高了性能通过去除防病毒代理提高了虚拟机的性能通过去除敏感的代理和强制实施降低风险通过详细记录防病毒任务满足审计需求vShieldEndpoint为终端提供免加载防病毒处理数据安全性17保密资料数据安全性提高现有端点安全解决方案的性能和效率将AV活动转交给安全虚拟机(SVM)消除桌面代理和AV风暴支持全面桌面虚拟机保护集中管理跨多个虚拟机的AV服务，并详细记录AV活动使用vShieldEndpoint简化了AVVMPersonaAPPOSKernelBIOSVMPersonaAPPOSKernelBIOSVMPersonaAPPOSKernelBIOSSVMOSVMwarevSphereAV加强型自检概述18保密资料NICTeaming,MultipathingVMwareHighAvailability,FaultTolerance,DRSMaintenanceMode,VMotionStorageVmotion/StorageDRSSiteRecoveryManager元件服务器存储数据站点VCB+3rd-PartyBackupSolutions,vCenterDataRecovery防止因硬件故障造成的停机实现零停机的计划内维护最大限度缩短计划外停机和灾难恢复的时间可用性云平台可靠性