安全桌面云_DOIT云计算

安全桌面云

DOIT云计算 12年05月25日 16:26 【来稿】作者：周晓丽责任编辑：周晓丽

导读：桌面云是云计算的基本阶段，从PC时代到云计算时代，计算能力从零散分布在PC机中，发展到现在集中部署，瘦终端接入，初步实现集中计算，泛在接入的IT基础架构。

关键词：华为桌面云安全

4、五大关键安全特点：进不来，拿不走，打不开，赖不掉，丢不了

l 进不来：

Ø 用户接入虚拟机必须经过认证，认证方式支持三种：域帐号+密码、指纹、USB Key，以满足企业不同安全级别的需求。

ü 域认证：采用微软AD进行用户虚拟机帐号的集中管理，只有认证通过才可接入。

ü 指纹认证：利用人的指纹生物特征进行强认证，难以伪造和破解，同时使用起来比较便利，在华为公司已大规模使用。

ü USB Key属于智能卡的一种，一种强大的鉴别形式，是双因子认证。因每个USB Key都具有硬件和PIN码保护，PIN码和硬件构成了两个必要因素(“双因子认证”)。用户只有同时取得USB Key和PIN码，才能登录系统。即使用户PIN码泄漏，只要用户持有的USB Key不被盗，合法用户的身份就不会被仿冒。如果用户USB Key遗失，拾到者因不知道用户PIN码，也无法仿冒合法用户身份。

² USB key + PIN码”双因素认证，保障用户身份认证安全

² 实现TC、WI、VM单点登录，提升用户体验

Ø 虚拟机之间，以及虚拟机组群之间互相隔离。

ü 虚拟机间资源完全隔离，包括CPU的隔离、内存的隔离、磁盘IO的隔离、内部网络的隔离、虚拟机的访问必须得到用户授权

ü 虚拟机组间之间的隔离：根据虚拟机间访问的安全要求不同，可将虚拟机进行分组做到“组内共享，组间隔离”。

Ø 桌面云网络通信平面划分为：业务平面、存储平面和管理平面，三面是隔离的，使得最终用户不能破坏基础平台，管理员不能访问业务平面。

Ø 分权分域：管理员对设备和业务的管理，支持“分权分域管理模式”，遵循NIST标准的RBAC模型。支持灵活的创建角色和管理员，使得管理员不能越权管理。

l 拿不走：

Ø 终端外设管控

ü 终端与信息分离，桌面和数据在后台集中存储和处理，传输到终端的仅是屏幕图像和键盘/鼠标指令，无用户数据，且传输是加密的。

ü 对TC的 USB外设进行精细化控制，仅支持键盘鼠标，及指定型号的USB key(用于USB key认证)和指纹仪(用于指纹认证)，做到用户无法拷出数据。

Ø 云终端物理安全：

ü 无硬盘设计，TC硬件安全与认证，支持USB端口配置禁用存储设备，嵌入式系统更加固，四种因素使得云终端本身具有安全的物理特性。

l 打不开

Ø 文档权限控制：通过实时权限控制，提供安全授权下的机密信息共享，使信息所有者能够定义信息的访问者、访问方式和时间等，并记录文档操作日志，助力企业构建安全可控的文档安全管理平台。可设置的文档权限类型：只读、编辑、再授权、打印、离线使用、完全控制。

l 赖不掉：

Ø 部署堡垒主机，统一运维入口且操作记录日志，包括操作名称操作用户、用户IP、级别、开始时间等支撑审计。应用场景：政府、行业的法律法规法规要求监控;企业的规章制度需要保护信息安全，防止知识产权泄漏，敏感数据和客户信息的泄漏

l 丢不了：

Ø 设置文档外发权限，防止泄露;并对文件进行加密，只有有权限的用户能够打开

Ø 虚拟机回收数据清零

ü 一般的虚拟机系统进行资源回收时，只是对VM磁盘中文件做简单的删除，云系统将磁盘空间(逻辑卷)重新分配给其他租户时，可能会被恶意租户使用数据恢复软件读出磁盘数据，而导致先前租户数据“丢”。华为桌面云对逻辑卷的物理Bit位进行清“零”覆写，保证磁盘空间重新分配给其他租户时不能通过软件方式恢复其原有数据;

Ø 提供强大的容灾和备份功能，保证数据安全。

2 安全桌面云案例

非盟国际会议中心桌面云

非洲联盟(African Union)，简称非盟(AU)，是继欧盟之后成立的第二个重要的地区国家联盟，是集政治、经济、军事等为一体的全洲性政治实体。

面临挑战:

1 •安全需求

2 会议信息数据安全级别要求高，传统PC信息流失途径多;

3 •能耗高噪音大

4 传统IT能耗高，办公环境相对嘈杂不，影响会议效果;

5 • 高效需求

6 传统IT部署周期长，维护效率低，办公效率低下;

7 • 办公环境整洁统一需求