桌面虚拟化安全性分析与建设方案

2014-11-18骆书剑胡春潮王凌宇

电气技术 2014年11期

骆书剑胡春潮颜仪王凌宇

（广东电网公司电力科学研究院，广东省智能电网新技术企业重点实验室，广州 510080）

近几年以来，随着信息化在电力行业的推进，信息化成果对电力业务的发展产生了巨大的推动作用，越来越多的业务系统投入应用，同时用户终端接入网络的需求也越来越大。目前，广东电网公司桌面终端以全功能PC为主，为实现终端安全管控，需要对终端统一进行安全配置，接入网络前需要终端运维人员提前安装操作系统、安全软件、桌面管理软件、办公软件和各种应用客户端软件。终端接入网络后，终端维护的工作量相对较大，系统及数据的安全性难以得到保证。

为了解决办公终端维护工作量大、安全性难以保障的问题，迫切需要寻求一种新的解决方案，这种方案首先应该满足电网对于数据安全性的要求，具有极高的安全性，其次需要能够满足广东电网公司用户办公应用需求，最后需要能够显著降低终端维护工作的强度，提供维护工作效率[1]。随着虚拟化技术的发展与逐步成熟，桌面虚拟化技术提出了一种新的解决思路，本文对桌面虚拟化技术进行了介绍，以思杰桌面虚拟化解决方案为例进行安全性分析并探讨了一个完整的桌面虚拟化建设实施方案。该方案根据用户规模提出了硬件平台选择原则，保障了整体系统性能。同时，根据安全需求提出了一系列安全管控措施，进一步增强了桌面虚拟化应用的安全性。

1 桌面虚拟化介绍

桌面虚拟化是指将计算机的桌面进行虚拟化，以达到桌面使用的安全性和灵活性，可以通过多种设备，在不同地点便捷地访问用户个人桌面系统。它构建了一个与硬件无关的用户桌面计算环境，通过对虚拟桌面进行集中的运行维护、管理控制，实现具有高安全性、高可用性和低管理维护成本的桌面终端系统[2-3]。

完整的桌面虚拟化技术发展包括三个阶段：首先要实现客户端操作系统的虚拟化，即实现操作系统和硬件的隔离，同时允许虚拟操作系统同移动存储设备进行转移；二是要实现虚拟桌面的网络化、集中化应用。集中化管理的虚拟桌面操作系统存储在网络上，用户可以在任何时间和任何地点通过网络及任何物理机器访问具有体色的用户个人桌面；三是要实现桌面虚拟化的简化与可用化，实现更为简化、安全和高效的管理，使得用户的虚拟计算环境规范有序。

经过大量的研究，桌面虚拟化的实施具有如下优势[4]。

1）数据集中保护带来的安全性

对于企业来讲，安全性始终是数据管理的首要要求。在常规的使用 PC终端的工作场景下，为了保障数据安全，需要采取措施保障PC的物理安全。与之对应，在桌面虚拟化的应用环境下，用户终端仅发挥登录和操作显示的功能，所有的数据（包括敏感数据）均在服务器端进行操作和保存，降低了对终端数据保护的安全压力，杜绝了终端设备安全可能带来的数据失窃风险。

2）桌面集中管理带来的可控性

用户所使用的虚拟桌面和虚拟工作空间是根据服务器中设置的操作系统、应用程序和用户配置文件的拷贝动态创建的。所有用户使用的虚拟桌面中的软件均由网络管理中心统一创建的，能够保证终端用户所使用的软件都是安全可控的。同时网络管理人员拥有终端配置的权利和责任，减少用户自行配置的机率，减少IT环境中的不确定性因素。

3）桌面虚拟化带来的终端运维便捷性

桌面虚拟化依赖于服务器虚拟化，在数据中心的服务器上生成大量的独立的虚拟化，并通过专有的虚拟桌面协议发送给终端设备，显著降低了终端设备部署的工作量，增加了部署的便捷性。同时在日常运维工作中，网络管理人员可直接在数据中心的服务器上对虚拟桌面进行维护，仅在终端出现硬件故障时才需对用户终端进行现场维护，有效提高了终端运维的效率。

