用终端虚拟化保障业务安全
近段时间与行业用户交流,听到最多的抱怨就是终端安全无法保障。这次耿主任说的一句话就很有代表性:手机平板都能接入了,难道还寄希望于终端安全?但终端安全的问题又无法回避,如果云到端的业务链条上出现一个安全缺口,最终面临的很可能是千里之堤溃于蚁穴的残酷局面。
在经过多种尝试后,大连最终确定了终端虚拟化这种与众不同的解决思路:既然无法保证终端安全,就全力保证业务安全。不过终端虚拟化的部署也要面临很多困难,有技术层面的,也有非技术层面的。期待大连的试点工作能顺利开展,将成功经验分享给更多用户。
Q:现在移动办公是个大趋势,很多情况下网络边缘已经模糊了。比如您刚才提到计生委用平板电脑做入户普查,还有权限比较高的用户可能随时登陆网站或者业务系统的后台,这个时候又如何保证安全?
耿昭:其实这么多年搞安全总结下来,数据大集中也好,移动办公也好,都让终端越来越简单,也越来越不安全。手机平板都能接入了,难道还寄希望于终端安全嘛?保护核心数据和访问通路的安全才是重点。所以除了服务器的系统安全和数据安全,我们现在要求所有访问都通过设立的VPN区域来接入,目前使用的是数字证书加密码的SSL VPN进行统一的安全认证,这样除了隧道安全外还可以对所有的用户做身份识别,在策略分发上统一了。
Q:这个VPN区域在管理上用到什么特别的手段么?或者说,为何选择SSL VPN,而不是常见的VPE?
耿昭:VPN接入的用户在权限策略和审计策略方面都是很严格的,包括我们要求任何的策略调整、信息维护都必须走VPN区,因为只有在这里可以做到基于特定业务、特定权限的精细控制。另外VPN区域的业务流量不大,可以做到行为和内容的精确审计,包括每个用户的每次登陆、修改过的策略、上传的内容都会记录。这样谁干了什么事情都是清清楚楚的,出了问题能定位到人。IPSec VPN在权限上没法做到这么细,易用性方面也比SSL VPN弱一些。
Q:不管是移动办公还是远程维护,终端上的数据又如何保证安全呢?
耿昭:刚才说过,保证核心数据和访问通路的安全已经有很成熟的解决方案;终端上现在不是不想控,是控制难度太大,才造成完整业务链条末端出现了一个安全真空。其实按照现有成熟的理论模型,如果业务系统本身在数据签名、数据加密和数据保护三方面都比较完善,即便没有VPN也能保证一定的安全性。但是我们不可能要求几百个业务系统都达到这种程度,所以才会去做系统加固、去建VPN,把很多安全防护工作先做了,再慢慢去促进解决业务系统在终端运行的安全问题。
Q:这个问题似乎已经不局限于移动场景了,所有电子政务外网用户其实都存在终端安全的问题。那么大的用户量肯定没法去做审计和细粒度的权限控制,数据安全也没法保证,比如插个U盘就能把数据带走。对此,您解决问题的思路是什么?
耿昭:理论上终端安全我们可以通过上网行为管理去做准入控制,如果客户端病毒库不够新或者补丁不全,就拒绝访问。但实际操作中我们没有这样做,主要不是技术上的问题,而是管理层面的问题。数据安全确实很麻烦,受制约的因素就更多了,比如基层用户的安全意识就是个很大的问题。对于这两个问题我们希望找到更好的解决方案,也测试过很多产品,目前比较认可的就是终端虚拟化的方式。这种方式其实是换了个思路,对我们来说更现实。不管终端上有病毒也好木马也好,甚至用网吧的电脑登录上来,都不会把安全威胁带到电子政务外网里。
Q:终端虚拟化确实可以很好解决问题,但是目前成本太高。而且您刚才提到有些地区的网络接入条件有限,是不是也会影响使用体验?
耿昭:是的,所以我们在终端虚拟化上有云终端和虚拟桌面两种思路。刚才你说的就是云终端,所有工作放到云端来做,也就是我们的数据中心;电脑和网络只是用户登陆的管道,并且这个管道是加密的,传输的也不是实际数据。虚拟桌面就是类似沙盒的思路,用终端本地的计算、存储资源,部署门槛就低得多了,而且我们可以把策略做细,比如不开虚拟桌面也可以访问互联网,但不能登陆税务系统。
Q:您更倾向于使用哪种方案呢?
耿昭:现在只能说终端虚拟化的大方向定下来了,云终端和虚拟桌面都会去做,具体到用户要看他的需求、条件和实施成本。方向这个东西很重要,因为一旦定下来就基本没有回头路,比如我们做了7层的访问控制和数据中心,就绝不可能倒退回去。终端虚拟化我们已经着手去做了,三万多个用户分阶段部署,今天一千、明天一千、后天一千地慢慢趋同。
Q:终端虚拟化有拓展到移动设备的计划么?现在技术上好像已经不成问题了。
耿昭:移动端也会做。我们现在部署的深信服的SSL VPN有个远程应用发布模块(编者注:即EasyConnect),它可以把特定应用通过加密隧道推送到移动设备上,并且和终端使用的操作系统类型无关。我们现在只是小规模在用,但它其实可以满足很多业务需求。未来打算往云终端切的时候,我们也可以直接把它当做一个应用做发布,达到和普通电脑类似的效果。