向左走—走傳統的桌面管理模式,向右走—邁向桌面虛擬化。向左還是向右?看過(guò)對比分析后來(lái)決定。
隨著(zhù)移動(dòng)云計算時(shí)代的到來(lái),對“云+端”的安全管控已成為業(yè)界的熱點(diǎn)和重點(diǎn)。在終端安全方面,用戶(hù)所面臨的威脅同PC時(shí)代已不可同日而語(yǔ):各種各樣的層出不窮的終端和操作系統,不斷推陳出新的安全威脅方式,迫使用戶(hù)要認識到自身面臨著(zhù)哪些終端安全問(wèn)題,需要采取什么樣的解決方案來(lái)應對。
在企業(yè)當前的IT系統中,各種類(lèi)型的終端數量越來(lái)越多,終端管理也是越來(lái)越復雜。很多負責終端管理IT人員,一說(shuō)起終端管理,眉頭必然會(huì )皺成一團。一方面,上有壓力,企業(yè)對終端的配置標準、補丁、外設等安全管理有嚴格的要求;另一方面,數量眾多,地理分散,機器運行狀態(tài)千奇百怪。難于管理,又不得不管理,因為終端也是IT業(yè)務(wù)系統中重要環(huán)節。簡(jiǎn)單的說(shuō),每一次企業(yè)應用版本升級和變化,都有可能要求終端應用軟件的重新部署和升級。然而,終端一旦管理不善,將導致病毒、信息泄露等安全事件發(fā)生,終端又成為影響業(yè)務(wù)穩定性的根源。
終端管理的理想模型應該將操作系統、應用軟件、系統設置、用戶(hù)數據進(jìn)行控制或分離,并能保持用戶(hù)的體驗不變。同時(shí)能夠快速地進(jìn)行應用分發(fā),且嚴格限制用戶(hù)安裝任何應用程序,當系統崩潰時(shí)可以快速地系統和應用恢復。
由此,標準化的終端管理需要考慮三方面的因素:操作系統、應用軟件和用戶(hù)數據。
要素1:標準化的操作系統
能夠根據不同的機型,制作統一的標準化鏡像文件,快速部署;
進(jìn)行統一的標準化的系統和安全配置;
自動(dòng)化的殺毒和補丁升級管理。
要素2:受控的應用軟件管理
通過(guò)軟件服務(wù)器為用戶(hù)分發(fā)經(jīng)驗證的合規應用軟件;
禁止用戶(hù)私自安裝任何受控的應用軟件;
監測終端上應用軟件的使用情況。
要素3:用戶(hù)數據安全
備份終端用戶(hù)的關(guān)鍵數據,能夠快速恢復數據和系統;
能夠控制終端用戶(hù)的外設和網(wǎng)絡(luò )訪(fǎng)問(wèn);
當終端試圖泄露這些機密信息時(shí)予以阻斷。
因此企業(yè)終端管理方案及產(chǎn)品也基本上圍繞以上三個(gè)因素所展開(kāi)。從目前的市場(chǎng)情況來(lái)看,終端管理軟件種類(lèi)繁多,主要有桌面運維類(lèi)、安全防護類(lèi)、監控審計類(lèi)、文檔防泄密類(lèi)、準入控制類(lèi)、桌面虛擬化(VDI)等大類(lèi)。各類(lèi)軟件在終端管理上都有自己的特點(diǎn),功能上也有很大區別。
從管理手段來(lái)看,可以把終端管理軟件分為傳統終端管理和桌面虛擬化(VDI)兩種模式,二者在管理模式和架構差異很大,因此,很多企業(yè)終端管理者也是難以取舍。
一、傳統終端管理模式
首先來(lái)看傳統桌面管理針對操作系統、應用軟件、數據安全幾個(gè)層面的管理方法:
第一個(gè)層面是標準化的操作系統,意味著(zhù)操作系統安裝、升級、重裝、修復,批量分發(fā)補丁等自動(dòng)化維護。任何一個(gè)企業(yè)都面臨這樣的問(wèn)題,每臺PC均需要人工安裝操作系統并進(jìn)行升級,但對于規模較大的企業(yè)來(lái)說(shuō)這無(wú)疑使一件非常繁瑣的工作。盡管微軟以及第三方廠(chǎng)商也提出了許多的解決方案,例如:Windows 部署服務(wù)、微軟SCCM、Symentec Ghost、Acronis Trueimage Server等等,但各個(gè)方案都存在這一定的局限性,如只支持Windows以及對網(wǎng)絡(luò )等均有一定要求(必須是園區網(wǎng),廣域網(wǎng)環(huán)境下無(wú)法遠程部署)。此外,還需要考慮病毒的感染或者系統的損壞,嚴重者還必須重新安裝系統。而企業(yè)統一的系統配置或者安全策略,最常見(jiàn)的辦法就是加入Windows AD域,通過(guò)AD域策略可以對終端桌面進(jìn)行統一的配置管理。但是這種方式也面臨一個(gè)問(wèn)題,終端用戶(hù)無(wú)法自動(dòng)加入AD域甚至拒絕加入AD域,從而游離于企業(yè)標準化配置之外。而對于殺毒軟件和系統補丁的管理,雖然很多企業(yè)部署了企業(yè)版的殺毒軟件和補丁管理軟件實(shí)現企業(yè)終端的統一安全防護和升級,但也面臨一個(gè)問(wèn)題就是,由于網(wǎng)絡(luò )因素、員工出差等原因,無(wú)法強制讓終端用戶(hù)的系統升級到指定的最新版本。當然,網(wǎng)絡(luò )準入控制(NAC)系統是一個(gè)很好的輔助手段。
