利用虚拟化实现应用发布与网络隔离 推荐

目前很多单位在网络建设之初就在规划和考虑更多的安全问题，非常通行的安全措施就是对网络实现隔离，所谓网络的隔离就是“拿出去”的概念，要么把企业内网拿出去，要么把企业互联网拿出去。物理隔离对安全而言显然是一种解决办法，但是往往建设成为两张网络的时候，企业信息化的维护成本会迅速上升，内网要考虑安全准入与身份认证、病毒防护、数据泄露、移动介质管理等待您，外网要考虑行为审计和流量管理、访问控制等，总之企业的隔离之后付出的成本是很多企业没有想到的所以很多没有达到预想的设计效果，那么物理隔离是否有必要？

我们可以看一下物理隔离的政策和要求从何而来？

1、中共中央办公厅十七号文件规定：电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。

2、国家保密局《 计算机信息系统国际联网保密管理规定 》中第二章第六条明确指出：“凡是涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息。

3、等级保护GB/T 22239-2008边界完整性检查（S3）

a) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

b) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

那么企业如果不隔离面临那些安全风险呢？

1、 重要的信息系统可能面临多重威胁如非法攻击、恶意扫描、数据泄露、数据库篡改等等，信息系统的运行存在安全隐患。

2、 由于没有内外网隔离，整体网络安全可控性降低，抗攻击能力低。
3、 由于没有内外网络隔离，内网终端容易成为攻击跳板，互联网的安全风险如病毒、蠕虫攻击、后门木马蔓延至整个网络或者重要的应用服务器区。
4、 分支机构的内外网混用，安全风险容易蔓延至集团总部。
5、 远程用户缺少必要的第三方身份认证和准入，存在非法访问，非授权操作。
6、整个网络的业务流量梳理比较复杂，访问控制策略要十分严格和复杂。
7、企业数据的泄密可能性较高。
8、内外网混用造成各种故障的可能性较高。
在网络分离的物理隔离之外还有什么好的解决方案吗？很多人采用逻辑隔离即防火墙进行访问控制和区域划分并隔离，还有可能增加更多的安全设备如IPS，当然还有人增加网闸来进行物理隔离。在这之外呢？
虚拟化可能是一种解决方案，在整个网络当中增加一个虚拟化区，这个区域定义办公业务区，每一个都有一个自己虚拟的桌面可以访问，这就有可能实现如下内容：
实现隔离又不让用户配置两台电脑？让业务应用移植到内网又不影响用户体验（任何地点任何设备）？在合理的成本之上较快速的完成内外网的安全规划？
虚拟化实际不需要高性能的接入终端（因为运算不在终端），虚拟化不需要大容量的带宽（因为采用ICA协议只传输图像变化量和鼠标键盘指令），虚拟化不需要担心数据的泄密（任何数据都在数据中心不在本地且可审计），虚拟化不需要管理员再为补丁防病毒担心（因为技术解决了管理问题）虚拟化不用在担心用户体验很差（因为所有的操作都是和电脑一样，应用都是通过IE提供标准的业务发布已经安装完各种插件）





按需应用交付

Citrix® XenApp™是一款按需应用交付解决方案，允许在数据中心对任何Windows应用进行虚拟化、集中保存和管理，然后随时随地通过任何设备按需交付给用户。全球范围内已有1亿多用户使用XenApp，借助公认的广泛应用兼容性，它有着非常光明的前景。与传统应用部署技术相比，通过XenApp实现的虚拟应用交付可帮助企业通过以下方式改进应用管理：

1、在数据中心集中管理应用 – 降低成本

2、控制并加密对数据和应用的访问 – 提升安全性

3、迅速向任何地点上的用户交付应用

为什么要按需交付应用？

虚拟应用交付使IT部门只需在数据中心内的一个应用中心管理门户系统、OA系统和财务系统的单一实例。然后，应用通过应用流技术交付到终端上使用，或在数据中心内的强大服务器上运行，供用户通过任何设备或操作系统在线使用。

虚拟化何尝不是一种解决方案呢。