云巢桌面云十大基础安全技术——云巢十大系列

解决的办法

方法

云巢基于瘦客户机的客观情况，以及瘦客户机的功用，定制化了一套Linux系统(GateOS） 该系统只开放了桌面云的服务端口，所有信息都是内置的、加密的、与整个体系是松散耦合关系 系统所有内置的服务功能都从系统中进行了剥离

进一步的强化


系统在任何时候重启后，都随机重置20~36位的密码 客户端软件的升级通道，只允许上传经过签名的客户端软件，上传的文件需要与系统的其他组件进行互 相认证，方可启动客户端软件的升级安装


当出现该区域的写操作时，拒绝操作行为
当该操作被拒绝后，系统的引导安装将会无从进行下去，从而实现了虚拟机逃逸的限制

效果

任何系统都不能覆盖安装现有系统；也不能安装多OS

延伸功能(TBD)

可以对此类现象进行预警，进一步提高逃逸的监控
No.2 双/多因子认证机制
解决的问题

现有做法

操作系统默认情况下提供了用户名/密码的登录方式
云巢基于服务器的客观情况，以及服务器的功用，定制化了一套Linux系统(VueOS)


该系统只开放了桌面云的服务端口，所有信息都是内置的、加密的、与整个体系是松散耦合关系
系统所有内置的服务功能都从系统中进行了剥离

进一步的强化

系统在任何时候重启后，都随机重置20~36位的密码

效果

黑客或管理员无从通过攻击手段进入到系统 禁用了所有其他端口

效果预估

数据都是经过加密存储的 不同镜像的加密算法和密钥均不同（但都属于对称加密算法） 镜像文件即使被偷窃，也只能采用暴力方法进行破解 即使破解了其中一个，也不能因此而更容易破解其他镜像 加密镜像在离开所在软件体系情况下，将不能被使用，即使是云巢的另一个部署中，也是如此
No.4 大容量U盘加密
No.1 虚拟机防止逃逸技术
解决的问题

对于PC或普通虚拟机，用户都可以在现有基础上重新安装操作系统，逃避公司的审查与监 控

对于PC，用户一般还能通过安装多系统（OS)的方式，同样可以逃避审查与监控

重装系统或安装多操作系统，技术上来讲，都是比较容易的事情，所以几乎不可能彻底防止， 对于管控执行不严的地方，更容易出现此类问题
解决的问题

U盘在一般公司内部都是常用设备

U盘具有容易丢失、容易遗忘的特点

涉及公司私密的数据，很容易通过U盘造成泄密

一般公司很难彻底禁止U盘在公司内使用
解决办法

方法

与镜像加密技术一样，通过对U盘的加密，可以限定U盘只能在该体系下有效

效果


加密后的U盘只能在体系内使用
U盘对外部应用环境是不可识别的内容 无法从U盘上获得解密秘钥


企业级应用进一步通过windows域来进行安全管控，是对上述安全模式的进一步加强
对于安全管控更严的单位，则提供了ukey或硬件令牌（动态密码）补充安全

主要的问题

安全问题是任何单位如何穷尽而都难以彻底满足的问题，也就是说，安全问题是个永远的问题 随着虚拟化技术的发展，用户操作“PC”的范围越来越不受限制，容易导致安全问题 随着BYOD的全面普及，涉及系统安全的因素越来越多 随着便携式移动wifi设备的廉价性，涉及安全的问题也越来越大
No.10 客户端访问来源控制
解决的问题

企业级别的安全要求往往有可追溯的要求

企业级别的安全要求往往有限时限地的要求

移动终端成为桌面云的终端后，容易产生内外网安全策略要求

桌面云在终端有可能形成交叉访问的情况，加大了访问来源追溯的难度
解决的办法

方法

可以设置固定MAC地址的终端进行访问

CLOUD @ my fingertips
云巢动脉十大基础安全技术
www.vcnglobal.com
目录
1. 虚拟机逃逸控制 2. 双/多因子认证机制 3. 镜像加密技术
4. 大容量U盘的加密存储
5. 协议与通道的加密系列 6. Profile文件加密与启动参数加密技术 7. 旁路杀毒 8. 哑终端 9. 单一功能服务器 10. 客户端访问来源控制
解决的方法

方法

对QEMU/KVM的启动流程予以改造，该改造流程与其他业务功能一并进行。


将独立的QEMU与基础体系形成紧密的绑定关系，形成多点依赖关系
用户的profile数据通过加密处理存放，秘钥与数据实现分离存储

效果

用户的运行态数据在形式上消隐，除了系统自身，无人能够根据外部信息对运行目标进行跟踪 用户的运行态和个性化数据，混淆在大量的“个人”之中 所有信息都是以加密的方式予以存放
No.7 旁路杀毒
解决的问题

