论文部分内容阅读
虚拟化与安全之间有什么关系?表面上看,虚拟化和安全分属于不同领域,相互之间似乎没有直接关系。也许有人会想到,虚拟化会给企业的信息安全带来新的挑战。不过,这种认识并不全面,虚拟化在给企业信息安全新挑战的同时,也为信息安全带来了新的市场机会。应该说,虚拟化技术为信息安全的有效应用打开了又一扇窗户。
实际上,Citrix、VMware等虚拟化厂商正是以“安全”作为桌面虚拟化和应用虚拟化的主要卖点,而一些应用层网络安全厂商,如深信服科技有限公司,则在这方面走得更远一些,把虚拟化和自己的应用安全产品融合到了一起,提供一个端到端更加完整的安全解决方案,从而为信息安全“趟”出了一条新的解决之道。
应用虚拟化
“搂草打兔子”
虚拟化技术在安全领域的应用其实很早就已经开始了,而且是以一种比较简单的方式。比如,很多用户都会通过安装虚拟机来进行各种测试,一个虚拟机出现了问题,并不会影响到其他虚拟机和主机(Host)。这其实就是一种安全措施。而桌面虚拟化和应用虚拟化则为信息安全提供了更多的保护手段。
本质上,桌面虚拟化和应用虚拟化都是基于服务器的虚拟化技术,是一种集中管控的模式。典型的桌面虚拟化应用场景如下:用户发出请求,虚拟化软件先在服务器端为用户创建出一个虚拟的桌面,然后通过网络交付给最终用户。虽然用户仍然可以像操作普通的桌面一样完成各种操作,但所有的后台执行其实发生在服务器端,推送到用户面前的只是前端呈现的部分。应用虚拟化技术的工作原理也与此类似,所不同的是用户桌面显示的是某个指定的应用而已。比如,通过深信服的远程应用发布 SSL VPN的终端虚拟化解决方案,可以为用户交付在远端服务器上的虚拟桌面/应用,并且可以跨平台支持Windows、iOS、安卓等终端。其最大的优势在于,为用户提供较好用户体验的同时,还具备更高的性价比。同时,由于与SSL VPN设备的天然融合特性,这一产品也具备了更优异的安全性。
桌面虚拟化和应用虚拟化的好处很多,集中管控为应用程序的升级和补丁发放带来了很大方便,同时,还可以真正实现在任何时间、任意地点,通过任意一台设备上网。以甘肃联通用户为例,采用深信服的远程应用发布方案实现了1000多人的应用虚拟化,让移动出差的员工可以随时随地访问内网的OA、运维等业务系统。
事实上,从市场反馈来看,用户采用桌面虚拟化和应用虚拟化的最大需求正是来自安全考虑,其次才是移动办公、降低终端维护成本等内容。目前桌面虚拟化的几个大型成功案例,包括IBM的中国开发中心(CDL)和华为的桌面虚拟化项目,其最大的价值也是体现在数据的安全上。然而,正是因为“安全性”只是桌面虚拟化和应用虚拟化众多优点中的一个部分,缺乏专一性和针对性,所以,其在满足复杂的安全需求时也存在一定局限性。
虚拟化为安全所用
与虚拟化厂商主要提供全功能的产品和解决方案不同,安全厂商采用虚拟化技术的目的非常明确——为安全服务。所以,安全厂商通常会根据自己的需要对虚拟化技术进行定制和裁减,让虚拟化“为我所用”。以深信服为例,除了常见的桌面/应用虚拟化方案外,其还推出了专门针对终端安全的“虚拟化安全门户系统设备(VSP)”。
深信服的虚拟化安全门户系统设备(VSP)是一种安全桌面隔离的解决方案。与桌面虚拟化等通过基于计算机硬件层面的虚拟机,来实现终端数据的安全隔离不同,VSP实际上是一种在应用层实现的轻量级虚拟机。其通过沙盒虚拟化隔离技术,将用户终端PC从逻辑上隔离成两个虚拟工作桌面,用户可以在一个虚拟桌面内访问高级别业务系统,而在另一个虚拟桌面中访问低级别系统。两个虚拟桌面之间的网络、文件访问、应用程序进程、注册表等都是受到安全隔离保护的,高级别的业务系统数据无法通过用户终端泄漏出去。如果通过虚拟桌面访问互联网,也能够实现安全隔离功能,从而实现了对终端操作系统安全的防护。
本质上,沙盒虚拟化技术是一种分布式的终端虚拟化方案,其运行在用户端,并不需要占用太多服务器、网络和存储资源。然而,与传统的终端虚拟机方案相比,沙盒又不是一个严格意义上的虚拟机(比如,这个虚拟机中就不包括操作系统),而更像是一个应用,所以仅需要80MB内存左右就能够运行一个虚拟桌面。这样一个巧妙定制的虚拟机,既能对数据、物理、注册表、系统服务等资源进行安全隔离,满足数据防泄漏、防感染病毒等数据安全的需求,同时还能降低部署成本。
