随着移动云计算时代的到来,对“云+端”的安全管控已成为业界的热点和重点。在终端安全方面,用户所面临的威胁同PC时代已不可同日而语:各种各样的层出不穷的终端和操作系统,不断推陈出新的安全威胁方式,迫使用户要认识到自身面临着哪些终端安全问题,需要采取什么样的解决方案来应对。
在企业当前的IT系统中,各种类型的终端数量越来越多,终端管理也是越来越复杂。很多负责终端管理IT人员,一说起终端管理,眉头必然会皱成一团。一方面,上有压力,企业对终端的配置标准、补丁、外设等安全管理有严格的要求;另一方面,数量众多,地理分散,机器运行状态千奇百怪。难于管理,又不得不管理,因为终端也是IT业务系统中重要环节。简单的说,每一次企业应用版本升级和变化,都有可能要求终端应用软件的重新部署和升级。然而,终端一旦管理不善,将导致病毒、信息泄露等安全事件发生,终端又成为影响业务稳定性的根源。
终端管理的理想模型应该将操作系统、应用软件、系统设置、用户数据进行控制或分离,并能保持用户的体验不变。同时能够快速地进行应用分发,且严格限制用户安装任何应用程序,当系统崩溃时可以快速地系统和应用恢复。
由此,标准化的终端管理需要考虑三方面的因素:操作系统、应用软件和用户数据。
要素1:标准化的操作系统
能够根据不同的机型,制作统一的标准化镜像文件,快速部署;
进行统一的标准化的系统和安全配置;
自动化的杀毒和补丁升级管理。
要素2:受控的应用软件管理
通过软件服务器为用户分发经验证的合规应用软件;
禁止用户私自安装任何受控的应用软件;
监测终端上应用软件的使用情况。
要素3:用户数据安全
备份终端用户的关键数据,能够快速恢复数据和系统;
能够控制终端用户的外设和网络访问;
当终端试图泄露这些机密信息时予以阻断。
因此企业终端管理方案及产品也基本上围绕以上三个因素所展开。从目前的市场情况来看,终端管理软件种类繁多,主要有桌面运维类、安全防护类、监控审计类、文档防泄密类、准入控制类、桌面虚拟化(VDI)等大类。各类软件在终端管理上都有自己的特点,功能上也有很大区别。
从管理手段来看,可以把终端管理软件分为传统终端管理和桌面虚拟化(VDI)两种模式,二者在管理模式和架构差异很大,因此,很多企业终端管理者也是难以取舍。
一、 传统终端管理模式
首先来看传统桌面管理针对操作系统、应用软件、数据安全几个层面的管理方法:
第一个层面是标准化的操作系统,意味着操作系统安装、升级、重装、修复,批量分发补丁等自动化维护。任何一个企业都面临这样的问题,每台PC均需要人工安装操作系统并进行升级,但对于规模较大的企业来说这无疑使一件非常繁琐的工作。尽管微软以及第三方厂商也提出了许多的解决方案,例如:Windows 部署服务、微软SCCM、Symentec Ghost、Acronis Trueimage Server等等,但各个方案都存在这一定的局限性,如只支持Windows以及对网络等均有一定要求(必须是园区网,广域网环境下无法远程部署)。此外,还需要考虑病毒的感染或者系统的损坏,严重者还必须重新安装系统。而企业统一的系统配置或者安全策略,最常见的办法就是加入Windows AD域,通过AD域策略可以对终端桌面进行统一的配置管理。但是这种方式也面临一个问题,终端用户无法自动加入AD域甚至拒绝加入AD域,从而游离于企业标准化配置之外。而对于杀毒软件和系统补丁的管理,虽然很多企业部署了企业版的杀毒软件和补丁管理软件实现企业终端的统一安全防护和升级,但也面临一个问题就是,由于网络因素、员工出差等原因,无法强制让终端用户的系统升级到指定的最新版本。当然,网络准入控制(NAC)系统是一个很好的辅助手段。
第二个层面是受控的应用软件管理。这个层面常常采用桌面管理类软件来支持,如微软的SMS、LANDesk以及Symantec Altiris等。桌面管理软件能够自动给指定的或全部终端计算机批量分发及安装应用软件包,保证终端计算机始终处于最佳工作状态,大大减轻了管理员批量部署程序的负担。但是这类桌面管理软件的软件分发也有一个问题,就是必须在终端计算机上安装客户端,一旦用户没有安装或者卸载,这种软件分发就毫无作用。在对应用软件的控制上,企业常常采用“黑白名单”方式,并通过桌面管理软件定期统计、汇总企业内部各种终端软件的安装、使用情况,产生统计报告。及时发现黑白软件的安装和使用情况,以便及时采取措施,一方面可以减少相应的法律风险,另一方面又可以减少安全隐患,提高系统安全。除了定期统计汇总的方式外,还可以与网络准入控制系统相结合,一旦发现终端上的应用软件为黑名单,可以通过自动网络隔离下线方式终止其使用。
