2017年5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件(“永恒之蓝”勒索蠕虫病毒)感染事件。用户只要开机上网就可能被攻击,并且被要求支付赎金后才能解密恢复计算机中的文件。几小时内,包括英国、俄罗斯、整个欧洲以及国内的多个高校、大型企业和政府机构都遭到攻击。此次勒索病毒的覆盖范围非常广,遍布世界各地,可以说是近十年来影响最大的一次信息安全事件。
虽然微软以及其他各大安全公司已经紧急发布了操作系统补丁,并且提供关闭服务端口等应急处理方法,帮助大家暂时度过这场危机。但关乎到企业和个人的信息安全保卫战,并没有就此结束,而是刚刚开始,一大波安全风险正在袭来。
为什么中招的总是你——从企业桌面办公环境谈安全
尽管关于信息安全的话题未曾被大家忘记过,但也很少被人们提起。能够精心规划构建安全办公及学习环境的企业或个人就更少了。当然,这其中有安全意识不足的原因,也有技术复杂、成本较高的困扰。今天,我们就从企业桌面办公环境谈起,和大家一起探讨如何去构建安全有效的企业工作空间,从而保障信息安全,助力业务发展。
企业现有办公桌面多采用硬耦合架构的传统PC机桌面,实际应用过程中,需要在每台PC上安装业务软件、程序客户端,且所有数据均保存到各个PC上。很难实现对PC的集中维护与管理,无法对数据进行集中存储与备份,PC机办公环境面临着多方面的挑战。
PC架构下的安全管理任务,也是十分地复杂与繁重,企业IT管理员需要兼顾到设备硬件、接口和外设、操作系统、应用软件、业务数据、业务网络等各个方面。
业务数据存储到员工终端计算机的同时,企业的信息安全边界也在被扩大,而恰好企业对于用户终端的安全管控能力又很薄弱,这就大大增加了安全风险。因此,包括客户资料、设计文档、产品代码等在内的企业重要信息资产应当保存在企业数据中心内,予以充分地保护。
从源头解决问题——架构安全才是真的安全
当今时代,随着信息化程度的不断提高,信息资产、信息技术及信息系统对企业业务发展的影响越来越重要。随着信息安全环境变得越来越复杂,企业不能再采用“救火”式的安全防护措施,总是在事后弥补,加大信息安全投入、提前规划和构建安全的企业办公环境十分必要。
各种安全方案中,架构安全无疑是最佳选择。好的IT架构能够帮助企业从根本上解决信息化建设过程中遇到的各种问题,从而降低信息安全风险,甚至是合理规避病毒、恶意软件的非法攻击侵害行为。达沃时代推出的基于超融合架构的云桌面、企业云盘及容灾备份方案,就能帮助企业合理应对在工作空间、信息资产安全方面可能遇到的各种挑战。
云桌面提供了用户到应用以及到桌面的端到端的解决方案,从而实现对应用软件、桌面环境、用户数据的统一管理。并将任意应用、桌面、数据交付给任意用户,具备性能佳、安全性高、成本低、灵活性强等诸多优势。云桌面的设计从安全性出发,提供安全的桌面接入访问方式,桌面环境、应用程序、数据均集中运行在数据中心服务器上,保证数据“不落地”。企业员工无需投入太多的学习和使用成本,延用原有操作习惯和使用方式,即可升级为安全、便捷、可靠的新型工作空间。基于超融合平台的云桌面解决方案,将数据中心转变成“交付中心”。
地基最关键——超融合架构加码云桌面安全
达沃时代基于超融合架构的云桌面、企业云盘及容灾备份方案中,涵盖了超融合技术、云计算管理、桌面和应用虚拟化、企业网盘、容灾备份平台等多项关键技术。采用超融合平台,在标准的x86服务器上集成企业级虚拟化平台和企业级分布式存储系统,通过标准的万兆以太网连接多台服务器的本地硬盘,提供高性能、大容量的块存储与文件存储服务,以多副本机制结合掉电保护技术充分保障数据的安全可靠,基于超融合架构的云桌面方案集成度高、可靠性好、管理简单。
