-------- Array & VMware 整体解决方案
一、前言
您是否遇到过这样的问题?
1、您公司的某个员工在出差时,不慎把笔记本电脑丢失。电脑并不值多少钱,但电脑中的数据万一被竞争对手获得,后果将不堪设想。
2、某个对公司不满的员工将电脑中的数据复制并故意泄漏。
3、员工的电脑中了恶意木马,在不知情的情况下,电脑中的机密信息不幸被泄露。
此时您该怎么办? 难道您要放弃网络给大家带来的便利,要把公司的电脑全部都锁到保险柜中,让员工只能在办公室摄像头的监控下工作吗?
广州粤速 Array & VMware 数据防泄漏解决方案,企业机密信息仅在 VMware 的虚拟机中运行,并且只能通过 Array 的 SSL VPN 加密隧道的方式传输到公司数据中心,这样您就能轻松保护企业的数据安全了。 Array & VMware 数据防泄漏解决方案让一切变得都这么简单!
二、企业数据风险分析
当今企业在迅猛发展的同时,企业的机密数据存在如下风险:
风险 1,用户故意将电脑中的数据拷贝泄漏。
风险 2,用户上网时,恶意木马窃取了电脑中的机密信息。
风险 3,用户电脑丢失而导致的数据泄漏。
风险 4,。。。。
如何解决移动办公和数据安全之间的矛盾?如何保证企业机密数据在个人 PC 中的安全?很多企业采用了严格的内、外网隔离的管理方式,试图用管理方式来解决现实中面临的数据泄漏方面的风险。 内外网隔离的管理方式,虽然可以解决数据防泄漏的问题,但是,它一方面要求客户建设两套完全不同的网络,增加了客户的投资。另一方面又无法解决用户同时使用两套网络的灵活性。 是否能通过技术手段来解决机密数据隔离的问题?是否可以构建一个安全虚拟网络来代替物理的内外网分离方式,让机密的数据只能在安全虚拟的网络环境中运行?
请看广州粤速 Array & VMware 数据防泄漏整体解决方案!
三、Array & VMware数据防泄漏解决方案
如上图所示,物理机用于处理日常非机密类的流量,而物理机上的虚拟机则用于处理机密的业务类数据流。 虚拟机与物理机的通信隔离,保证虚拟机中数据在本地不被窃取。且虚拟机是加密方式存储的,即使电脑丢失,也可保证虚拟机中的数据不被破解泄漏。 在虚拟机上,启动 L3 功能与企业数据中心的 Array SSL VPN 建立一条 full tunnel,并且虚拟机上的安全策略,只允许与 SPX 通信,保证虚拟机联网时的数据不被恶意木马窃取。 通过以上技术手段,我们可以利用 VMware 虚拟机,实现数据在同一物理介质上的安全隔离,利用 Array SSL VPN 的 full tunnel,构建一个安全的虚拟专用网络。保证数据在传输时的安全。从而通过技术手段实现了非业务流量与业务流量的隔离。
四、VMware部署示意图
VMware ACE 2.5 是一个全面的企业解决方案,使用该解决方案企业可以在安全且集中管理的虚拟机(称为 ACE)中部署标准化的客户端 PC 环境。每个 ACE 包含一个完整的客户端 PC - 包括操作系统和所有应用程序。桌面管理员可以使用 ACE 中的动态策略配置功能,通过控制设备和网络的访问权来锁定端点,从而保护公司的机密数据,并确保遵守 IT 策略。 使用 Workstation 6.5 来创建 ACE,并将其打包和部署到本地及远程端点(如笔记本电脑
和桌面 PC),甚至可以部署到可移动的 USB 设备(如拇指驱动器和移动硬盘)。
部署之后,使用 ACE 管理服务器可从一个中心位置监视 ACE 并执行公司策略。ACE 管理服务器使管理员能够向本地和远程 ACE 实例提供动态策略更新,还能控制承包商、顾问及其他临时用户所用产品包的激活和停用。 其主要功能如下:
1、 与 VMware Workstation 6.5 集成:VMware ACE 2.5 提供了与 VMware Workstation 6.5 的无缝集成,客户能够使用单个用户界面访问这两种产品。因此,现在管理员可以在扩展的企业中使用 Workstation 6.5 来配置和部署 ACE 产品包。
2、 ACE 2 管理服务器:使用新的 ACE 2 Management Server,可从一个集中的位置管理和控制 ACE 客户端。ACE 2 管理服务器具有动态更新控制和安全策略的能力,它还能激活/停用 ACE 客户端。
3、 便携 ACE:现在,管理员可以直接在一个便携式 USB 介质设备(如闪存记忆棒、便携式硬盘甚至 Apple iPod)上捆绑和部署 ACE 软件包。最终用户可以直接从 USB 设备运行其 ACE 客户端虚拟机,从而实现了无与伦比的移动性和灵活性。
