桌面云系統(tǒng)以已經(jīng)是我們耳熟能詳?shù)南到y(tǒng)，接下來我們會用幾期文章對桌面云的幾大優(yōu)勢進行逐一講解，本期講解桌面云--安全性。

桌面云在安全性上具備三大保障：支持數(shù)據(jù)全部集中于服務(wù)器，數(shù)據(jù)不落地，同時能實現(xiàn)虛擬機和物理機之間的數(shù)據(jù)單向傳輸控制；具備外設(shè)控制、網(wǎng)絡(luò)流量控制、屏幕截屏、ARP攻擊防護等安全防護功能，從根本上杜絕病毒木馬的入侵。通過端到端的安全體系架構(gòu)，保障用戶桌面業(yè)務(wù)、數(shù)據(jù)、傳輸、接入安全，有效防范數(shù)據(jù)外泄和違規(guī)外聯(lián)，保障安全合規(guī)。

l  瘦客戶端

現(xiàn)在任何一個瘦客戶端都可以訪問自己在云端的桌面，這對于一般情況下是沒有問題的，而且還獲得了移動性的好處。除了登錄使用用戶名和密碼外，要通過添加另外一種認證方式來確保沒有非法訪問，這種另外的認證方式可以是限制瘦客戶端的 MAC 地址，限定某一范圍內(nèi)的 MAC 地址可以訪問，配置智能卡認證等等。

l  瘦客戶端和服務(wù)器的網(wǎng)絡(luò)

客戶端和服務(wù)器之間的通信由于是通過網(wǎng)絡(luò)上傳播，所以有可能被人竊聽、破解，來破壞數(shù)據(jù)的完整性。為了防范這種情況的出現(xiàn)，用戶和服務(wù)器之間的連接，一般是通過 SSL 協(xié)議進行加密傳輸，通過這種方式，桌面云方案有效的保證了數(shù)據(jù)傳輸?shù)陌踩浴?/span>

l  存儲的安全

桌面云中的存儲的安全要求和企業(yè)中的其他存儲安全基本上是一樣的。在桌面云系統(tǒng)中從性能出發(fā)，一般使用 Fiber Channel（FC）存儲，但是 FC 協(xié)議本身不是一個安全的協(xié)議，服務(wù)器可以看到后臺 Storage Area Network（SAN）上面所有的設(shè)備。最常用的存儲安全方式是在 FC 的路由器做分區(qū)（Zoning）和邏輯單元數(shù)掩碼（LUN Masking）。考慮到高可用性，桌面云中的存儲需要考慮備份方案，這樣在發(fā)生災難的時候就可以及時回復用戶的數(shù)據(jù)，保證服務(wù)的 SLA。

l  桌面鏡像的安全

桌面云中，如果桌面配置成非持久方式，而且用戶又沒有的存儲文件的話，要恢復一個受到病毒侵襲的桌面是非常容易的。只需要重啟桌面，桌面就自動恢復到以前未受感染時的狀態(tài) , 而用戶數(shù)據(jù)保存在云端，沒有受到病毒的影響。但是如果用戶有私有文件的話，由于這些文件是可寫的，所以病毒就可能常駐在這些文件里面。我們需要運行反病毒軟件來清理病毒，所以防病毒軟件必不可少，我們必須給桌面云中的桌面安裝防火墻和防病毒軟件，就像傳統(tǒng)桌面一樣。

l  軟件架構(gòu)組件的安全

在桌面云的一個安全架構(gòu)中，通常許多組件都有冗余配置，關(guān)鍵組件甚至可以有多個冗余配置，這樣就保證了系統(tǒng)的高可用性以及在大量負載下的負載均衡。在有大量用戶訪問的情況下，一般在系統(tǒng)的最前端就有一個負載均衡器，把用戶的連接請求發(fā)送給不同的服務(wù)器去處理，根據(jù)系統(tǒng)的大小，可能會有一個或者多個負載均衡器在前端處理客戶的請求。根據(jù)需要，可以在最前端的負載均衡器上加上安全訪問控制組件，保證連接的用戶都是經(jīng)過認證和安全的，防止分布式拒絕服務(wù)（DDOS）攻擊。

從整體來考慮桌面云中的安全問題，因為桌面云涉及到從前端、網(wǎng)絡(luò)、服務(wù)器、存儲、軟件架構(gòu)等各個方面，所以我們必須把它的安全作為一個整體方面來考慮，”千里之堤，潰于蟻穴”，任何一個方面欠考慮都會導致整個系統(tǒng)的不安全。