桌面虚拟化研究及应用
2015-10-21郭乐
郭乐
【摘要】随着信息时代的到来,桌面虚拟化已经成为了现代化信息产业中非常重要的一部分,本文首先对桌面虚拟化的相关内容进行了介绍,随后针对桌面虚拟化的研究和应用的有关内容进行了分析,并提出了在相关领域的应用,供相应的计算机和互联网行业的人员参考。
【关键词】桌面;虚拟化;研究;应用
一、前言
随着社会的发展,信息化的普及,信息化的建设实现了从无到有,从实体应用到虚拟应用的转化。虚拟化不仅仅为企业单位节省了购置新设备的开销,更为信息中心集中化管理,合理分配资源提供了坚实的基础。桌面虚拟化基于虚拟化应用平台交付和虚化框架平台的集成,依赖于服务器虚拟化。桌面虚拟化的信息安全问题,是虚拟化新技术与信息安全的交集。桌面虚拟化安全是值得探讨的一个话题,其目标是打造为企业重要信息提供可靠支撑的信息化保障体系,为企业带来更高的实际利益。
二、桌面终端安全分析
1、桌面虚拟化背景分析
桌面虚拟化是指将计算机的桌面进行虚拟化,使用户可以通过安全网络在任何设备,任何地点,任何时间远程访问属于其个人的桌面,并获得与传统 PC 机一致的用户体验。桌面虚拟化不是由本地操作系统产生的,而是由后台数据中心生成,并完成交付的工作,其拥有
集中管理、可扩展的管理、简化的部署等特性。
目前, VDI( Virtual Desktop Infrastructure) 是 桌面虚拟化的主流架构与部署方式,当前主流的虚拟桌面技术厂商,都已经确定了各自主打的桌面显示协议,如 Microsoft 的 RDP、 Citrix 的 ICA/HDX、 Red Hat 的SPICE、 VMware 的 PCoIP 等。桌面虚拟化通过统一的远程访问协议来进行桌面访问,这样的好处是显而易见的, IT 人员只需要做好其中一条防线的保护。
2、桌面虚拟化安全问题
云计算是桌面虚拟化的重要支撑,是一个 IT 基础架构的研究热点,虚拟桌面重新回收分散的桌面分布,集中到数据中心统一部署和管理,这大大方便了桌面维护工程师的工作。桌面虚拟化技术的应用大大提高了桌面的可用性,而性能也可以通過使用新的、更强大的服务器不断提高。桌面虚拟化在内网安全方面的提升很明显,例如防止数据丢失,数据备份,系统的简化等。但由于信息化的不断发展,桌面虚拟化应用随之普及,也带来了一些新的安全问题。例如 Blue pill 攻击,它通过良好的处理内核模式存储转换,使用 VMRUN 以及相关的 SVM 指令,对第三方软件进行欺骗操作,取得系统的进入许可,如使用虚拟主机进行跳板攻击,将大大威胁数据中心的整体安全。另外,资源滥用也不容忽视,个别用户的资源滥用,可导致其他桌面用户体验受影响。桌面虚拟化因用户群体关系,基本上基于 Windows系统,但 Windows 安全性的一些问题不容忽视。为解决这些问题,管理员会使用传统的杀毒软件及防火墙进行部署,但对于桌面虚拟化环境,这并没有提高效率,还可能出现严重的问题。例如,杀毒软件的不合理设置,可能导致杀毒风暴的出现,这将耗尽数据中心所有资源,导致数据中心宕机。
因此,对于数据中心的运维而言,迫切需要一套新的运维方式和技术手段去保障系统的稳定和安全。
三、桌面虚拟化优势
任何新技术都有其特有的优势,桌面虚拟化也不例外,以下我们对桌面虚拟化的优势进行分析。
1、高可用性
桌面虚拟化可以客户机为粒度进行封装,可以方便地实现快照( snapshot)、 克 隆( clone)、 迁 移( migration)、 挂 起( suspend)和 恢 复( re-sume)。从而大大提供系统高可用性和可维护性。利用以上的功能封装,有助于减少数据备份和恢复过程的代价。在虚拟化环境中通过快照、 克隆、 迁移等方式进行虚拟机的快速恢复,比传统的操作系统安装、 环境配置、 重新配置应用、 再恢复数据等繁琐的步骤简单高效。从而减少宕机时间,减少业务中断带来的风险,增加业务连续性、 提高服务水平和信誉度。
