基于云桌面實現(xiàn)網(wǎng)絡(luò)安全隔離的應用

駱 慧 勇

(中國人民銀行泰州市中心支行 江蘇 泰州 225300)

0 引 言

網(wǎng)絡(luò)隔離技術(shù)是常用的保護企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的手段，傳統(tǒng)實現(xiàn)主要有防火墻和網(wǎng)閘技術(shù)，防火墻的核心功能是基于預設(shè)規(guī)則匹配響應數(shù)據(jù)包，并過濾非法數(shù)據(jù)包[1]。網(wǎng)閘一般采用禁止協(xié)議通信和數(shù)據(jù)文件的無協(xié)議“擺渡”等手段實現(xiàn)網(wǎng)絡(luò)的隔離方法[2]。兩種技術(shù)各有千秋，但都面臨著無法靈活調(diào)整配置、易對業(yè)務(wù)產(chǎn)生影響等問題。在一些安全要求較高的企事業(yè)單位，由于業(yè)務(wù)需求需對內(nèi)網(wǎng)進行延伸，存在需將部分業(yè)務(wù)終端布放于外部機構(gòu)工作區(qū)域?qū)崿F(xiàn)業(yè)務(wù)終端外聯(lián)的需求。通過傳統(tǒng)網(wǎng)絡(luò)隔離技術(shù)存在實現(xiàn)成本較大、信息安全對硬件依賴較高、上線及調(diào)整不便等問題。針對該需求，本文結(jié)合云桌面[3]的應用實踐，梳理企業(yè)在網(wǎng)絡(luò)安全隔離、客戶端管理中的信息安全需求和業(yè)務(wù)需求；通過傳統(tǒng)方式構(gòu)架網(wǎng)絡(luò)，分析其技術(shù)重點；利用云桌面技術(shù)重新規(guī)劃整個外聯(lián)業(yè)務(wù)體系，與現(xiàn)有內(nèi)網(wǎng)低成本融合；通過傳統(tǒng)安全手段對比，梳理云桌面技術(shù)在實現(xiàn)業(yè)務(wù)需求時的優(yōu)點；通過硬件防火墻、虛擬網(wǎng)絡(luò)服務(wù)[4]、磁盤映射控制、USB Key認證[5]、CAS[6]等技術(shù)的綜合應用，進一步確保云桌面在網(wǎng)絡(luò)安全隔離中應用的信息安全。

1 云桌面網(wǎng)絡(luò)總體規(guī)劃

1.1 需求分析

業(yè)務(wù)需求與信息安全經(jīng)常存在著一定的沖突，各類安全技術(shù)也在兩者的平衡中發(fā)展。在實際工作中，業(yè)務(wù)人員需要業(yè)務(wù)系統(tǒng)沒有過多限制，能夠?qū)崟r訪問內(nèi)外部的網(wǎng)絡(luò)，且能夠快速簡易切換，但信息安全可能會對業(yè)務(wù)工作的及時性、便捷性產(chǎn)生一定影響，在信息化過程中往往需要綜合考慮業(yè)務(wù)與信息安全兩方面。

信息安全涉及網(wǎng)絡(luò)、客戶端、制度等多個方面，與業(yè)務(wù)終端相關(guān)主要為網(wǎng)絡(luò)層的安全防護，其次為終端自身的安全防護。外聯(lián)業(yè)務(wù)終端由于布放環(huán)境處于相對不可控狀態(tài)，網(wǎng)絡(luò)本身的可靠性也是業(yè)務(wù)連續(xù)性的重要因素，因此構(gòu)建安全的網(wǎng)絡(luò)是傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中重點關(guān)注的對象。部分企事業(yè)對內(nèi)聯(lián)網(wǎng)也有較為細化的規(guī)定，如虛網(wǎng)的劃分、重要業(yè)務(wù)終端網(wǎng)絡(luò)地址段、服務(wù)器網(wǎng)絡(luò)地址段等，在重新構(gòu)造網(wǎng)絡(luò)時也需要重點考慮構(gòu)架的合規(guī)性。