4、增强的安全功能:ACE 2.5 增强了策略和产品包设置,因而可以更方便地保护和管理 ACE 客户端。对设备和网络访问灵活、细化的控制使管理员能够准确地指定 ACE 客户端可以访问的计算机或子网。此外,ACE 2.5 使用经 FIPS 验证的 128 位 AES 算法,来防止对存储在 ACE 客户端上的数据进行未经授权的访问。
五、风险分析
在构建一个数据防泄漏解决方案时,一定要充分考虑到方案所涉及的全部风险和漏洞,并对每个风险或漏洞给出解决方案。 细分下来,数据防泄漏解决方案将面临如下风险:
风险 1:虚拟机中的数据被本地物理实体机所访问,窃取。
风险 2:虚拟机中的数据被通过网络所访问,窃取。
风险 3:虚拟机中的数据通过网络传输时被窃听。
风险 4:虚拟机被病毒感染,导致数据被木马程序窃取。
风险 5:虚拟机丢失而导致的数据泄漏。
风险 6:员工备份了虚拟机,离职后仍然可以访问虚拟机中的数据。
风险 7:员工将家中的物理机仿冒成虚拟机窃取公司数据。
下面我们针对这些风险来一一进行剖析:
风险 1,虚拟机中的数据被本地物理实体机所访问,窃取。
解决方案,在 ACE instance 中设置策略禁用光驱、USB、打印等外部设备。
风险 2, 虚拟机中的数据被通过网络所访问,窃取。
解决方案:在 ACE instance 中设置策略只允许与 SPX 设备的接口地址通信。
风险 3, 虚拟机中的数据通过网络传输时被窃听。
解决方案, 在虚拟机与 SPX 设备建立一个 full tunnel,其中传输的数据都是通过 SSL 协议加密的,以保证数据在传输时的安全。
风险 4,虚拟机被病毒感染,导致数据被木马程序窃取。
解决方案,所有的虚拟机都只是仅通过 full tunnel 连接到公司的数据中心,并且也不能通过公司的网络上 Internet,保证了虚拟机与 internet 的隔离。相当于是所有的虚拟机通过full tunnel 与公司数据中心形成了虚拟专网,并且这个虚拟专网是与 internet 虚拟隔离的。
风险 5, 虚拟机丢失而导致的数据泄漏。
解决方案, ACE instance 是加密的,并且可以设置保护密码和失效时间。
风险 6, 员工备份了虚拟机,离职后仍然可以访问虚拟机中的数据。
解决方案, 将 ACE instance 设置为不可 copy。
风险 7,员工将家中的物理机仿冒成虚拟机窃取公司数据。
解决方案,管理员给员工的每个 ACE instance 安装上数字证书,并且数字证书设置为不可导出的模式。这样,任何人都无法在 ACE instance 上窃取数字证书了。 备注:管理员一一安装证书,后生成 packet ACE package。
五、Array在此方案中的价值
1、保证数据在传输中的安全 通过对 MAC 地址、HDD、UserSID、数字证书(只存在于 ACE instance 中,设置为不能导出的模式)等方式的校验,确保只有正确的 ACE instance 才能访问 SPX 设备。 L3 的 full tunnel 模式保证从虚拟机发出的流量都进入隧道,送到总部的数据中心进行安全审计。
2、对业务用户进行统一的认证、授权、审计 与用户原有的认证系统兼容,控制不同类型的用户,具备不同的访问权限。 用户全部业务的访问都有日志记录,做到有据可查。
3、与 DesktopDirect 方案结合
对于更机密的数据,用户甚至都不允许采用 pocket AEC package 的方式将机密数据带出公司,可以对此部分用户结合采用 Desktop Direct 解决方案。
六、VMware在方案中的价值
1、集中化控制
Virtual Rights Management (VRM) 集中管理在最终用户 PC 上运行的 VMware ACE 的安全策略和访问权限。 设备控制。根据设备类型或 ID 授予或拒绝授予主机 PC 设备(如打印机、USB 存储器或 DVD/CD 刻录机)的访问权,以此锁定 PC。
2、安全的访问
用身份验证和虚拟磁盘加密保护整个 VMware ACE 环境,包括数据和系统配置。 内置键盘记录器防御能力。通过将 ACE 虚拟机运行时设置配置为预防某些类别的键盘记录器,来防止身份窃取。
3、灵活的部署
在可移动介质上部署桌面。使第三方(如客户、承包商和供应商)能够快速安全地访问公司的标准桌面,省去昂贵的附加系统。 桌面不再依赖于硬件。在外员工能够根据需要自由地在任何地点安全的展开工作。