2、提高资源使用率
针对桌面应用,大多为清负载应用,且热点较少。利用桌面虚拟化,可使多台客户机在虚拟化平台的统一调度下,共享硬件资源,并交替忙闲运行,可以极大提高硬件资源的使用效率,同时降低对硬件的整体投资,还能整体降低系统运营费用(空间、 电力和散热等)。
3、隔离
客户机是运行在虚拟化平台之上的一个独立实例,因此一个客户机的故障不会影响到另外一个客户机的运行。而物理主机和客户机之间、客户机之问无法直接通信。尽管多个操作系统运行一台物理机器上,共享使用外设和网络,但他们之间通信更类似于网络中松散耦合的节点。
4、抽象
由于虚拟化平台的存在,客户机并不感知硬件的差别,可以自由的在不同的硬件上方面的迁移,屏蔽了硬件的多样性和复杂性,便于系统的开发,同时能够方便服务的提供和部署。
四、桌面虚拟化后期研发和应用
1、加强用户身份认证与访问控制
为保障用户接入的安全,虚拟化桌面系统需具备更加严格的终端身份认证机制,需支持丰富的认证、 鉴权模式。同时,桌面虚拟化系统支持用户通过瘦终端、 物理 PC 等,采用外接智能卡方式,实现用户远程接入的身份认证。
需要在虚拟机的内部和外部建立完善的权限和访问控制机制,提供细化的访问控制粒度,以适应虚拟资源类型、 用户角色和访问控制协议。同时进一步保证每个虚拟机的权限和资源访问能力,建立基于虚拟机的程序控制列表,使得每台虚拟化桌面可以访问不同的应用程序,可以获得不同的虚拟化桌面。
2、实现传输通道的安全保护
传输通道的安全保护主要从设备间通信、远程介入以及迁移安全这几个方面进行。首先虚拟化桌面和服务端的通讯可以通过 SSL 协议进行传输加密,确保整体传输过程中的安全性;其次为远程接入设备提供安全连接点,为防火墙保护以外的设备远程接入;针对迁移可以通过硬件建立虚拟桌面的加密传输通道,保证系统在迁移的过程中不会被复制。
3、提高数据集中存储的安全性
桌面虚拟化技术中对集中存储的保护是最重要的部分,一旦集中存储遭到破坏,整个虚拟架构就会受到严重的影响。在虚拟桌面的环境中,一般采用专业的加密设备进行加密存储的方式,并且为了满足合规范的要求,加密算法应当可以由用户指定。
虚拟化桌面系统盘支持差分模式和独立运行模式,差分模式允许用户在共享系统盘的基础上,保留自己的私有数据,包括应用和系统数据;独立运行模式不允许用户修改系统盘,所有的修改在虚拟桌面重启后均会丢失。任何人员(包括管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息。
五、结束语
综上所述,本文针对桌面虚拟化的研究的有关内容进行了分析,在此基础上分析了目前桌面虚拟化的研究热点,关于信息安全的有关问题进行了分析,最后提出了相应安全策略方案,供相关的信息技术人员参考。
参考文献
[1] 徐浩, 兰雨晴. 基于SPICE协议的桌面虚拟化技术研究与改进方案[J]. 计算机工程与科学, 2013, 第12期:20-25.
[2] 李春榆. 浅析基于VMare ACE的桌面虚拟化在企业中的应用[J]. 电脑知识与技术, 2014, 06期.
[3] 马文杰. 桌面虚拟化技术在高校数字化校园中的研究与应用[J]. 凯里学院学报, 2014, 第6期:95-97.
[4] 黄健, 阮灿华, 舒兆港. 探索桌面虚拟化在全国计算机等级考试中的应用[J]. 实验技术与管理, 2014, 第3期:118-121.