一、无影云桌面介绍
官方的介绍是:无影云桌面的原产品名为弹性云桌面,融合了无影产品技术后更名升级。它可以为您提供易用、安全、高效的云上桌面服务,帮助您快速构建、高效管理桌面办公环境,提供安全、灵活的办公体系。
我理解就是以前云主机的一个扩展产品。云主机主要是程序员用来部署服务用的,而云桌面主要是为了办公而生的,最大的优势是比如你现在要做一个很非资源(内存或者CPU)的操作,像渲染大型视频,以前只能买硬件,现在可以使用云桌面弹性扩展。
云桌面的官方文档如下:什么是无影云桌面 (aliyun.com)。如何使用已经有很多大神在写了,这里不再赘述。
这篇文档主要是讨论一些云桌面的安全管理方面和等保合规相关。
二、无影云桌面的安全管理
无影云桌面的安全管理主要在两个地方,一个是策略管理,可以设置云桌面的整体安全策略;另一个是安全中心,可以检测云桌面中威胁和漏洞。下面分别来介绍一下。
1. 策略管理
策略管理在最开始创建云桌面的时候就会让选择,当然大部分人可能都是默认选择。在创建以后也可以进行修改。
(1)基础策略
基础策略如下图所示。主要是对USB、打印机、剪切板、是否可以创建修改文件(本地磁盘映射读写)等进行配置。值得一提的是还有一个水印功能,可以用于管理员防止使用云桌面的用户进行截图,从而保证数据安全。
(2)登录方式管控
登录方式管控这里默认全选允许所有的登录方式,我们可以根据自己常用的登录方式,将不使用的登录方式进行对应的屏蔽,从而减少登录入口,在一定程度上提升安全性。
(3)安全组管控
安全组管控其实类似我们常见的防火墙的ACL(访问控制列表),定义网段、协议、端口、允许还是拒绝信息来开放或关闭对应的端口。这个其实还是要有专业的网络运维人员来做,否则可能导致日常办公的一些异常。
支持协议有:TCP、UDP、ICMP、GRE;基本满足日常使用;
支持端口有:22(SSH)、23(telnet)、80(HTTP)、443(HTTPS)、1433(MSSQL)、1521(Oracle)、 3306(Mysql)、 3389(RDP)、5432(PostgreSQL)、6379(Redis);这个说实话,如果对于研发来说,还是有点少。不过开发人员显然想到了这一点,可以输入数字回车后自定义端口。只是这个功能没有界面提示,说明文档中也没有,容易被人忽略。建议在界面添加自定义端口的操作提示。
(4)域名黑白名单
在云桌面中允许访问域名的黑白名单。这个主要作用还是用于管理员限定用户只能访问那些域名,也算上网行为管理的一种方式。防止员工摸鱼的一个功能。
(5)客户端访问IP白名单
只允许那些IP段去访问云桌面。建议管理员设置只有自己公司的网段可以访问云桌面,这个配置真的会大大的提升云桌面的安全性。
总体来说,初始的这些安全配置保证了基础的边界安全、外设安全,也实现了部分的数据安全和行为管理。
2. 安全中心
安全中心主要对云桌面内的病毒防护和漏洞修复。现在是正在公测中。
安全防护,大家可以认为是安全中心的一个首页,在当前市场网络安全产品的可视化和人机交互的背景下略显得单薄。可能是还在公测期间,后期笔者猜测可能会有更多的统计数据和图表。
漏洞修复页面展示未修复漏洞的详细信息。
安全告警会对进程异常、网站后门、异常登录、恶意进程等安全事件进行告警。这个页面还有个文件沙箱,可以恢复误杀的文件。
总体来说现在的安全中心,还是略显单薄,云桌面由于是办公需求,使用云桌面的用户安全意识可能比使用云主机的用户更差,更容易下载病毒文件和接收钓鱼邮件,所以在安全中心上应该更加便捷和全面一些。况且云桌面天然就适合EDR(终端安全响应和检测系统)的理念,相信在以后的安全上会有更好的表现。
三、无影云桌面的等保合规
下面说说关于云桌面的等保合规方面,先声明:因为本人不是专业的等保测评人员,获取信息有可能滞后和误解,测评模版来自网络,仅凭自己对等保三级的理解,学习一下,水平有限,只代表个人观点,仅供参考,如果哪里有错误,还请指正。此外,等保仅是一个标准,不同产品有不同定位,即使有不满足等保标准也不代表产品有问题,可能产品定位不同。
1. 身份鉴别
(1)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
使用用户名密码鉴别
(2)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
口令复杂度满足;定期更换未知;
(3)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
用户超时自动退出;
密码错误超过一定次数自动锁定;
(4)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
使用https协议保障传输的安全性
(5)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
用户名不能重复;
(6)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别;
开启多因素认证MFA后,终端用户登录客户端时,在输入密码后还需输入MFA安全码,实现两层登录保护,可以提高用户账号的安全性。
2. 访问控制
(1)应启用访问控制功能,依据安全策略控制用户对资源的访问;
策略管理--安全组策略中可以配置;
(2)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
系统分为管理员和终端用户2个角色。
(3)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
首页登录必须修改初始密码
(4)应及时删除多余的、过期的帐户,避免共享帐户的存在;
系统有删除功能对账号进行删除;该项是在管理人员制度上体现;
(5)应对重要信息资源设置敏感标记;
(6)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
第一,在策略管理中可以对重要信息资源做限制;
第二,可以设置 用户是否桌面管理员来对安装软件做限制;
3. 安全审计
(1)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
(2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
(3)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
安全审计主要由管理员日志和终端用户日志组成;
值得一提的是管理员日志默认是90天存储,是不满足等保至少存储6个月的日志。但是这里还提供了一个高级功能:开启事件高级查询。可以跟踪才能保持更长时间的事件。
(4)应能够根据记录数据进行分析,并生成审计报表;
审计报表功能缺失;
(5)应保护审计进程,避免受到未预期的中断;
云端后台记录,不会终端
(6)应保护审计记录,避免受到未预期的删除、修改或覆盖等;
操作日志不能删除、修改;
4.剩余信息保护
(1)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
(2)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除;
管理员可以释放云桌面,清除用户数据。也可以通过快照方式清除用户数据。
5.入侵防范
(1)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
安全中心只有对病毒和漏洞的检测,缺乏网络入侵的检测;
(2)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
可以创建快照来恢复系统;
6. 恶意代码防范
(1)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;、
(2)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
(3)应支持防恶意代码的统一管理;
恶意代码防范是由安全中心检测和告警模块来实现;
7. 资源控制
(1)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
(2)应限制单个用户对系统资源的最大或最小使用限度;
(3)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警;
资源控制这部分,只有流量的监控数据,缺少云桌面CPU、硬盘、内存的监控数据,也缺乏阈值告警。
四、总结
以上是对云桌面的安全设置方面和等保三级合规的一个概述,还是上面说的,仅为个人观点,测评模版来自网络,可能由于个人水平问题会有缪误,欢迎指正。
首先,云桌面的安全策略虽然不多,但是常用的都有,也比较易懂,方便操作,绝对满足大部分人使用。安全中心还是希望能在功能和可视化上再好一点。
另外,因为并不是所有的公司都要过等保,也不是所有的公司都要过等保三级,所以即使有少部分的不满足项,也并不代表云桌面有什么问题,世上标准有很多,只是做一个简单的测评。
最后,感谢云桌面开展的这个活动,免费体验,祝云桌面能越做越好。