第三个层面是用户数据的安全。不仅是防止终端数据的泄露,还要保障用户数据的安全备份和还原。数据泄露防护是终端管理一个特殊领域,称之为DLP(Data Leakage Prevention)。终端数据泄露的途径有3点:外设、网络、终端丢失。针对终端数据的泄露防护,各类终端管理或安全厂商也是绞尽脑汁,提供了各式各样的手段,如文档加密、外设控制、防内网外联、邮件审计、网络行为控制等等。相对于外设控制、内网外联、网络控制等单层面防护,文档加密系统似乎是一个比较全面彻底的数据防泄漏手段,因为无论是外设泄漏还是网络泄漏抑或终端丢失,只要文件全面加密,相应的企业核心数据就不会丢失。而在实际使用上,文档加密系统的缺点也很明显:不能针对所有文档进行加密、无法脱离企业内网使用、加密服务器一旦崩溃,所有文档无法正常打开。所以,DLP终端数据泄露领域发展了很多年,并没有一个完美的解决方案可以解决用户的实际问题。此外,对于用户数据的安全备份和还原,也依赖于终端用户通过U盘或移动硬盘进行备份,或者依赖于存储备份软件,如Symantec Backup Exec、HP DataProtection等进行终端数据的备份工作。但是这类软件往往价格偏高,大规模部署成本较高。同时,新兴的云网盘软件跨平台、价格低廉等特性也吸引了一大批用户将其作为自己的数据备份手段。但云网盘上数据是否绝对的安全可靠,也是终端用户心底挥之不去的疑问。
从以上三个层面分析传统的桌面管理,可以清楚地发现,要想实现企业终端统一、安全、标准地管理,传统桌面管理需要借助于大量的桌面管理或者安全、备份工具,企业终端管理者要从多方面入手才能解决企业终端的管理问题。
二、 桌面虚拟化(VDI)模式
桌面虚拟化(VDI)与传统终端管理架构上差异很大,桌面虚拟化将操作系统及应用程序统一存放在数据中心的服务器及存储设备中,后台建立虚拟机池,交付给不同用户和不同终端统一可控的标准化操作系统。在桌面虚拟化解决方案里,管理是集中化的,IT 工程师通过控制中心管理成百上千的虚拟桌面,所有的更新、打补丁都只需要更新一个“基础镜像”就可以。管理维护也非常简单,只需要根据企业部门的不同配置几个基础的镜像,然后不同部门的员工可以分别连接到这些不同的基础镜像,要做任何修改,只需要在这几个基础镜像上进行就可以了。重启虚拟桌面,企业员工就可以看到所有的更新,这样就大大节约了管理成本。
桌面虚拟化是基于虚拟化和云计算理念发展起来的终端管理方法,它完全颠覆了传统意义上的终端管理概念;在某种意义上它剥离了计算机终端软件与硬件之间的联系,将系统和服务集中在服务器端,网络管理人员不必再将维护的重点放在分散的个人终端上,只要维护和加固服务器端便可以实现全网络终端便捷的维护和高安全。桌面虚拟化的基础镜像类似以往的物理机GHOST镜像,管理员可以在基础镜像中安装大众化的应用程序,当需要对应用程序进行更新时,只需要更新系统模板,用户即可以得到一个全新的桌面。对于一些非大众化的应用程序或控件,管理员可以能过与桌面虚拟化结合的应用虚拟化产品进行虚拟化打包,并通过统一的管理控制台进行虚拟应用的分发。用户登录虚拟桌面后,即可像使用直接安装的应用一样正常使用应用程序。当虚拟应用程序出现故障或损坏时,管理员或用户可自助的完成应用程序的复位操作。
在数据安全性方面,由于所有计算、数据的存储都是在云端,客户端不保存用户的数据,在终端和桌面虚拟化系统的OS通信时,网络传输的仅仅是屏幕位图的变化,并没有实际用户的数据传递到客户端,所以不需要担心服务器端传递过来的数据被窃取。此外,桌面虚拟化系统可以提供细粒度的访问控制,管理员可以根据安全策略开放或者关闭接入终端的USB、打印机端口等。这些 USB 端口还可以分等级控制,保证连接在上面的扫描仪、智能卡等可以正常使用,但是大容量存储盘被禁止使用,确保敏感数据不会通过 U 盘泄露出去,又保证了业务的正常进行。特别是接入终端采用瘦客户机的情况下,瘦客户机没有硬盘,也不需要担心别有用心的用户把敏感数据复制到本地硬盘再通过其他路径窃取出去,从而保证企业数据的真正安全。桌面虚拟化系统的数据备份,可以将各种桌面的、服务器端的所有相关的数据集中起来,实施统一的数据保护、备份、恢复,不仅如此,数据可以被统一的加密、去重和内容感知,既降低存储的空间,也可以更好的保护数据,支持企业的内部控制和审计。
可以看出桌面虚拟化管理系统完全不同于传统的终端管理软件,集中化和虚拟化的特点不仅仅会大大增强内部系统及网络的安全性,同时也因此减少了网络运维的复杂程度和运维成本。但是,目前其综合成本相对于传统桌面管理仍较高,且对网络带宽有了更高的要求,在广域网、终端高性能计算等场景还不是太适用。
三、 结束语
通过对传统桌面管理和桌面虚拟化(VDI)的分析对比,对于终端管理模式,到底是向左走还是向右走,需要每个企业IT管理者根据自己的应用场景和预算来综合判断。从目前市场上看,很多企业已经采购了传统终端管理类软件,考虑到成本因素,一般会额外采购文档加密、网络准入控制系统等等产品来加固企业终端安全管理。而对于终端管理比较复杂的场景(如学校机房、培训教室等),或终端比较分散、应用单一的场景(如分支机构或营业厅等),则开始逐步采用桌面虚拟化模式来统一管理,另外还有很多企业考虑到信息安全等因素,也在逐步通过桌面虚拟化方案替代传统终端管理模式。