第二個(gè)層面是受控的應用軟件管理。這個(gè)層面常常采用桌面管理類(lèi)軟件來(lái)支持,如微軟的SMS、LANDesk以及Symantec Altiris等。桌面管理軟件能夠自動(dòng)給指定的或全部終端計算機批量分發(fā)及安裝應用軟件包,保證終端計算機始終處于最佳工作狀態(tài),大大減輕了管理員批量部署程序的負擔。但是這類(lèi)桌面管理軟件的軟件分發(fā)也有一個(gè)問(wèn)題,就是必須在終端計算機上安裝客戶(hù)端,一旦用戶(hù)沒(méi)有安裝或者卸載,這種軟件分發(fā)就毫無(wú)作用。在對應用軟件的控制上,企業(yè)常常采用“黑白名單”方式,并通過(guò)桌面管理軟件定期統計、匯總企業(yè)內部各種終端軟件的安裝、使用情況,產(chǎn)生統計報告。及時(shí)發(fā)現黑白軟件的安裝和使用情況,以便及時(shí)采取措施,一方面可以減少相應的法律風(fēng)險,另一方面又可以減少安全隱患,提高系統安全。除了定期統計匯總的方式外,還可以與網(wǎng)絡(luò )準入控制系統相結合,一旦發(fā)現終端上的應用軟件為黑名單,可以通過(guò)自動(dòng)網(wǎng)絡(luò )隔離下線(xiàn)方式終止其使用。
第三個(gè)層面是用戶(hù)數據的安全。不僅是防止終端數據的泄露,還要保障用戶(hù)數據的安全備份和還原。數據泄露防護是終端管理一個(gè)特殊領(lǐng)域,稱(chēng)之為DLP(Data Leakage Prevention)。終端數據泄露的途徑有3點(diǎn):外設、網(wǎng)絡(luò )、終端丟失。針對終端數據的泄露防護,各類(lèi)終端管理或安全廠(chǎng)商也是絞盡腦汁,提供了各式各樣的手段,如文檔加密、外設控制、防內網(wǎng)外聯(lián)、郵件審計、網(wǎng)絡(luò )行為控制等等。相對于外設控制、內網(wǎng)外聯(lián)、網(wǎng)絡(luò )控制等單層面防護,文檔加密系統似乎是一個(gè)比較全面徹底的數據防泄漏手段,因為無(wú)論是外設泄漏還是網(wǎng)絡(luò )泄漏抑或終端丟失,只要文件全面加密,相應的企業(yè)核心數據就不會(huì )丟失。而在實(shí)際使用上,文檔加密系統的缺點(diǎn)也很明顯:不能針對所有文檔進(jìn)行加密、無(wú)法脫離企業(yè)內網(wǎng)使用、加密服務(wù)器一旦崩潰,所有文檔無(wú)法正常打開(kāi)。所以,DLP終端數據泄露領(lǐng)域發(fā)展了很多年,并沒(méi)有一個(gè)完美的解決方案可以解決用戶(hù)的實(shí)際問(wèn)題。此外,對于用戶(hù)數據的安全備份和還原,也依賴(lài)于終端用戶(hù)通過(guò)U盤(pán)或移動(dòng)硬盤(pán)進(jìn)行備份,或者依賴(lài)于存儲備份軟件,如Symantec Backup Exec、HP DataProtection等進(jìn)行終端數據的備份工作。但是這類(lèi)軟件往往價(jià)格偏高,大規模部署成本較高。同時(shí),新興的云網(wǎng)盤(pán)軟件跨平臺、價(jià)格低廉等特性也吸引了一大批用戶(hù)將其作為自己的數據備份手段。但云網(wǎng)盤(pán)上數據是否絕對的安全可靠,也是終端用戶(hù)心底揮之不去的疑問(wèn)。
從以上三個(gè)層面分析傳統的桌面管理,可以清楚地發(fā)現,要想實(shí)現企業(yè)終端統一、安全、標準地管理,傳統桌面管理需要借助于大量的桌面管理或者安全、備份工具,企業(yè)終端管理者要從多方面入手才能解決企業(yè)終端的管理問(wèn)題。
二、桌面虛擬化(VDI)模式