2 桌面虚拟化安全性分析

2.1 桌面虚拟化安全体系

目前，主流的桌面虚拟化解决方案有思杰公司的Xendesktop产品、VMware公司的Horizon View产品以及微软公司的MED-v产品。其中思杰在应用虚拟化市场处于领先，其Xendesktop桌面虚拟化产品在桌面远程访问的效率和外设的广泛支持上具有一定的优势。本文以Xendesktop产品对桌面虚拟化进行的研究与讨论。

Citrix采用独立计算体系结构ICA（Independent Computing Architecture），由一套服务器软件、网络协议组件和客户端软件组成。在服务器端，ICA协议将应用逻辑从用户界面中分离出来,保证应用软件在服务器端100%运行和计算。在用户端，通过标准的协议将用户界面以及键盘、鼠标动作和屏幕的更新信息传递到Citrix服务器上。其具体运行流程如图1所示。

图1 用户使用虚拟桌面的流程

1）用户登录Web浏览器通过位于Web服务器的Web Interface进行身份验证。

2）Web服务器读取用户的凭据，然后将信息转发给服务器场中的服务器上的Citrix XML Service。指定服务器将充当Web服务器和场中其他服务器之间的代理。

3）指定服务器上的Citrix XML Service从服务器检索用户可以访问的资源列表。这些资源组成了用户的资源集。

4）然后，Citrix XML Service将用户的资源集信息返回至该服务器上运行的Web Interface。

5）用户单击HTML页上代表资源的图标。

6）联系Citrix XML Service，在场中找到最空闲的服务器。Citrix XML Service确定最空闲的服务器，并将该服务器的地址返回至Web Interface。

7）Web Interface与Citrix客户端进行通信。

8）Citrix客户端根据Web Interface所提供的连接信息启动与 Citrix服务器的会话，获取虚拟桌面资源。

2.2 桌面虚拟化安全性分析

桌面虚拟化原理是将数据集中管理，用户在通过身份验证后可以对其进行操作访问，但是不在本地终端存储数据[5]。一套完整的安全计划必须在资源交付过程的各个环节为数据提供保护，思杰桌面虚拟化在身份验证、资源分配与资源交付三个环节均采用安全技术有效保障了整个系统的安全性。

1）身份验证阶段

如2.1节所述，Web Interface是用户身份验证阶段重要的中间组件，为确保 Web 服务器与浏览器Web Interface组件之间的通信安全，可以采取多种安全措施。目前最先采用的是实施安全Web服务器和浏览器，依靠 SSL/TLS（Secure Socket Layer/Transport Layer Security，安全套接字层/传输层安全协议）技术确保Web通信的安全。

当用户通过浏览器进行虚拟桌面登录时，浏览器首先会根据受信任的证书颁发机构的列表，检查该服务器的证书来对其进行身份验证。通过身份验证后，浏览器将对用户页面请求进行加密，并相应对Web服务器返回的文档进行解密。SSL/TLS身份验证与加密会创建一个安全连接，用户可以通过此连接传递登录屏幕上发布的凭据，在身份验证的通信过程中，从Web服务器发送的数据（包括凭据、会话 Cookie和HTML资源集页面）都是安全的，同时TLS或SSL消息完整性检查可以确保数据在传输时不会被非法篡改。

2）资源分配阶段

在用户身份验证完毕后，Web Interface服务器将向 Citrix服务器请求分配可用资源，可通过实施以下安全措施来保障在Web Interface服务器和服务器场之间发送的XML通信的安全：①Web Interface服务器和服务器场之间安装安全中介组件 SSL Relay。SSL Relay可为TCP/IP连接提供服务器身份验证、数据加密和消息完整性；②在不支持 SSL Relay的部署中，在XenDesktop的服务器上直接安装Web Interface组件；③使用HTTPS协议等加密方式发送Web Interface数据。

