用于VMware View 的RSA 解决方案 - 保护虚拟桌面环境

1RSA Solution Brief Managing the Lifecycle of Encryption Keys with RSA® Key Manager 用于 VMware View 的 RSA 解决方案： 保护虚拟桌面环境 RSA 解决方案简述 2 RSA 解决方案简述 根据 Open Security Foundation 的调查，在所有曾报告过的信息安全违规事件中， 28% 是由于台式机或笔记本电脑被盗所导致的 1。为了减少风险，许多组织已开始迁 移到托管虚拟桌面环境。通过将数据从数百或数千个单独的桌面设备转移到数据中 心，组织可以降低他们所创建、收集和存储的敏感数据与知识产权的风险。 保护虚拟桌面环境所面临的挑战 VMware View 托管的虚拟桌面环境是一项极有价值的战 略投资，可为组织提供众多好处，包括能够增强安全 性。然而，它也是一项仍然需要进行管理和保护的投 资。例如，当用户获得访问权限并使用虚拟桌面上的 敏感信息时，该信息仍然可能面临风险。如果未备有 适当的访问和数据控制措施，组织仍有可能向不应该 访问敏感信息的用户泄露信息。 管理与 IT 基础架构中任何位置的数据相关的风险非常 重要，管理与虚拟桌面环境中的信息相关的风险也同 样重要。部署 VMware View 的组织仍然面临安全挑战， 需要进行适当的控制以实现以下安全目标： – 用户身份验证。我如何对尝试获得虚拟桌面访问权 限的用户进行身份验证？ – 数据控制。我如何确保用户在虚拟桌面会话期间适 当地处理敏感信息？ – 监控和报告。我如何识别反常和漏洞，例如与托管 虚拟桌面环境中的敏感资产相关的入站和出站流量 摘要？ – 安全配置和漏洞管理。我如何维护安全的虚拟终端配 置，并跨数百或数千个桌面快速检测和修补漏洞？ VMware View 虚拟桌面基础架构概述 VMware View 解决方案使 IT 部门可以在数据中心运行 虚拟桌面，同时在熟悉和个性化的环境中，在多个设 备上以及从任何位置为最终用户提供应用程序和数据 的单一视图。VMware View 利用虚拟化突破了桌面硬 件、相关的操作系统及应用程序之间的绑定。借助 VMware View，组织可以实现以下好处： – 提高安全性。由于所有数据都保存在公司防火墙内， VMware View 最大程度减少了设备丢失或被盗所导 致的安全风险。 – 降低成本。组织能够减少与管理和维护各个桌面及 应用程序相关的成本，在某些情况下最多可减少 50%2。 – 加强管理和控制。IT 部门能够在数据中心集中管理 所有桌面，并可即时为新用户、部门或办公室调配 桌面。 – 业务连续性和灾难恢复。桌面备份和恢复可以实现 自动化，并在发生业务中断时迅速转移到其他服务 器或数据中心，以最大程度减小运营影响。 1 Open Security Foundation，Data Loss 数据库 2 IDC 白皮书（由 VMware 赞助） Quantifying the Business Benefits of VMware View（《量化 VMware View 的业务好处》），2009年 9月 3RSA 解决方案简述 用于 VMware View 的 RSA 解决方案 RSA 和 eMC 开发了一个安全解决方案，可帮助组织获 得托管虚拟桌面的安全优势，同时解决与桌面环境中 用户访问和数据安全保护相关的传统挑战。 用户身份验证 在允许用户访问信息和应用程序之前验证其身份至关 重要。在托管虚拟桌面环境中尤其如此，因为在这样的 环境中，用户要求随时随地进行访问，并且往往通过企 业几乎无法控制的设备请求访问。在授予用户（特别是 拥有管理访问权限的用户）对虚拟桌面的访问权限之 前，完全确定其身份是一个非常重要的安全目标。 二元身份验证可提供一个额外的安全层，以确保仅有 正确的用户才能访问正确的虚拟会话和虚拟桌面环境 中最敏感的内容。通过要求员工和第三方使用更强的 身份验证技术，组织可以确保仅有授权用户才能通过 桌面映像获得对敏感信息的访问权限，从而减少虚拟 会话中的信息泄露风险。 RSA SecurID®二元身份验证每隔 60 秒生成新的一次性 密码 (OTP) 代码，因此除了真实用户外，其他任何人在 任何给定的时间很难输入正确的令牌代码。为访问虚 拟桌面，用户只需将他们的秘密个人标识代码 (PIN) 与 SecurID 身份验证器在给定时间显示的令牌代码组合在 一起即可。