桌面虛擬化(VDI)與傳統終端管理架構上差異很大,桌面虛擬化將操作系統及應用程序統一存放在數據中心的服務(wù)器及存儲設備中,后臺建立虛擬機池,交付給不同用戶(hù)和不同終端統一可控的標準化操作系統。在桌面虛擬化解決方案里,管理是集中化的,IT 工程師通過(guò)控制中心管理成百上千的虛擬桌面,所有的更新、打補丁都只需要更新一個(gè)“基礎鏡像”就可以。管理維護也非常簡(jiǎn)單,只需要根據企業(yè)部門(mén)的不同配置幾個(gè)基礎的鏡像,然后不同部門(mén)的員工可以分別連接到這些不同的基礎鏡像,要做任何修改,只需要在這幾個(gè)基礎鏡像上進(jìn)行就可以了。重啟虛擬桌面,企業(yè)員工就可以看到所有的更新,這樣就大大節約了管理成本。
桌面虛擬化是基于虛擬化和云計算理念發(fā)展起來(lái)的終端管理方法,它完全顛覆了傳統意義上的終端管理概念;在某種意義上它剝離了計算機終端軟件與硬件之間的聯(lián)系,將系統和服務(wù)集中在服務(wù)器端,網(wǎng)絡(luò )管理人員不必再將維護的重點(diǎn)放在分散的個(gè)人終端上,只要維護和加固服務(wù)器端便可以實(shí)現全網(wǎng)絡(luò )終端便捷的維護和高安全。桌面虛擬化的基礎鏡像類(lèi)似以往的物理機GHOST鏡像,管理員可以在基礎鏡像中安裝大眾化的應用程序,當需要對應用程序進(jìn)行更新時(shí),只需要更新系統模板,用戶(hù)即可以得到一個(gè)全新的桌面。對于一些非大眾化的應用程序或控件,管理員可以能過(guò)與桌面虛擬化結合的應用虛擬化產(chǎn)品進(jìn)行虛擬化打包,并通過(guò)統一的管理控制臺進(jìn)行虛擬應用的分發(fā)。用戶(hù)登錄虛擬桌面后,即可像使用直接安裝的應用一樣正常使用應用程序。當虛擬應用程序出現故障或損壞時(shí),管理員或用戶(hù)可自助的完成應用程序的復位操作。
在數據安全性方面,由于所有計算、數據的存儲都是在云端,客戶(hù)端不保存用戶(hù)的數據,在終端和桌面虛擬化系統的OS通信時(shí),網(wǎng)絡(luò )傳輸的僅僅是屏幕位圖的變化,并沒(méi)有實(shí)際用戶(hù)的數據傳遞到客戶(hù)端,所以不需要擔心服務(wù)器端傳遞過(guò)來(lái)的數據被竊取。此外,桌面虛擬化系統可以提供細粒度的訪(fǎng)問(wèn)控制,管理員可以根據安全策略開(kāi)放或者關(guān)閉接入終端的USB、打印機端口等。這些 USB 端口還可以分等級控制,保證連接在上面的掃描儀、智能卡等可以正常使用,但是大容量存儲盤(pán)被禁止使用,確保敏感數據不會(huì )通過(guò) U 盤(pán)泄露出去,又保證了業(yè)務(wù)的正常進(jìn)行。特別是接入終端采用瘦客戶(hù)機的情況下,瘦客戶(hù)機沒(méi)有硬盤(pán),也不需要擔心別有用心的用戶(hù)把敏感數據復制到本地硬盤(pán)再通過(guò)其他路徑竊取出去,從而保證企業(yè)數據的真正安全。桌面虛擬化系統的數據備份,可以將各種桌面的、服務(wù)器端的所有相關(guān)的數據集中起來(lái),實(shí)施統一的數據保護、備份、恢復,不僅如此,數據可以被統一的加密、去重和內容感知,既降低存儲的空間,也可以更好的保護數據,支持企業(yè)的內部控制和審計。
可以看出桌面虛擬化管理系統完全不同于傳統的終端管理軟件,集中化和虛擬化的特點(diǎn)不僅僅會(huì )大大增強內部系統及網(wǎng)絡(luò )的安全性,同時(shí)也因此減少了網(wǎng)絡(luò )運維的復雜程度和運維成本。但是,目前其綜合成本相對于傳統桌面管理仍較高,且對網(wǎng)絡(luò )帶寬有了更高的要求,在廣域網(wǎng)、終端高性能計算等場(chǎng)景還不是太適用。
三、結束語(yǔ)
通過(guò)對傳統桌面管理和桌面虛擬化(VDI)的分析對比,對于終端管理模式,到底是向左走還是向右走,需要每個(gè)企業(yè)IT管理者根據自己的應用場(chǎng)景和預算來(lái)綜合判斷。從目前市場(chǎng)上看,很多企業(yè)已經(jīng)采購了傳統終端管理類(lèi)軟件,考慮到成本因素,一般會(huì )額外采購文檔加密、網(wǎng)絡(luò )準入控制系統等等產(chǎn)品來(lái)加固企業(yè)終端安全管理。而對于終端管理比較復雜的場(chǎng)景(如學(xué)校機房、培訓教室等),或終端比較分散、應用單一的場(chǎng)景(如分支機構或營(yíng)業(yè)廳等),則開(kāi)始逐步采用桌面虛擬化模式來(lái)統一管理,另外還有很多企業(yè)考慮到信息安全等因素,也在逐步通過(guò)桌面虛擬化方案替代傳統終端管理模式。
