浅谈桌面云的一些安全机制
  

黎明圣光 5665

{{ttag.title}}

一、终端接入安全
接入安全主要体现在用户接入时的https加密以及多因子认证。
在VDC界面上,VDI设置-》认证设置中,可以对本地密码认证、RADIUS、LDAP等密码认证做更多的安全设置。
二、网络安全
1.VDI组件(VDC、VMP、VS)之间采用专用传输通道进行传输,包含鉴权、加密特性。
常用端口:
VDI用户登录连接的是VDC的:443/80端口;
agent连接VDC的:8866
VDC需要能正常访问VMP的端口有: 4433、443
获取虚拟机,aDesk 需要去连接VMP的端口范围是TCP 端口5500-5699
VDC控制台登录的端口是:4430端口
VMP控制台 443
2.桌面云主要有三个网络平面
(1)存储平面
通过深信服虚拟化分布式存储组件,为虚拟机提供存储资源,不直接与虚拟机通信,而通过虚拟化管理平台VMP连接。存储数据通过独立服务器网口进行通信。
(2)管理平面
承担桌面云平台管理、业务部署、平台更新等流量。该平台通过独立服务器网络进行通信,且通常与其他平面隔离。
(3)业务平面
承载虚拟机业务流量
3.分布式防火墙
从桌面云5.4.2版本开始,支持分布式防火墙,支持对桌面云服务器内的虚拟机实现ip到ip、端口到端口的访问控制。

三、虚拟机及桌面安全
(1)应用控制可以通过策略管控用户虚拟机中的应用程序运行,从而限制恶意软件、流氓软件在用户虚拟机中安装和运行,同时也避免了非办公用软件对于用户虚拟机资源的消耗。
(2)PC防截屏功能以及屏幕水印功能

四、数据安全
(1)数据访问控制
通过PC剪切板策略可以实现剪切板单、双向控制,剪切板拷贝字符数控制,保障数据流转安全。
通过PC内置磁盘控制功能,可以限制PC客户端在接入时的磁盘映射。
(2)文件导出审计
结合桌面云外置数据中心,可以实现文档导出审计。该功能会限制用户仅能使用特定的文档导出工具实现文件外发,并且仅能发到指定介质。功能开启后虚拟机通过剪切板、PC设备和USB设备外发文件的操作将被禁止,PC剪切板的反向拷贝字符限制不受约束。用户可使用虚拟机内部的文件导出工具实现文件外发。
(3)USB访问控制
  在桌面云的使用场景中会设计到大量不同类型的外设,为了解决外设的精确管控,aDesk提供了USB黑白名单的功能。在功能中包括了添加黑白名单、Reset名单、DWCQuirk名单、MPQuirks名单、Acc名单、Camera名单、UsbBan名单、Audio名单和高拍仪(摄像头)名单。

五、双副本或者三副本可靠机制
  VS基于底层Hypervisor之上,通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘,“池化”集群所有硬盘存储的空间,通过向VMP提供访问接口,使得虚拟机可以进行业务数据的保存、管理和读写等整个存储过程中的操作。
VS副本颗粒度是文件级别。例如两个副本,即把文件A同时保存到磁盘1和磁盘2上。并且保证在无故障情况下,两个副本始终保持一致。

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

Sangfor_闪电回_朱丽 发表于 2020-5-21 15:46
  
感谢您的分享,满满的干货,已将文章放入技术博客中!

社区技术博客征稿活动正在进行,只要符合内容要求,就有奖励,欢迎投稿~
了解奖励和投稿要求,请参考:https://bbs.sangfor.com.cn/forum ... read&tid=103115
新手260505 发表于 2020-5-22 08:25
  
满满的干货
平凡的小网工 发表于 2020-5-22 14:16
  
可以的。对于桌面云的安全机制说的很全面了。欢迎来桌面云板块多多交流。
新手589624 发表于 2020-5-27 06:56
  
桌面安全新理念
新手081074 发表于 2020-5-28 09:13
  
感谢分享
SANGFOR_45083 发表于 2020-6-1 16:01
  
说实话那个PC防截屏功能用户实际反馈觉得不是很感冒,目前比较突出的是分布式防火墙和外设管控
南小卒 发表于 2020-6-2 00:14
  
在实际项目中,较多客户采购adesk都存在一部分安全和稳定的角度考虑,即便客户不说,但在这个方面也是有考虑的,安全是一个永远不消退的话题。楼主从网络、平台、虚拟机、策略等各方面讲解搭建桌面云环境时需要考虑的安全事宜,详尽全面,推荐~
gqce 发表于 2020-6-6 22:11
  
很全面,感谢分享
暖暖的毛毛 发表于 2020-6-10 08:58
  
感谢您的分享
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人