这样就产生了一个用于完全保证用户身份 的唯一一次性密码。 由 RSA SecurID保护并由 RSA enVision监控 由 RSA enVision监控 由 RSA DLP endpoint、 RSA enVision和 eMC Ionix Server Configuration Manager 保护与监控 由 RSA SecurID 保护并由 RSA enVision监控 用于 VMwARe VIew的 RSA 解决方案 4 RSA 解决方案简述 RSA SecurID 身份验证目前通过两种方式与 VMware View 集成： – 确保仅有受信任的身份才能访问虚拟桌面会话 – 对后端 VMware eSX 平台的管理访问，要强制执行用 户身份验证。借助 RSA SecurID 身份验证，可以在 eSX Service Console 中配置二元强身份验证。 RSA SecurID 身份验证器以多种不同的形式提供，包括 硬件、软件和按需 (SMS) 身份验证器，以满足不同用户 群体的需求。 数据控制 RSA®Data Loss Prevention (DLP) endpoint 监视和控制笔 记本电脑、台式机或移动设备等终端上的敏感数据使 用情况。RSA DLP endpoint 包括两个模块— Discover 和 enforce。Discover 模块通过分析存储在虚拟硬盘上的文 件内容来发现敏感信息。enforce 模块监控用户对机密 敏感数据所做的操作；这包括打印、保存、拷贝或通 过web 邮件以电子邮件方式发送敏感信息等操作。组 织可以对虚拟会话期间的敏感信息应用相应的使用和 处理策略。RSA DLP endpoint 通过警报、阻止或其他文 件控制机制，强制控制违反这些策略的最终用户操作。 RSA DLP endpoint 具有单个代理和统一的策略管理体 系结构，可轻松部署和管理，而不管工作站所在的地 理位置如何。管理员可以从一个集中的位置跨虚拟环 境中的所有工作站配置策略并强制执行控制措施。借 助 VMware View，RSA DLP endpoint 代理的部署大为简 化，因为该代理可内置在主映像中，然后快速推向所 有虚拟桌面。 借助 RSA DLP endpoint，完全可配置的代理能够以永久 模式进行部署，即代理驻留在终端上以便今后进行扫 描。分布式代理技术使 enforce 模块能够主动监控终端 并强制执行策略，甚至在设备已从网络断开连接时也 是如此。 enforce 模块还可以在使用点（虚拟会话和物理硬件本 身）插入精确控制，以确保在违反某个策略时，仅阻 止该特定活动而不是完全阻止访问。除了阻止外，还 可以创建策略操作来 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 用户其执行的操作违反了公 司策略，或要求用户论证该操作的合理性。用户的合 理性论证消息将记录在案以便今后审查。 发现敏感数据或阻止用户操作后，RSA DLP endpoint 随 即启动事件跟踪工作流流程以记录和监控面临风险的 数据。它保留事件的审核跟踪记录，并提供内置的通 知和警报工作流，以使用Microsoft®Active Directory 层次 结构将潜在违规情况通知数据所有者个人或小组。它 还提供自我补救选项，让用户能够直接处理事件。 为了减轻恶意或无意间获得授权访问权限 的管理员可能带来的风险，谨慎的职责分 离和权限管理是重要的一环。 5RSA 解决方案简述 监控和报告 虚拟化基础架构的快速采用导致组织迫切需要监控一 组新的活动；例如，用户从各种设备对虚拟桌面的访 问；集中创建、修改和删除桌面映像等管理操作；以 及通过虚拟桌面对敏感数据的访问。此外，随着虚拟 化在 IT 基础架构中的比重变大，组织需要衡量系统的法 规遵从性、运营需求和总体安全性。 RSA enVision®平台是一个安全信息和事件管理解决方 案，它提供了可扩展的分布式体系结构，以收集、存 储、管理和关联从 VMware View Manager、后端 VMware 基础架构以及 RSA SecurID 与 RSA DLP endpoint 解决方 案生成的事件日志。RSA enVision 可报告与 VMware View 相关的重要操作和管理事件以及与敏感资产相关的入 站和出站流量摘要，并提供一个有效的工具来优先处 理 VMware 托管的虚拟桌面环境中发生的安全事件。 