公司人员的计算机水平各异，存在不及时更新病毒库、错误设置杀毒软件、甚至禁用杀毒软 件的情况

一些病毒能够突破部分杀毒软件，造成杀毒软件自身失灵

杀毒软件存在与用户抢用资源的情况，容易造成系统长时间不可用

有些公司用免费在线的杀毒软件，容易造成新的安全问题
解决的办法
No.5 协议与通道的加密系列
协议与通道的关系

协议

内部通信的所有内容都是协议，包括体系管理、桌面投递、监控体系等

通道

通道是针对特定服务，如USB、Display、声音等，建立的独立网络链接，发送和接收直接相关的命 令和数据

关系

通道指网络链接；协议指发送内容 通道内走的是网络协议 协议并非都走在通道内，通道具有一定的专属性和含义
解决的问题

镜像格式基本上都属于公开内容，包括云巢的VueVD格式

镜像格式模拟磁盘，即使在不公开信息的情况下，也容易通过观察和分析IO行为而破译格式

镜像格式一旦被破译，就可以通过工具转换为已知的格式，在其他平台上读取内部数据

镜像作为一种特殊文件，容易被复制和转移
解决办法

方法


可以设置固定IP来源的终端进行访问
可以设置可访问的IP段

进一步的强化

可以根据用户追溯访问来源 可以根据IP查看使用该终端的用户 可以根据MAC查看使用该终端的用户

效果

用户在受限的情况下使用桌面云
解决的原理和方式

原理

通过封闭式瘦客户机，可以限制用户入网的途径 通过唯一标示身份的信息，如生物识别，可以有效降低依赖于记忆性的验证体系 通过多重密码的设置，可以提高安全防范的水平

方式

云巢在技术上支持包括Ukey、令牌硬件、人脸识别、指纹识别等外设类别的硬件，可以做到辅助认证作用


解决的问题

两类问题

基于通用Hypervisor体系下，非加密模式容易造成用户基础信息被窃取，如镜像位置、外设配置情 况、网络配置、限制性条件等 用户个性化相关的数据存放在存储中，与镜像文件相似，也容易被复制和转移，造成信息的泄漏

目的

将启动参数加密，用户的基础信息处于完全加密状态，无论是管理员还是非法侵入用户，都无从按 图索骥获取用户信息 对用户个性化数据加密，确保离开所在体系的用户基础数据和信息，只有在理论上存在暴力破解的 可能
No.8 哑终端
解决的问题

桌面云需要客户端进行访问，通常，wyse、升腾、联想等企业的终端，需要安装一个完整的 操作系统，如windows

终端系统需要进入到用户的网络，这样必将成为其他方案的最薄弱的部分，瘦终端的承载能 力决定了很难用系统的安全策略控制

对于终端系统的安全管控，事实上，会成为桌面云带给用户的新的、全面的挑战，其难度比 常规PC还要难
虚拟机的所有IO都是通过Hypervisor进行处理 在Hypervisor一层（QEMU/KVM）上，对要写入的数据按照块级别进行加密处理 将数据的密钥与镜像文件分离存储 可以指定不同的加密算法，默认用3DES 每个镜像文件都有独立的加密秘钥，即使属于同一用户也是如此 每个镜像文件可以指定独立的加密算法
云巢可以在技术上维持用户名/密码的机制、以及域账户的支持
云巢可以在脱离物理实体的情况下，对用户实现认证 对上述各类的认证机制进行组合，达到更安全的认证

安全机制

知道什么(what you know) 有什么(what you have) 是什么(who you are)
No.3 镜像加密技术
解决的方法

协议的加密

采用SSL协议进行加密，保障在传输过程中的基本安全

采用校验码，对消息的合法性做校验

通道建立过程的认证

通道建立构建在客户端与服务器端进行协商，避免非法接入对象

特殊通道的加密原则

对于USB、串口等通道，可以单独设置加密算法，进一步强化私有性和专有性
No.6 Profile加密 与 启动参数加密技术

前提

尽管能进行旁路杀毒，还是提倡用户在虚拟机中安装杀毒软件，防止纯内存的病毒

旁路杀毒主要目的是避免病毒进入公司的存储体系，形成永久驻留

方法

对所有要写入到存储中的数据，进行接管，经过安全通道的检查后，才能进入到存储系统中

好处

对于绝大部分的安全隐患，旁路杀毒都可以比较有效的予以解决；实现最低保障 不再依赖个人的IT水平 不再依赖用户的习惯 攻击杀毒软件的病毒没有机会进入系统
实现的原理和方式

原理

安装新的OS或者安装多操作系统，都需要对磁盘的super block或系统引导区进行修改 在非上述应用下，上述区域是不会发生变化的 在物理PC上，无法从技术上进行控制；尤其是在系统启动时，更是无法控制

云巢实现的方式

云巢通过自动感知技术，动态感知superblock和系统引导区的变化

效果

黑客或管理员无从通过攻击手段进入到系统 禁用了所有其他端口 禁止了任何可能非法文件进入系统的可能性
No.9 单一功能服务器
解决பைடு நூலகம்问题

桌面云服务需要安装在通用操作系统之上

通用操作系统自身依然存在安全隐患

实际上，服务器完全可以作为一个单一服务功能的设备而存在
解决的办法

方法