從安全運維角度考慮，網(wǎng)絡(luò)構(gòu)架除了關(guān)注業(yè)務(wù)需求、信息安全需求，還需要考慮網(wǎng)絡(luò)的維護成本。合理的網(wǎng)絡(luò)架構(gòu)應能夠在業(yè)務(wù)調(diào)整、拓展時實現(xiàn)較為便捷的調(diào)整，同時需要有效規(guī)避外聯(lián)業(yè)務(wù)終端的不可控性，即業(yè)務(wù)調(diào)整不對業(yè)務(wù)終端的配置有過多強制要求。

1.2 傳統(tǒng)網(wǎng)絡(luò)組網(wǎng)邏輯架構(gòu)

為更好闡述傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，本文按照需求分析結(jié)果，采用當前主流技術(shù)構(gòu)建較為經(jīng)典的網(wǎng)絡(luò)結(jié)構(gòu)。按照網(wǎng)絡(luò)無單點故障的要求，傳統(tǒng)網(wǎng)絡(luò)采用雙線路連接外聯(lián)機構(gòu)，利用目前廣泛采用的MSTP線路可以實現(xiàn)交換機的直連，外聯(lián)業(yè)務(wù)終端從網(wǎng)絡(luò)架構(gòu)上仍可視為內(nèi)網(wǎng)終端，因此無需路由器進行數(shù)據(jù)包轉(zhuǎn)發(fā)。為滿足信息安全需求，分別利用傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，如防火墻、上網(wǎng)行為管理器等進行安全控制，形成外聯(lián)區(qū)域與內(nèi)聯(lián)網(wǎng)的中間區(qū)。傳統(tǒng)經(jīng)典網(wǎng)絡(luò)邏輯架構(gòu)如圖1所示。

圖1 傳統(tǒng)經(jīng)典網(wǎng)絡(luò)邏輯架構(gòu)

外部區(qū)域業(yè)務(wù)終端按照內(nèi)網(wǎng)業(yè)務(wù)需求統(tǒng)一配置網(wǎng)絡(luò)地址，外部區(qū)域交換機使用虛擬化技術(shù)形成邏輯組，避免單點故障。防火墻使用透明模式，安全策略按照業(yè)務(wù)網(wǎng)址和端口嚴格配置內(nèi)網(wǎng)訪問規(guī)則，上網(wǎng)行為管理器的補充能夠更好地記錄各業(yè)務(wù)終端的訪問內(nèi)容，同時根據(jù)實際工作時間邏輯開關(guān)線路。防火墻與上網(wǎng)行為管理器均通過心跳線、同步線等方式避免單點故障。傳統(tǒng)網(wǎng)絡(luò)架構(gòu)使用的安全技術(shù)內(nèi)容如表1所示。

表1 傳統(tǒng)安全技術(shù)應用

1.3 云桌面隔離組網(wǎng)邏輯架構(gòu)

應用云桌面技術(shù)組網(wǎng)的網(wǎng)絡(luò)基本結(jié)構(gòu)不變，在防火墻DMZ區(qū)[7]建設(shè)云桌面用于內(nèi)外網(wǎng)互訪。為避免單點故障，云桌面服務(wù)器可與兩臺防火墻DMZ區(qū)接口連接，配置相應網(wǎng)絡(luò)地址。與傳統(tǒng)經(jīng)典組網(wǎng)方式不同的是物理終端可以根據(jù)需要自行配置網(wǎng)絡(luò)地址，防火墻根據(jù)外部區(qū)域、外聯(lián)服務(wù)區(qū)、內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)地址規(guī)范進行地址轉(zhuǎn)換?；谠谱烂娓綦x組網(wǎng)邏輯架構(gòu)如圖2所示。

圖2 云桌面網(wǎng)絡(luò)邏輯架構(gòu)

外部區(qū)域業(yè)務(wù)用機可以按照業(yè)務(wù)及維護需求，通過軟件方式或瘦客戶端[8]方式連接云桌面服務(wù)器。防火墻通過配置安全策略，僅允許指定網(wǎng)絡(luò)終端訪問云桌面服務(wù)器，過濾非法訪問，保護云桌面服務(wù)器，同時通過安全策略限制虛擬桌面對內(nèi)聯(lián)網(wǎng)資源的訪問。相關(guān)的訪問邏輯關(guān)系如圖3所示。

