在云桌面時(shí)代，只要一臺(tái)顯示器和可以連接網(wǎng)絡(luò)的設(shè)備，插上網(wǎng)線，就可以得到一個(gè)云桌面服務(wù)提供商的桌面。對(duì)于企業(yè)員工和IT管理人員來說，初期購(gòu)買的花費(fèi)、安裝軟件、復(fù)雜的配置、經(jīng)常需要打補(bǔ)丁、安裝殺毒軟件等等煩惱都沒有了。但是，安全問題仍然不可避免：我的桌面安全嗎？我的數(shù)據(jù)會(huì)被人竊取嗎？我可以隨時(shí)使用我的桌面嗎？我的數(shù)據(jù)都保存在一個(gè)集中的地方會(huì)不會(huì)有很大的風(fēng)險(xiǎn)？……如何保證云桌面的安全？本文將重點(diǎn)討論。

　　如圖1所示，云桌面通常包括以下幾部分。

　　圖1 云桌面組成示意

• 訪問層，包括各種可以訪問云桌面的終端設(shè)備，可以是特定的瘦終端，也可以是傳統(tǒng)的PC電腦，筆記本電腦，手機(jī)等。
• 接入層，由虛擬桌面鏈接協(xié)議和網(wǎng)絡(luò)設(shè)備組成，網(wǎng)絡(luò)設(shè)備可以是透明的，通過交換機(jī)/路由器IP可達(dá)即可，也可以通過防火墻/VPN來增強(qiáng)傳輸安全性。
• 數(shù)據(jù)中心中有控制層和應(yīng)用層等軟件系統(tǒng)層，以及H3C CAS虛擬化管理平臺(tái)搭建的服務(wù)器虛擬化層，軟件系統(tǒng)方面的安全和穩(wěn)定性是構(gòu)造安全的云桌面系統(tǒng)的關(guān)鍵。此外在數(shù)據(jù)中心還有服務(wù)器，存儲(chǔ)，網(wǎng)絡(luò)設(shè)備組成的硬件平臺(tái)。

　　可見，構(gòu)造一個(gè)安全的云桌面系統(tǒng)需要通盤考慮，才能建立一個(gè)完整的安全防護(hù)體系架構(gòu)。忽略整個(gè)系統(tǒng)任何一個(gè)小的方面，都可能導(dǎo)致整個(gè)系統(tǒng)的不安全。

　　1. 訪問層安全

　　云桌面系統(tǒng)，所有計(jì)算和和數(shù)據(jù)的存儲(chǔ)都是在云端，客戶端不保存用戶的數(shù)據(jù)，在客戶端和（后臺(tái)）云端通信時(shí)，傳輸?shù)膬H僅是位圖的變化，并沒有實(shí)際用戶的數(shù)據(jù)傳遞到客戶端，所以不用擔(dān)心數(shù)據(jù)在從服務(wù)器端傳遞的過程中被竊取。

　　云桌面可以提供細(xì)粒度的訪問控制，可以通過安全策略開放或者關(guān)閉 USB 、打印機(jī)端口等；同時(shí)USB 端口可以分等級(jí)控制：保證連接在上面的掃描儀、智能卡等可以正常使用，但是禁止使用大容量存儲(chǔ)盤，即確保敏感數(shù)據(jù)不會(huì)通過U盤泄露出去，又保證了業(yè)務(wù)的正常進(jìn)行。

　　此外，云桌面系統(tǒng)還可以提供細(xì)粒度的文件復(fù)制黏貼控制，可以單向禁止從云中拷貝內(nèi)容至原生操作系統(tǒng)上，保障企業(yè)業(yè)務(wù)數(shù)據(jù)安全；反方向禁止拷貝亦然，防止不安全文件在云中擴(kuò)散。

　　2. 接入層安全

　　為了防止有竊密者通過非法獲取別人的用戶名和密碼，或者使用自己的用戶名密碼在安全區(qū)域外通過任何一臺(tái)瘦客戶端來訪問云桌面，需要添加另外一種認(rèn)證方式。這種認(rèn)證方式可以是在交換機(jī)上開啟802.1X認(rèn)證，使得只有規(guī)定MAC的終端在規(guī)定端口上才能接入網(wǎng)絡(luò)，非規(guī)定終端無法連入，充分保證接入網(wǎng)絡(luò)的安全性，保障企業(yè)核心數(shù)據(jù)區(qū)。此外，如果將終端MAC和用戶賬號(hào)綁定，可以防止其他人使用非規(guī)定賬號(hào)接入云桌面中。再通過智能卡配合認(rèn)證，可以防止賬號(hào)被隨意使用，實(shí)現(xiàn)人與賬號(hào)的綁定。

