利用虛擬化實現應用發布與網路隔離

目前很多單位在網路建設之初就在規劃和考慮更多的安全問題，非常通行的安全措施就是對網路實現隔離，所謂網路的隔離就是“拿出去”的概念，要麼把企業內網拿出去，要麼把企業互連網拿出去。物理隔離對安全而言顯然是一種解決辦法，但是往往建設成為兩張網路的時候，公司資訊化的維護成本會迅速上升，內網要考慮安全准入與身份認證、病毒防護、資料泄露、移動介質管理等待您，外網要考慮行為審計和流量管理、存取控制等，總之企業的隔離之後付出的成本是很多企業沒有想到的所以很多沒有達到預想的設計效果，那麼物理隔離是否有必要？

我們可以看一下物理隔離的政策和要求從何而來？

1、中共中央辦公廳十七號檔案規定：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互連網之間邏輯隔離。

2、國家保密局《 電腦資訊系統國際連網保密管理規定 》中第二章第六條明確指出：“凡是涉及國家秘密的電腦資訊系統，不得直接或間接地與國際互連網或其它公用資訊。

3、等級保護GB/T 22239-2008邊界完整性檢查S3） 

a) 應能夠對非授權裝置私自聯到內部網路的行為進行檢查，準確定出位置，並對其進行有效阻斷。

b) 應能夠對內部網路使用者私自聯到外部網路的行為進行檢查，準確定出位置，並對其進行有效阻斷。 

那麼企業如果不隔離面臨那些安全風險呢？

1、  重要的資訊系統可能面臨多重威脅如非法攻擊、惡意掃描、資料泄露、資料庫篡改等等，資訊系統的運行存在安全隱患。

2、  由於沒有內外網隔離，整體網路安全可控性降低，抗攻擊能力低。

3、  由於沒有內外網路隔離，內網終端容易成為攻擊跳板，互連網的安全風險如病毒、蠕蟲攻擊、後門木馬蔓延至整個網路或者重要的應用伺服器區。

4、  分公司的內外網混用，安全風險容易蔓延至集團總部。

5、  遠端使用者缺少必要的第三方身份認證和准入，存在非法訪問，非授權操作。

6、整個網路的業務流量梳理比較複雜，存取控制策略要十分嚴格和複雜。

7、企業資料的泄密可能性較高。

8、內外網混用造成各種故障的可能性較高。

在網路分離的物理隔離之外還有什麼好的解決方案嗎？很多人採用邏輯隔離即防火牆進行存取控制和地區劃分並隔離，還有可能增加更多的安全裝置如IPS，當然還有人增加網閘來進行物理隔離。在這之外呢？

虛擬化可能是一種解決方案，在整個網路當中增加一個虛擬化區，這個地區定義辦公業務區，每一個都有一個自己虛擬案頭可以訪問，這就有可能實現如下內容：

實現隔離又不讓使用者配置兩台電腦？讓業務應用移植到內網又不影響使用者體驗任何地點任何裝置）？在合理的成本之上較快速的完成內外網的安全規劃？

虛擬化實際不需要高效能的接入終端因為運算不在終端），虛擬化不需要大容量的頻寬因為採用ICA協議只傳輸映像變化量和滑鼠鍵盤指令），虛擬化不需要擔心資料的泄密任何資料都在資料中心不在本地且可審計），虛擬化不需要管理員再為補丁防病毒擔心因為技術解決了管理問題）虛擬化不用在擔心使用者體驗很差因為所有的操作都是和電腦一樣，應用都是通過IE提供標準的業務發布已經安裝完各種外掛程式）

 

650) this.width=650;" src="http://www.bkjia.com/uploads/allimg/131227/19393B5J-0.png" border="0" alt="" />

按需應用交付

Citrix® XenApp™是一款按需應用交付解決方案，允許在資料中心對任何Windows應用進行虛擬化、集中儲存和管理，然後隨時隨地通過任何裝置按需交付給使用者。全球範圍內已有1億多使用者使用XenApp，藉助公認的廣泛應用相容性，它有著非常光明的前景。與傳統應用部署技術相比，通過XenApp實現的虛擬應用交付可協助企業通過以下方式改進應用管理：

1、在資料中心集中管理應用 – 降低成本

2、控制並加密對資料和應用的訪問 – 提升安全性

3、迅速向任何地點上的使用者交付應用

為什麼要按需交付應用？

虛擬應用交付使IT部門只需在資料中心內的一個應用中心管理入口網站系統、OA系統和財務系統的單一執行個體。然後，應用通過應用流技術交付到終端上使用，或在資料中心內的強大伺服器上運行，供使用者通過任何裝置或作業系統線上使用。

虛擬化何嘗不是一種解決方案呢。

 

 

本文出自 “潛水小龍” 部落格，請務必保留此出處http://chengfei.blog.51cto.com/503939/1166966