3）资源交付阶段

在完成资源分配后，客户端将直接与 Citrix服务器进行ICA通信，默认情况下，所有ICA通信的加密级别均设置为Basic ICA等级。Basic ICA等级下，对客户端与服务器之间的通信进行基础级别的模糊处理，未进行行业标准加密与数据完整性检查。在具体应用中，为保障客户端与服务器通信的安全性，将会通过Secure ICA或添加SSL/TLS加密两种方式来进行安全加密。

Secure ICA增加ICA协议加密级别来防止以明文形式发送会话数据，支持128位加密，但不执行身份验证。相比之下，SSL/TLS除支持128位加密外，还支持对服务器的身份进行验证，确保会话数据具有保密性、完整性并通过身份验证，保护用户免受内部的和外部的威胁。

2.3 桌面虚拟化建设的信息安全需求分析

随着国家对信息安全的关注，各信息系统的建设中对于信息安全的要求也愈加重视，对桌面虚拟化建设的安全性提出了较高的要求。桌面虚拟化建设需要关注的信息安全要点主要有以下几点。

1）身份认证

用户进行身份鉴别认证是防止非法入侵最基本的一种保护措施。应用系统应提供专用的登录控制模块对用户身份的合法性进行核实，保证只有通过身份验证的合法用户才能在系统内进行操作。

同时身份认证应该提供用户标识唯一检查功能，保证应用系统中不存在重复用户身份标识，为实现对每一个用户的行为进行审计做基础。

2）安全审计

如何有效监控用户访问行为和敏感信息传播，准确掌握信息系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，这些都是企业迫切需要解决的问题[6]。信息安全审计是企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。安全审计功能应覆盖到每个用户，对系统的所有用户的重要操作（如用户登录和重要业务操作等）进行审计，并对系统异常等事件进行审计。

3）恶意代码防范

无论是信息系统还是网络设备，都面临这木马、蠕虫等病毒软件的破坏。桌面虚拟化应用于企业环境，必须做好恶意代码防范措施，预防企业信息的泄漏。

3 桌面虚拟化建设方案实施

从桌面虚拟化建设的应用需求与安全性需求出发，在Xendesktop解决方案的现有安全基础上进一步提升安全性，本文提出了一套桌面虚拟化建设方案，对用户登录虚拟桌面进行重点管控。

3.1 硬件平台配置

硬件服务器上需要运行多个虚拟机，系统负担较重，需要从CPU、内存及存储三个方面考虑硬件平台的配置，本文以50个虚拟桌面的规模为例进行建设方案的探讨。

1）CPU与内存选择

在桌面虚拟化的平台中，不仅是管理服务器需要占用硬件平台的CPU资源，所有虚拟桌面上的操作及程序运行都由硬件平台的CPU来执行，因此在CPU及内存容量的选择上必须经过严格计算，同时留有冗余空间。此外为进一步提升整个系统的运行效率，应选取具备辅助虚拟化功能的CPU。综合以上考虑，目前常用的选择为Intel公司Xeon处理器，内存容量根据虚拟桌面个数进行对应计算。按照目前正常办公需求，每个虚拟桌面分配 4G内存、双核CPU即可满足正常办公应用。考虑到性能冗余需求，因此50个虚拟桌面的规模，服务器具体配置选定为256GB DDR3-1333内存，4路10核Intel Xeon处理器。

2）磁盘子系统

虚拟机的硬盘对于硬件服务器是以文件方式而存在，虚拟机的读写最终会转换为服务器的 I/O动作，如果服务器的磁盘子系统吞吐能力无法满足要求，将会成为整个虚拟化平台的瓶颈。因此必须选择并发读写性能较好的硬盘，并且组成磁盘阵列提升磁盘子系统的读写速度与数据存储的安全可靠性。正常办公环境下，每个虚拟桌面至少需要分配50GB磁盘空间，同时考虑到硬件服务器系统本身的存储需求，50个虚拟桌面规模的存储选择6TB空间，采用10块600GB 15000转SAS硬盘，组成Raid。