　　客戶端和服務(wù)器之間的通信由于是通過網(wǎng)絡(luò)上傳播，所以有可能被人竊聽、破解，來破壞數(shù)據(jù)的完整性。為了防范這種情況的出現(xiàn)，一種方法是采用專有網(wǎng)絡(luò)方案，即搭建專網(wǎng)，設(shè)立防火墻并建立安全域。這樣可以確保網(wǎng)絡(luò)中的客戶都是可信任客戶最終保障數(shù)據(jù)傳輸安全。另一種方式是對(duì)通信的數(shù)據(jù)進(jìn)行加密。在云桌面方案中一般對(duì)于公司防火墻外的非信任用戶提供安全連接點(diǎn)，外部用戶通過這個(gè)安全連接點(diǎn)連接到防火墻內(nèi)的服務(wù)器，這種安全連接點(diǎn)的方式可以是 SSL VPN，也可以是L2TP、PPTP這樣的二層隧道。對(duì)于公司防火墻內(nèi)部的用戶和服務(wù)器之間的連接，一般是通過 SSL 協(xié)議進(jìn)行加密傳輸。通過這兩種方式，云桌面方案有效的保證了數(shù)據(jù)傳輸?shù)陌踩�性�?/p>

　　3. 虛擬桌面鏡像安全

　　虛擬桌面鏡像技術(shù)是虛擬桌面的核心技術(shù)之一。使用虛擬桌面鏡像可以將桌面配置成浮動(dòng)桌面池，這樣只需要重啟桌面，桌面就可以自動(dòng)恢復(fù)到未受病毒感染時(shí)的狀態(tài)（初始鏡像） , 而用戶身份數(shù)據(jù)保存在云端，不會(huì)受到病毒的影響。但是如果用戶有私有文件，或是使用自動(dòng)/手動(dòng)桌面池的話，由于這些文件是可寫的，病毒就可能常駐在這些文件里面。如果貿(mào)然通過初始鏡像還原，可能造成用戶數(shù)據(jù)的丟失。使用備份鏡像還原則可能造成病毒的再擴(kuò)散。因此防病毒軟件必不可少。我們需要運(yùn)行反病毒軟件來清理病毒，必須給云桌面中的桌面安裝防火墻和防病毒軟件，和傳統(tǒng)桌面相比，這種安裝非常快，一般只需要在幾個(gè)初始鏡像上進(jìn)行安裝就可以了。

　　傳統(tǒng)的桌面操作系統(tǒng)也通常受到各種漏洞的侵?jǐn)_，比如最常使用的Windows XP操作系統(tǒng)漏洞多達(dá)萬余個(gè)，需要及時(shí)安裝官方補(bǔ)丁來修補(bǔ)漏洞，防止惡意軟件利用操作系統(tǒng)漏洞侵入。云桌面系統(tǒng)可以批量分發(fā)，安裝補(bǔ)丁，并根據(jù)需求優(yōu)先安裝指定補(bǔ)丁，十分便于運(yùn)維，并大幅提高終端安全性。

　　4. 數(shù)據(jù)中心硬件安全

　　和通常的數(shù)據(jù)中心的服務(wù)器一樣，云桌面方案中的服務(wù)器也必須遵循企業(yè)一般的安全策略，如關(guān)閉所有的不需要的端口，安裝必須的防火墻以及升級(jí)到最新的安全補(bǔ)丁，每天進(jìn)行備份，部署監(jiān)控軟件等等。云桌面中的存儲(chǔ)的安全要求和企業(yè)中的其他存儲(chǔ)安全基本上是一樣的。最常用的存儲(chǔ)安全方式是在 FC 的路由器做分區(qū)和邏輯單元數(shù)掩碼。

　　5. 管理權(quán)限安全

　　在傳統(tǒng)桌面中，用戶數(shù)據(jù)都是保存在本地的硬盤當(dāng)中，非授權(quán)用戶未經(jīng)許可，難以獲取用戶數(shù)據(jù)。但是在云桌面方案中，用戶數(shù)據(jù)都是保存在服務(wù)器存儲(chǔ)中，云桌面管理員可以比較容易的獲取這些數(shù)據(jù)，這就要求對(duì)用戶數(shù)據(jù)加密，防止未經(jīng)授權(quán)的獲取用戶數(shù)據(jù)，同時(shí)對(duì)管理員的密碼和訪問都需要做出嚴(yán)格的限制，防止用戶數(shù)據(jù)的泄密。

　　云桌面系統(tǒng)中所有的管理都集中到云端進(jìn)行，不小心的誤操作或者黑客獲得管理權(quán)限之后的有意操作會(huì)造成很大的影響，影響的大小取決于操作的類型和總的用戶的數(shù)量，所以在云桌面系統(tǒng)中可以采取以下兩種措施來消除這種影響。

• 定義不同的管理角色。例如分為維護(hù)管理員，組織管理員和超級(jí)管理員，可以根據(jù)實(shí)際需要來進(jìn)行更細(xì)粒度的劃分。
• 審計(jì)。對(duì)每個(gè)涉及到系統(tǒng)變更的操作都需要做好審計(jì)工作，這樣在事故發(fā)生以后可以追溯系統(tǒng)中的變化。審計(jì)也能有理由識(shí)別出惡意操作，及時(shí)發(fā)現(xiàn)系統(tǒng)的漏洞。

　　6. 結(jié)束語

　　通過在前端、網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、軟件架構(gòu)、管理權(quán)限等各個(gè)方面實(shí)施安全措施，我們可以搭建一個(gè)安全可靠的云桌面系統(tǒng)，解決最困擾IT管理人員的終端安全問題，讓大家一起享受云計(jì)算帶來的好處。