首页 > 新闻 > 专家观点 >

华三焦点:云桌面与网络准入控制技术的契合

2015-02-11 10:14:47   作者:   来源:CTI论坛   评论:0  点击:


  云桌面整合了计算、存储、网络等资源,因此云桌面的安全也分为两部分:云桌面承载平台的安全和云桌面访问网络的安全。网络准入控制是指对网络的边界进行保护,对入网终端的使用者进行身份验证,并对入网终端进行合规检查。传统的云桌面厂商对云桌面承载平台的安全性尤为关注,而网络厂商在进入云桌面领域时,发挥了其天然优势,将网络准入控制融入云桌面安全中,扩大了云系统的安全边界、提升了云系统的安全等级。

  1.云桌面准入的现状

  目前,大部分云桌面的准入主要依靠类似LDAP服务器的用户管理系统。如图1所示,用户在访问和使用云桌面前,网络是畅通的,任何人使用任意终端都可以轻松连接到云桌面的登录系统。用户身份校验通过后,即可访问和使用云桌面。在此过程中,用户系统仅仅做了身份验证的工作。相对于用户系统搭建、维护的复杂程度(比如Windows AD),其投入产出比显然无法达到管理者的预期。同时,管理者乐于见到数据边界不被触碰,即在身份验证通过之前,云桌面管理平台与云桌面资源池均对用户不可见。现有用户系统也无法进一步提升云系统的安全等级,很难支持证书认证、多因素绑定认证等安全性更高的认证方式。

  图1 云桌面系统

  2.引入网络准入控制技术

  引入网络准入控制技术,是云桌面解决方案的重要一环,也是迫切需求。网络准入控制技术既可以解决云桌面无法直面的网络安全问题,也不会增加用户使用的难度。

  拥有网络准入控制技术的云桌面系统可以称之为云桌面准入系统,如图2所示。用户在身份验证通过前,无法访问云桌面管理平台。用户通过身份验证后,用户系统与云桌面管理平台联通,既直接将云桌面授权给用户使用,又同步开放了网络权限。

  图2 云桌面准入系统

  • 现有的网络模式的无障碍过渡

  现有网络的各种认证方式(802.1X、Portal等)、各种网络控制手段(ACL、VLAN等)都可以无障碍过渡到云桌面准入系统中。云桌面承载与网络之上,因此前端采用802.1X或Portal并不影响云桌面的使用。而通过ACL或VLAN,可以为用户单独提供云桌面的访问权限,阻断其他应用系统的访问权限。

  • 高等级身份验证

  身份验证的手段不再仅限于用户名/密码、信息卡等,证书认证、多因素绑定认证都均可平滑引入。高等级的身份验证就像一道挡在用户与云桌面之间的铁门,将非法用户拒之门外,且防止暴力破解等非法手段。

  • 单点登录

  用户系统与云桌面管理平台之间通过API接口等方式进行联动。用户系统通知网络设备放开网络的同时,将合法用户的身份信息通知云桌面管理平台,云桌面管理平台即可将用户对应的云桌面对用户开放。该过程中,用户只需进行一次认证,即可完成网络准入和云桌面双重认证。当然,这些都依托于合一的代理软件或Web应用系统之间的对接。

  • 瘦客户机、利旧PC、移动终端统一控制

  网络准入系统兼容多种类型的终端。

  对于瘦客户机,可以直接在瘦客户中预装代理软件或网页控件,并将软件或控件植入瘦客户机的登录界面。用户在登录瘦客户机时,即完成了所有认证,无感知使用。

  对于利旧PC,直接安装代理软件或网页控件。用户完成认证后,即可在代理软件或网页中查看并使用已被授权的云桌面。作为一种扩展,代理软件还可以对PC进行合规检查,保证PC安全无漏洞。

  对于移动终端,在移动终端上安装代理软件。代理软件还是一款移动办公的门户软件,除了集成准入、云桌面外,还可以将其他企业APP也集成到代理软件中。这种弹性架构保证了移动办公业务的可扩展性和快速实施。

  • 内网、外网一体化管理;有线、无线一体化管理

  由于云桌面系统与网络准入系统解耦,因此网络形态不影响云桌面系统。

  对于内网用户,有线接入时采用802.1X、Portal认证等,无线接入时采用WLAN 802.1X、Portal、MAC认证等;对于外网用户,采用VPDN、SSL VPN等方式接入。

  用户使用云桌面不受地点、时间、终端、网络等的限制,这也是BYOD的延伸和扩展。

  3.结束语

  云桌面与网络准入控制技术的契合,可以提高云桌面的安全等级,消除网络风险,整体提升云桌面解决方案的安全性。云桌面准入系统不受终端类型的限制、不受接入时间地点的限制、不受网络形态的限制,通过对使用者、终端、网络的有效、规范的管理,能够防止非法的信息窃取。在未来的网络环境中,这一技术必将成为业界所探究的重点。

相关阅读:

分享到: 收藏

专题