圖3 云桌面業(yè)務(wù)訪問邏輯

外部終端與虛擬桌面之間只傳桌面圖像[9]及固定的服務(wù)請求，帶寬需求較為明確，流量峰值相對固定，便于估算帶寬需求。傳輸?shù)臄?shù)據(jù)包單一，出入端口較為明確，安全把控更為簡單。防火墻的安全策略相對簡單，在業(yè)務(wù)新增、調(diào)整時能夠簡化配置。另外信息安全管理也從物理終端管控轉(zhuǎn)變?yōu)樵谱烂娣?wù)器、虛擬桌面管控。這樣能夠提高網(wǎng)絡(luò)安全性，規(guī)避網(wǎng)絡(luò)不斷調(diào)整的問題。

云桌面組網(wǎng)構(gòu)架的最大特點在于嚴格的網(wǎng)絡(luò)限制對于終端用戶是透明的。服務(wù)器中的虛擬操作系統(tǒng)承載各自的業(yè)務(wù)工作，完全不受傳統(tǒng)隔離技術(shù)帶來的地址轉(zhuǎn)換、端口限制等因素的影響，用戶連入云桌面服務(wù)器后享受的是各自網(wǎng)絡(luò)中的完全服務(wù)，對內(nèi)網(wǎng)的依賴和影響大大降低。

2 云桌面隔離組網(wǎng)安全措施

云桌面隔離組網(wǎng)通過外聯(lián)機構(gòu)間接連入，將原有直接訪問通過云桌面實現(xiàn)間接訪問，可以從物理網(wǎng)絡(luò)、云桌面服務(wù)器平臺、云桌面訪問控制三層對安全進行進一步強化。

通過物理防火墻進一步強化云桌面主機安全，內(nèi)外網(wǎng)隔離的規(guī)則可以有所不同。內(nèi)網(wǎng)實施更嚴格的配置，只允許指定網(wǎng)絡(luò)地址訪問指定服務(wù)器。外網(wǎng)簡化配置，非禁止接入的地址網(wǎng)段都是允許接入。云桌面專用網(wǎng)可以采用傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)提高安全性，如通過劃分虛網(wǎng)實現(xiàn)分級管理。

利用云桌面服務(wù)器管理平臺，參考傳統(tǒng)網(wǎng)絡(luò)設(shè)備對虛擬網(wǎng)絡(luò)進行統(tǒng)一配置，可以及時處理虛擬桌面異常提高業(yè)務(wù)連續(xù)性，夜間或業(yè)務(wù)低峰階段可以強制關(guān)閉部分虛擬桌面提高安全性，構(gòu)建高可用性平臺系統(tǒng)，實現(xiàn)桌面級數(shù)據(jù)安全管控。

虛擬桌面是信息安全管控重點，為避免虛擬桌面成為攻擊內(nèi)網(wǎng)的跳板，云桌面終端可采用無本地存儲功能的終端，終端可以采用USB Key方式認證，禁止外部終端磁盤映射，避免存儲信息泄露?？蛇x擇安全技術(shù)如表2所示。

表2 云桌面網(wǎng)絡(luò)架構(gòu)可選安全技術(shù)

3 基于云桌面隔離組網(wǎng)優(yōu)勢

3.1 獨立性

云桌面服務(wù)器相對獨立，平臺部署于防火墻DMZ區(qū)，雙網(wǎng)口通過防火墻分別與內(nèi)外網(wǎng)互連。云桌面虛擬網(wǎng)絡(luò)管理相對獨立，原單位業(yè)務(wù)網(wǎng)規(guī)劃無需考慮外聯(lián)機構(gòu)的網(wǎng)絡(luò)，如原有網(wǎng)絡(luò)上增加新虛網(wǎng)，只要調(diào)整云桌面虛擬交換機配置，無需更改外聯(lián)區(qū)域終端相關(guān)的交換機配置。云桌面網(wǎng)絡(luò)架構(gòu)相對獨立，對原有內(nèi)網(wǎng)安全規(guī)則無破壞性，不需修改防火墻、交換機原有配置，方便網(wǎng)絡(luò)架構(gòu)調(diào)整和過渡。