基于超融合架构的云桌面有多种部署方式,具体可根据企业实际情况和应用场景制定专属的云桌面架构,从而满足企业在产品研发、工程生产、图形设计、代码测试、职能办公、移动办公、服务外包、远程演示、会议展示等各种场景的使用需求。在云桌面系统架构设计和实施部署中,通常采用分区域隔离的方式,根据桌面办公环境的数据重要性将云桌面划分到不同的区域,分别实施相应的管控措施,在安全性要求非常严格的场景中,实施物理隔离,充分保障数据安全。
360度无死角——云桌面为客户建立多层级安全保护
云桌面方案之所以适用于构建安全高效的企业工作空间,是因为其主要技术特性提供了增强系统安全和数据安全的基础架构。并从用户终端安全、接入和验证安全、会话安全、桌面系统安全、用户数据安全、交付架构安全等多个层级实施安全保护措施。
用户终端不存储任何企业数据,只是作为显示和输入输出终端。由于用户终端仅作为展示设备,即使终端故障或终端感染病毒也不会影响办公桌面环境的使用,通过更换或重置终端即可快速处理问题,恢复正常工作。
通过部署接入网关使云桌面网络驻留在企业内网,先进的加密方式及基于策略的访问控制技术,让用户以最安全的方式随时随地访问云桌面。身份认证功能可集成Windows域认证、可使用USB Key等第三方认证平台或者应用多因素身份验证。
云桌面的会话安全由远程桌面协议自身的安全特性保障,网络中的桌面会话只传输屏幕图像更新、鼠标点击、键盘按键等信息,并非实际数据,从根本上保障系统和数据的安全。
在云桌面的系统维护过程中,通过安全修补程序更新虚拟机模板,并将更新后的模板应用到各个桌面系统,使环境中的所有计算机始终保持最新状态,重启云桌面后完成系统重置,从而有效地隔离了病毒、木马等威胁。
我们知道,传统的病毒防护方案都是将杀毒软件安装到计算机的操作系统中。执行定期扫描任务或更新病毒库时,会消耗大量的系统资源,占用很多带宽。这在虚拟化环境中可能引起“杀毒风暴”,导致服务器资源耗尽宕机。传统的网络安全方案更注重于“内外网”的南北向防护,无法防御来自虚拟化平台内部的安全威胁。所以,虚拟机之间的隔离也是必须要考虑的。
关于虚拟化环境,需提供无边界无代理的安全解决方案,在虚拟化平台上直接集成安全防护产品。通过入侵检测/入侵防护、无代理病毒防护、防火墙、深度包检测、应用控制及可视化等功能,实现对主机和虚拟机的全面防护,并满足信息系统合规性审计的要求。
不止云桌面——集成企业网盘和数据备份为数据安全保驾护航
通过应用达沃时代企业网盘,可实现在数据中心内集中保存应用数据和用户数据。通过统一的身份认证、细粒度权限控制及操作行为审计,可防止数据丢失,有效保护企业知识产权和个人敏感信息。
在已有的安全保障体系下,增加容灾备份方案,实现虚拟服务器本地/异地冷备份、服务器高可用、服务器主备双机等多种冗余机制。通过配置备份计划,定时将数据文件、虚拟机文件上传到备份恢复平台,当服务器或数据发生损坏时,立即恢复数据或系统。定期进行容灾演练,对备份系统的恢复能力进行测试,降低系统发生故障时备份数据无法恢复的风险。也可以构建互备双活数据中心或将数据备份到云端。
世界可以更简单——无处不在的云桌面应用
采用基于超融合架构的云桌面解决方案,可以加速实现办公移动化,随时随地接入云桌面提高员工工作生产率;加速实现BYOD,减少企业对计算机等固定资产的投资,也利于员工选择喜欢的设备办公,提高工作积极性。通过统一的部署和维护方案,降低应用和桌面的管理成本及管理复杂性;实现对数据和应用的集中管控、分析,有效保护企业信息资产安全。从企业信息安全建设的角度看,基于超融合架构的云桌面、企业云盘和容灾备份方案在技术架构、管理维护、建设成本等诸多方面都具有明显优势。
结语
安全永远是相对而言的,不存在绝对的安全。面对未知的安全威胁,一方面要通过增强安全意识,来降低安全风险;另一方面要主动防御,采取积极有效的措施。选择一个合理的安全架构,能够起到事半功倍的作用,所以,是时候考虑部署基于超融合架构的云桌面了。