让我们回到虚拟桌面的话题,其实这不是一个新鲜的概念。现在,越来越多的企业都出于安全的考量,为自己的员工,尤其是对从事研发等掌握企业核心技术业务的用户上线了桌面云,来提供一个安全可靠高效的工作空间。在这类项目中,IT部门对晓冬提及最多的一个词,就是“安全”。这是一个非常宽泛的概念,虚拟桌面是构建安全这个“笼子”中的一环,但不是全部。企业的安全是需要包括虚拟桌面在内的各类解决方案共同助力,才能实现的目标。
接下来,我们就来一起谈谈“虚拟桌面是如何实现安全这个目标的”。
0x01.“看得见摸不着”的桌面
毫无疑问,对“虚拟桌面”而言,它首先是一个桌面,也是运行在数据中心或者云上的一台虚拟机。 这台虚拟机通过安全特定的协议,与客户终端之间进行数据的交互。
这种模式,就像是晓冬通过共享桌面方式,向各位展示“一份如何快速部署Horizon虚拟桌面的方案”;各位能通过显示屏幕看到具体的实施工艺,但是却无法将它拷贝到自己的终端,这就是“看得见摸不着”的含义。虚拟桌面的所有运行结果都保存在数据中心,比如用户在桌面上编辑并保存了一份设计图纸,这份可能藏着企业核心技术机密的文档通过CIFS协议保存在数据中心的数据存储上,终端与虚拟桌面之间传输的仅是图像而已,但用户在终端的任何操作,比如鼠标点击、键盘输入却可以真切地反应在虚拟桌面上。
当然,这种方式无法阻止用户通过摄影录像等方式“窃取数据”。我们说,信息安全分为“事前、事中、事后”。在这种场景下,水印的事后作用就凸显出来了。
如上图所示,这就是“明水印”的效果,面对这样的“威慑”,相信别有用心的人也不敢轻举妄动。但这种明显的水印对用户体验有着巨大的负面影响。因此,现在越来越多的企业会采用“盲水印”技术来实现信息安全的事后可追溯。如下图所示:
用户在日常使用过程中并不会感知到水印的存在,但是一旦发生了安全事故,安全员可以非常简单地实现事后追责。
0x02.基于策略的互访准入
在虚拟桌面的日常使用过程中,用户难免会遇到需要将自己终端上的文件拷贝到虚拟桌面中的情况,这是普遍存在的一个需求。
在这种场景下,管理员可以通过组策略等基于策略的方式实现包括USB存储设备和本地驱动器只读、特定蓝牙或者USB设备(如打印机)的映射等需求。比如用户可以通过拷贝的方式,将本地驱动器的某个文件移动到虚拟桌面,当时当用户尝试将一些文件拷贝到USB存储设备等外设的时候,系统会提示“权限不足”。这样既满足了业务需求,同时也避免了数据外泄。这只是虚拟桌面基于策略的互访准入的一个例子,包括只读剪贴板等在内的许多策略都可以被管理员调用配置,来避免数据泄露的风险。
当然,虚拟桌面的安全并不是以牺牲性能作为代价,而是一种效率与安全之间的平衡,这是一种把“终端用户的权限关进笼子里”的成熟技术。在信息安全事件频发的今天,不失为企业IT决策者首选的数字化工作空间方案。
实际上,平时在为用户设计并实施虚拟桌面的同时,会与其他的安全解决方案协同工作,来应对虚拟桌面本身无法应对的几种场景:
比如,拥有本地管理员权限的用户,虽然受限于驱动器只读等限制性策略,但可以在本地启用FTP、HTTP服务器,然后在终端以FTP、HTTP协议等方式将数字“偷走”。
这是VMware NSX DataCenter for Desktops最为常用的一个场景。借助于NSX安全微分段,可以提供虚拟桌面端到端的安全防护。
我们不妨来举例说明这种安全防护的机制:在疫情期间,国家要求民众出门必须佩戴口罩,用以切换病毒的传播途径。NSX的安全微分段,也叫分布式防火墙,实际上就是为每一台桌面虚拟机,“戴上了口罩”。将安全域的颗粒度下沉到每一台虚拟机,通过防火墙来阻止一些非法流量的传播。在启用了NSX安全微分段的场景下,即使用户将自己的虚拟桌面变成一台“FTP服务器”,当分布式防火墙接收到包括“来自终端的FTP访问请求”在内的一切非法流量,都会被拒绝阻止,从而加固桌面安全,解决虚拟桌面本身无法应对的难题。而对于安全策略的配置来说,也不会加大管理员的工作量。当桌面虚拟机通过链接克隆、即时克隆等方式被创建的时候,它会自动关联到对应的安全域,并生效安全策略,因此这是一种自动化的安全实现手段。当然,这种对虚拟桌面的防护,同样适用于包括数据库服务器、AD域控制器等在内的基础架构服务器。
接下来,我们再来看一种场景:
管理员和普通用户,均被授权使用“IE浏览器”这种虚拟应用。在这种场景下,管理员和普通用户均会有一个RD会话连接到后端、并可能是同一台虚拟应用服务器上(Windows Server操作系统)。此时如果要实现管理员用户可以通过IE浏览器访问Exchange邮箱和报表系统,但是对普通用户只允许访问邮箱的需求,就无法单独针对应用服务器这台虚拟机进行安全微分段的设置。在这种场景下,我们会面临相同的源IP地址(这台应用虚拟机)、相同的协议(HTTP协议)、相同的目标IP地址(邮箱服务器IP以及报表服务器IP),因此就需要借助NSX的“基于身份验证的防火墙来实现”。
VMware NSX基于身份验证的防火墙,实际上是利用Guest Introspection(后文称GI)这台虚拟机(NSX-T中,这个GI服务虚拟机已经隐藏运行在ESXi中)和运行在虚拟桌面操作系统中的VMware Tools来实现:在用户登录虚拟桌面的过程中,GI将用户信息与AD活动目录中的用户组信息匹配,最终根据分布式防火墙规则来决定是否允许或者阻止流量。
比如:管理员登录就可以访问邮箱服务器、访问报表服务器;普通用户登录就会阻止他访问报表服务器。GI虚拟机的这种“打小报告”能实现“区分用户”防火墙策略,从而在虚拟应用场景下,解决一般防火墙无法应对的难题。
有了包括基于身份验证的防火墙在内的安全微分段,可以让虚拟桌面的安全域下沉到最贴近业务的地点。不过并非所有的威胁都来自网络,如果用户在无意中,将一个病毒文件,从U盘或者本地驱动器拷贝到虚拟桌面中。面对这种威胁,虚拟桌面又该如何应对呢?
实际上,在晓冬参与的虚拟桌面项目中,几乎所有的用户都会一并采用“无代理防病毒解决方案”。在最近半年,连续5个虚拟桌面或者私有云项目中,用户都选择了“亚信安全深度防护解决方案”。
如果说NSX的安全微分段,是为每一台虚拟桌面戴上了口罩,那么无代理防病毒就是捍卫桌面运行环境安全运行的“白细胞”。“无代理”的含义其实就是亚信安全并不会在桌面终端上安装任何的插件或者代理客户端。
如上图所示,当一个病毒文件通过U盘等外设进入虚拟桌面后,VMware Tools会立刻激活“无代理防病毒的免疫系统”,进行查杀。
通过亚信安全的管理后台可以清楚地看到查杀操作的记录。这种对用户透明的安全防护,同样适用于包括桌面虚拟机、基础架构虚拟机在内的所有运行在ESXi服务器上的负载。相比有代理的方式,无代理防病毒拥有如下的优势:
1. 对虚拟桌面来说,不会占用CPU和内存资源,避免出现资源竞争,规避了有代理场景下,查杀过程中可能造成工作程序运行缓慢和卡顿的情况;
2. 由于不需要安装代理客户端,回避了管理员和终端用户的客户端安装、配置、升级工作量,是一种对用户完全透明的安全防护。
不过,当前这种无代理的方式无法覆盖像Horizon Flex这类离线桌面、或者将物理机以虚拟形式发布的场景,这时候“有代理”就是唯一的选择了。
当然,其实很多安全事故,并不是来自于外部的攻击,而是源于内部的威胁。如果一台没有任何防御的公用电脑,由于U盘的使用导致被感染了木马。那么安全威胁就有机会在内部网络进行蔓延。我们知道几乎所有的入侵,都是从端口扫描开始的,进而利用漏洞实现注入,达成攻击者的目的。虚拟桌面本身无法应对这样的威胁,但是当VMware NSX与亚信安全为代表的产品有机结合以后,它能帮助桌面本身构建起立体的防御系统。如下图所示,亚信安全基于NSX的Network Introspection能识别并阻止入侵行为,在安全微分段的基础上,提供更加良好的桌面网络运行环境:
NI识别到了我的端口扫描,并成功拒绝了这类源于网络的入侵前兆。
上述的介绍是虚拟桌面场景下,NSX DC与亚信安全的几个典型功能实现,如“虚拟补丁”、“完整性检查”等其他多种有效的安全功能都是用户选择上述解决方案的源动力。
总体来说,虚拟桌面的“安全”范畴包括很多东西,我们现在所谈的安全,也不应该局限于虚拟桌面本身,而是应该把它放到整个云环境中去探讨。在诸多的云安全解决方案中,VMware NSX是一种可供用户选择的途径,它拥有非常良好的生态圈,能和包括亚信安全在内的国内外许多安全产品实现有机的结合,从多个维度来提供安全防护。
在接下来的分享中,我将从以NSX为核心的虚拟云网络作为切入点,与各位聊一聊多云连接是怎么一回事,敬请关注。