值得一提的是,在具备了两种终端虚拟化解决方案(远程应用发布、安全桌面)以后,为了能够提升用户的部署效率,降低TCO,深信服将远程应用发布与虚拟化安全桌面融为一体,并称之为“统一终端虚拟化”。只需要一个EasyConnect客户端,就能在用户访问不同业务应用时,提供多种方案,安全且易用。
实际上,Citrix、VMware等虚拟化厂商正是以“安全”作为桌面虚拟化和应用虚拟化的主要卖点,而一些应用层网络安全厂商,如深信服科技有限公司,则在这方面走得更远一些,把虚拟化和自己的应用安全产品融合到了一起,提供一个端到端更加完整的安全解决方案,从而为信息安全“趟”出了一条新的解决之道。
应用虚拟化
“搂草打兔子”
虚拟化技术在安全领域的应用其实很早就已经开始了,而且是以一种比较简单的方式。比如,很多用户都会通过安装虚拟机来进行各种测试,一个虚拟机出现了问题,并不会影响到其他虚拟机和主机(Host)。这其实就是一种安全措施。而桌面虚拟化和应用虚拟化则为信息安全提供了更多的保护手段。
本质上,桌面虚拟化和应用虚拟化都是基于服务器的虚拟化技术,是一种集中管控的模式。典型的桌面虚拟化应用场景如下:用户发出请求,虚拟化软件先在服务器端为用户创建出一个虚拟的桌面,然后通过网络交付给最终用户。虽然用户仍然可以像操作普通的桌面一样完成各种操作,但所有的后台执行其实发生在服务器端,推送到用户面前的只是前端呈现的部分。应用虚拟化技术的工作原理也与此类似,所不同的是用户桌面显示的是某个指定的应用而已。比如,通过深信服的远程应用发布 SSL VPN的终端虚拟化解决方案,可以为用户交付在远端服务器上的虚拟桌面/应用,并且可以跨平台支持Windows、iOS、安卓等终端。其最大的优势在于,为用户提供较好用户体验的同时,还具备更高的性价比。同时,由于与SSL VPN设备的天然融合特性,这一产品也具备了更优异的安全性。
桌面虚拟化和应用虚拟化的好处很多,集中管控为应用程序的升级和补丁发放带来了很大方便,同时,还可以真正实现在任何时间、任意地点,通过任意一台设备上网。以甘肃联通用户为例,采用深信服的远程应用发布方案实现了1000多人的应用虚拟化,让移动出差的员工可以随时随地访问内网的OA、运维等业务系统。
事实上,从市场反馈来看,用户采用桌面虚拟化和应用虚拟化的最大需求正是来自安全考虑,其次才是移动办公、降低终端维护成本等内容。目前桌面虚拟化的几个大型成功案例,包括IBM的中国开发中心(CDL)和华为的桌面虚拟化项目,其最大的价值也是体现在数据的安全上。然而,正是因为“安全性”只是桌面虚拟化和应用虚拟化众多优点中的一个部分,缺乏专一性和针对性,所以,其在满足复杂的安全需求时也存在一定局限性。
虚拟化为安全所用
与虚拟化厂商主要提供全功能的产品和解决方案不同,安全厂商采用虚拟化技术的目的非常明确——为安全服务。所以,安全厂商通常会根据自己的需要对虚拟化技术进行定制和裁减,让虚拟化“为我所用”。以深信服为例,除了常见的桌面/应用虚拟化方案外,其还推出了专门针对终端安全的“虚拟化安全门户系统设备(VSP)”。
深信服的虚拟化安全门户系统设备(VSP)是一种安全桌面隔离的解决方案。与桌面虚拟化等通过基于计算机硬件层面的虚拟机,来实现终端数据的安全隔离不同,VSP实际上是一种在应用层实现的轻量级虚拟机。其通过沙盒虚拟化隔离技术,将用户终端PC从逻辑上隔离成两个虚拟工作桌面,用户可以在一个虚拟桌面内访问高级别业务系统,而在另一个虚拟桌面中访问低级别系统。两个虚拟桌面之间的网络、文件访问、应用程序进程、注册表等都是受到安全隔离保护的,高级别的业务系统数据无法通过用户终端泄漏出去。如果通过虚拟桌面访问互联网,也能够实现安全隔离功能,从而实现了对终端操作系统安全的防护。
本质上,沙盒虚拟化技术是一种分布式的终端虚拟化方案,其运行在用户端,并不需要占用太多服务器、网络和存储资源。然而,与传统的终端虚拟机方案相比,沙盒又不是一个严格意义上的虚拟机(比如,这个虚拟机中就不包括操作系统),而更像是一个应用,所以仅需要80MB内存左右就能够运行一个虚拟桌面。这样一个巧妙定制的虚拟机,既能对数据、物理、注册表、系统服务等资源进行安全隔离,满足数据防泄漏、防感染病毒等数据安全的需求,同时还能降低部署成本。
值得一提的是,在具备了两种终端虚拟化解决方案(远程应用发布、安全桌面)以后,为了能够提升用户的部署效率,降低TCO,深信服将远程应用发布与虚拟化安全桌面融为一体,并称之为“统一终端虚拟化”。只需要一个EasyConnect客户端,就能在用户访问不同业务应用时,提供多种方案,安全且易用。