3.2 桌面虚拟化平台基础构架

根据思杰桌面虚拟化解决方案的原理，其平台基础架构示意图如图2所示。

硬件服务器为实体物理机，在物理服务器采用服务器虚拟化平台来管理各种虚拟服务器。虚拟服务器主要分为三组，桌面交付架构包括两个 DDC（Desktop Delivery Controller，虚拟桌面控制器）虚拟机，实现对用户的身份验证传递、桌面资源分配等功能，即将用户验证信息转发至域控制器进行身份验证，同时根据验证信息分配资源池中的虚拟桌面至相应用户；基础架构包括了域控制器、数据库服务器等基础应用虚拟机，域控制器完成对域环境下用户身份验证与管理，数据库服务器主要用于系统运行过程中产生的数据的存储；资源池包括可供用户使用的 100个虚拟机，该虚拟机上运行Windows 7操作系统，根据用户办公需求安装OA、Office等应用程序，可根据用户使用保存不同用户的配置文件。

图2 平台基础架构示意图

前端终端机可根据企业应用情况采购专用瘦客户端或者将旧台式机进行改装使用。终端机仅作为桌面虚拟化的登录入口，一般可利用客户端或者浏览器的方式连接到虚拟桌面资源池，所有的操作与计算均在硬件服务器上进行，终端机上将不会保存关键数据。

3.3 安全管控措施建设

桌面虚拟化应用场景下，用户需要通过终端登录获取虚拟桌面，在对终端及用户的管理上将涉及到两个桌面，即登录终端的本地桌面和虚拟桌面，必须对两个桌面进行严格区分，全面管控。本文从身份验证、域控管理、病毒防护、安全审计等几个方面提出适用于桌面虚拟化环境下的安全管控措施。

1）身份验证

每个登录虚拟桌面的终端都采用智能卡身份验证方式。智能卡的身份验证及验证用户持有的硬件凭证，有能够验证用户所掌握的密码（智能卡 PIN码）。用户将智能卡插入智能卡读卡器中，智能卡中的证书会注册到登录终端上的本地证书中，接着接受AD域服务器对该用户的身份验证，完成终端登录。该智能卡不仅需要完成登录终端的身份验证，同样需要完成虚拟桌面的身份验证，桌面虚拟化的服务器同样能够根据该证书完成用户身份验证，并按照需求分配虚拟桌面给该认证用户。

2）病毒防护

不同的虚拟桌面发布方式下，可以采用不同的病毒防护措施，本文提出随机池的桌面虚拟化环境下近期和中长期病毒防护措施。在实施桌面虚拟化的初期阶段，从两方面进行病毒防护，首先终端开启磁盘写保护，在登录终端上不存储任何数据，终端重启后将恢复默认设置；其次，考虑到病毒防护软件的授权成本，在虚拟桌面上可直接使用企业授权版病毒防护软件，一般企业均已事先采购企业版病毒防护软件，重复利用能够避免增加桌面虚拟化项目实施的费用成本。这种措施采用了传统的病毒防护方法，将虚拟桌面看作普通终端桌面进行安全防护，在桌面虚拟化建设的初期阶段可以作为临时解决方案。在中长期阶段，将第一种方案逐步过渡到桌面虚拟化专用防病毒解决方案，虚拟桌面的本质是运行在硬件服务器上的一个虚拟机，结合虚拟桌面的本质，通过部署针对桌面虚拟化的病毒防护软件，将防病毒代理服务器以虚拟机形式安装在硬件服务器上，通过扫描服务器的内存保证无病毒入侵。

3）安全审计

对虚拟桌面的审计最简单的方法是利用操作系统自带的日志记录功能，或者使用具有安全审计功能的第三方工具或系统。由于到本文采用随机桌面的模式，用户退出虚拟桌面后，虚拟桌面将重置，因此利用虚拟桌面的操作系统自带日志进行安全审计的方案可行性较差。本文推荐使用桌面管理系统对虚拟桌面进行集中管理，由系统管理员统一在虚拟桌面模版中安装桌面管理系统，当发布的虚拟桌面分配给每个用户后，桌面管理系统在虚拟桌面后台对该登录用户的所有行为进行审计，根据审计要求，包括实现网络访问审计、移动存储使用审计、文档打印审计、网络共享文件输出审计、用户权限审计、共享文件审计、文件保护审计等。