互聯(lián)網(wǎng)的大數(shù)據(jù)時代，企業(yè)的服務(wù)器也在跟著時代更新?lián)Q代，從舊時的系統(tǒng)到云平臺的轉(zhuǎn)移，這一過程對企業(yè)來說可以算是一門挑戰(zhàn)，因為云主機等云端服務(wù)器對于大部分人來說還是比較陌生。而服務(wù)器的重要性我相信不需要再花時間去討論，針對云主機的安全策略，企業(yè)需要仔細考慮好。綿陽服務(wù)器托管

創(chuàng)新互聯(lián)建站專業(yè)為企業(yè)提供甘肅網(wǎng)站建設(shè)、甘肅做網(wǎng)站、甘肅網(wǎng)站設(shè)計、甘肅網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、甘肅企業(yè)網(wǎng)站模板建站服務(wù)，十余年甘肅做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

企業(yè)如何對私有云主機進行管理?

我們先由對虛擬云桌面開始說起。

首先從每個員工使用的桌面終端來說。隨著虛擬化技術(shù)的發(fā)展，在企業(yè)里虛擬云桌面終端也迅速部署應(yīng)用起來，虛擬化桌面終端安全問題也逐漸凸顯。虛擬化云桌面終端安全所面臨的主要問題可劃分為兩大類，一類是傳統(tǒng)的終端安全問題的延續(xù);另一類是在虛擬化環(huán)境下所面臨的新問題。虛擬化環(huán)境下所面臨的新問題主要包括虛擬化環(huán)境所面臨的安全威脅、無邊界訪問帶來的安全威脅、虛擬機防護間隙帶來的威脅和安全防護引發(fā)的資源爭用等多項安全問題。

云桌面通過虛擬化技術(shù)來實現(xiàn)了桌面的統(tǒng)一、資源的共享，讓員工通過瘦客戶端來實現(xiàn)任何時間、任何地點訪問跨平臺的桌面系統(tǒng)，能夠解決傳統(tǒng)桌面管理模式的弊端，而且通過統(tǒng)一規(guī)劃所有云桌面用戶的IP地址,在防火墻和交換機上設(shè)置策略、建立訪問控制列表，限制該網(wǎng)段互聯(lián)網(wǎng)訪問權(quán)限，也可以方便實現(xiàn)云桌面用戶與互聯(lián)網(wǎng)的隔離。

云桌面使用方便也易于實現(xiàn)統(tǒng)一管理，然而在資源高度聚合、數(shù)據(jù)遠程化、彈性大規(guī)模的云桌面應(yīng)用模式下，安全問題仍然不可避免。

從虛擬云桌面的整體系統(tǒng)角度來看，客戶端、傳輸網(wǎng)絡(luò)、服務(wù)器端、存儲端等各個方面，都會產(chǎn)生安全風險。忽略任何一個細節(jié)都會導致整個系統(tǒng)的信息漏洞。

客戶端：在虛擬云桌面的應(yīng)用環(huán)境中，只要有訪問權(quán)限，任何智能終端都可以訪問云端的桌面環(huán)境，如果使用單純的用戶名密碼作為身份認證，那么其泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng)，并獲取相關(guān)數(shù)據(jù)。傳統(tǒng)的桌面可以采用物理隔離的方式，其他人無法進安全控制區(qū)域竊取資料;而在虛擬桌面環(huán)境下，這種安全保障就不復存在了。這就要求有更加嚴格的終端身份認證機制。目前比較好的方案有Ukey準入認證，利用Ukey 認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性，也能夠使Ukey 發(fā)揮大效能，充分利用Ukey高可靠性的特點實現(xiàn)對云計算資源的保護，防止無授權(quán)用戶的非法操作。相對于遠程用戶，則可以采用Ukey 認證與SSL VPN 技術(shù)相結(jié)合，為遠程用戶提供一種安全通信服務(wù)。還有就是通過MAC地址對于允許訪問云端的客戶端進行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性，但這種方式可以大幅提升客戶端的可控性。

(注：國內(nèi)的USBKEY品牌型號繁多，企業(yè)在選擇USBKEY時一般也沒有太多的考慮，因此導致了多種型號及品牌的KEY共存的現(xiàn)象比較普遍。建議測試幾種使用，另外還有無驅(qū)的Ukey, 會模擬成HID，有的不能自動映射，還需要手動連接)

傳輸網(wǎng)絡(luò)：絕大部分企業(yè)級用戶都會為遠程接入設(shè)備提供安全連接點，供在防火墻保護以外的設(shè)備遠程接入，但是并非所有的智能終端都支持相應(yīng)的VPN技術(shù)。智能手機等設(shè)備一般可采用專業(yè)安全廠商提供的定制化VPN方案。企業(yè)內(nèi)部的終端和云端的通訊可以通過SSL VPN協(xié)議進行傳輸加密，確保整體傳輸過程中的安全性。

服務(wù)器端：在虛擬桌面的整體方案架構(gòu)中，后臺服務(wù)器端架構(gòu)通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統(tǒng)的高可用性;另一方面可以根據(jù)用戶數(shù)量逐步增加計算能力。在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會使用負載均衡器，將用戶的連接請求發(fā)送給當前仍有剩余計算能力的服務(wù)器處理。這種架構(gòu)很容易遭到分布式拒絕攻擊，因此需要在前端的負載均衡器上需要配置安全控制組件，或者在防火墻的后端設(shè)置安全網(wǎng)關(guān)進行身份鑒定授權(quán)。

存儲端：采用虛擬桌面方案之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統(tǒng)的訪問需要，一般會采用NAS架構(gòu)的存儲系統(tǒng)。這種方式的優(yōu)勢在于企業(yè)只需要考慮保護后端磁盤陣列的信息防泄漏，原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是，如果系統(tǒng)管理員，或者是具有管理員權(quán)限的非法用戶想要獲取信息的話，這種集中式的信息存儲方式還是存在隱患的。如果使用普通的文件系統(tǒng)機制，系統(tǒng)管理員作為超級用戶具有打開所有用戶目錄，獲取數(shù)據(jù)的權(quán)限。 一般可以采用專業(yè)的加密設(shè)備進行加密存儲并且為了滿足合規(guī)規(guī)范的要求，加密算法應(yīng)當可以有前端用戶指定。同時，在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施，及需要系統(tǒng)管理員、數(shù)據(jù)外發(fā)審核員和數(shù)據(jù)所有人同時確認也能夠允許信息的發(fā)送。這樣可以實現(xiàn)主動防泄密。此外，還需要通過審計方式確保所有操作的可追溯性。

名稱欄目：企業(yè)如何對私有云主機進行管理？
URL標題：http://weahome.cn/article/dcdcd.html