3.2 互利性

安全管理作用范圍一般小于控制范圍，外聯(lián)區(qū)域處于外部機構(gòu)的控制范圍，對于外聯(lián)區(qū)域仍然按照內(nèi)聯(lián)網(wǎng)要求管理多為不便。外聯(lián)區(qū)域作為原有內(nèi)聯(lián)網(wǎng)的外延，應盡量滿足內(nèi)聯(lián)網(wǎng)以及外部機構(gòu)的雙重管理需求。通過云桌面隔離組網(wǎng)的方式實現(xiàn)外聯(lián)區(qū)域的相對獨立，外聯(lián)區(qū)域的網(wǎng)址分配、虛網(wǎng)劃分、網(wǎng)絡(luò)管理、客戶端安全軟件可以按照外部機構(gòu)的管理要求進行配置。

3.3 便捷化

外聯(lián)終端的安全管控在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下需要通過多種網(wǎng)絡(luò)、安全設(shè)備進行配置和管控，如需要對防火墻進行端口級細粒度的安全控制，更為復雜。安全策略的配置以及未來由于內(nèi)部業(yè)務(wù)的新增、變更，調(diào)整復雜性將成倍提高。采用云桌面方式組網(wǎng)后通過云桌面隔離組網(wǎng)方式，只要做好硬件防火墻中針對云桌面服務(wù)器的網(wǎng)絡(luò)地址及相應端口開放權(quán)限即可，只涉及少量網(wǎng)絡(luò)地址，安全規(guī)則數(shù)量壓縮，終端調(diào)整也不需要對安全規(guī)則進行復雜調(diào)整。操作系統(tǒng)云化后，終端維護大為減輕，提高了可用性和易維護性[10-11]。

3.4 可擴展

傳統(tǒng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備由于其固化的硬件，一般只能用于設(shè)定的專用場景。隨著虛擬化的產(chǎn)生，通過軟件模擬硬件可以實現(xiàn)各類功能。云桌面隔離組網(wǎng)網(wǎng)絡(luò)的方式將原有依賴各層硬件的安全管理轉(zhuǎn)變?yōu)楦鶕?jù)云桌面服務(wù)器的軟件管理方式可以帶來擴展性的提高，如通過云桌面服務(wù)器審計登錄網(wǎng)絡(luò)地址、記錄對外訪問的信息，針對反復登錄、異常網(wǎng)絡(luò)地址登錄及時報警，通過靈活的規(guī)則定時暫停服務(wù)器、定制更為復雜的網(wǎng)絡(luò)和終端安全規(guī)則等。

3.5 多元化

從傳統(tǒng)硬件安全設(shè)備應用到硬件網(wǎng)絡(luò)設(shè)備、虛擬網(wǎng)絡(luò)設(shè)備、云桌面平臺管控系統(tǒng)多方控制的安全控制。傳統(tǒng)組網(wǎng)方式仍只能通過傳統(tǒng)接入層綁定、認證技術(shù)實現(xiàn)基本的控制，通過云桌面隔離組網(wǎng)，能夠?qū)踩芾碇匦膹奈锢砭W(wǎng)絡(luò)安全設(shè)備轉(zhuǎn)移到云桌面管控中，實現(xiàn)了從硬件到軟件管理方式的轉(zhuǎn)變。軟件方式具有極大的靈活性，如可以根據(jù)網(wǎng)絡(luò)地址限制終端登錄、設(shè)置賬戶訪問權(quán)限限制虛擬終端磁盤映射等。

4 結(jié) 語

本文圍繞內(nèi)聯(lián)網(wǎng)需要向外部機構(gòu)擴展的典型需求，對相關(guān)業(yè)務(wù)需求、安全需求進行分析。按照傳統(tǒng)經(jīng)典網(wǎng)絡(luò)架構(gòu)思路實現(xiàn)相關(guān)需求，對比分析通過云桌面技術(shù)實現(xiàn)，分析應用的網(wǎng)絡(luò)架構(gòu)，細化外聯(lián)終端訪問內(nèi)網(wǎng)的邏輯關(guān)系，最終實現(xiàn)在滿足信息安全的基礎(chǔ)上，實現(xiàn)更為靈活的業(yè)務(wù)需求。對云桌面技術(shù)實現(xiàn)的隔離組網(wǎng)可選安全技術(shù)進行列舉，最終達到更好的信息安全。