RSA enVision 平台使组织能够跨构成 IT 基础架构的所 有物理和虚拟系统来统一和集中地执行事件日志分析。 通过在虚拟环境中使用 RSA enVision 技术，组织能够： – 跨虚拟机操作、群集和资源管理、虚拟网络基础架 构、存储、用户、组和权限来监控信息安全策略以 确保公司法规遵从性；监控虚拟桌面上的用户活动 （例如用户为访问虚拟会话而进行的身份验证尝 试）；以及监控虚拟桌面环境中的管理员活动（例如 为虚拟桌面创建权限、更改配置文件设置） – 以一致、非筛选和非 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 化的方式收集、保护和存 储数据 – 为整个虚拟环境建立基准级别的活动，以定义“正 常活动”和检测“异常”或不寻常的活动 – 跨多个不同设备检测到对基准级别的偏移或恶意活 动模式时发送警报 – 执行取证分析以纠正系统上的策略和设置，并提供 所有更改及其对环境的影响的调试级别视图 – 建立闭环事件管理工作流，以确保记录、上报事件 并及时补救 – 从任何角度深入了解虚拟环境中发生的流量和事件， 包括按地理位置、按用户、按系统、按业务线、按 部门等 – 借助 1,400 多个“即时可用”的报告简化审核和报告 流程，这些报告可轻松进行定制以满足内部和外部 法规遵从性要求 此外，还可以在虚拟桌面环境的边界之外利用 RSA enVision 平台，以在本地和远程监控系统，并衡量相关 系统的法规遵从性、安全性及操作需求。 RSA enVision 技术可帮助组 织跨构成 IT 基础架构的所有 物理和虚拟系统来统一和集 中地执行事件日志分析。 6 RSA 解决方案简述 安全配置和漏洞管理 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 外更改是许多 IT 安全及法规遵从性事件的首要根 源。虽然将终端集中化为数据中心的虚拟机可以简化 加固、防病毒更新和修补等流程，但是确保这些流程 正确运行且这些配置不是安全风险来源仍至关重要。 对于许多组织，终端更改管理是一个重大挑战，拥有 一个工具来自动识别违反策略的配置更改可以帮助减 少安全风险。 eMC Ionix Server Configuration Manager (SCM) 可跨物 理和虚拟环境检查、分析服务器和工作站中的详细配 置项并实施补救。eMC Ionix SCM 可监控虚拟桌面，在需 要微调系统以解决问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 或确保法规遵从性时自动生成 警报，并且可以自动执行常见任务以提高运营效率、 减少成本并确保配置是安全、合规和最新的。 eMC Ionix Server Configuration Manager 还允许深入地 了解 IT 基础架构。高级控制面板提供所需的适当级别 的信息，以使更改、配置和修补程序管理流程更加有 效；例如，验证修补程序的部署，以及检测和修复不 正确配置所导致的安全威胁。此外，组织可以查看有 关虚拟环境中发生的更改的详细信息，并跟踪那些更 改对服务级别和法规遵从性的影响。 eMC Ionix Center for Policy and Compliance 根据行业建 议的最佳做法和法规要求，提供详细的安全和法规遵 从性分析内容。将 Center 的内容与 Ionix SCM 结合使 用，可确保所有系统（包括物理和虚拟）符合公司安 全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。 用于保护VMware View 环境的RSA 解决方案 用于 VMware View 的 RSA 解决方案使组织 能够： – 发现和分析台式机及笔记本电脑等终端 上的敏感数据 – 在识别敏感数据方面达到高准确性和高 速度 – 通过监视和控制打印、保存、拷贝或通 过用户的web 邮件以电子邮件方式发送 敏感信息等操作，管理敏感数据在终端 上的使用情况 – 随时随地为最终用户提供对敏感数据的 安全访问 – 简化并自动执行收集、修复和管理配置 更改这一过程以确保法规遵从性 – 应用可扩展到其他虚拟和物理基础架构 资源的统一、一致的安全策略 – 了解虚拟基础架构的安全形势并制定计 划以实现策略或法规遵从性目标 计划外更改是许多 IT 安全及 法规遵从性事件的首要根源。 7RSA 解决方案简述 虚拟环境中的风险管理 VMware View 在解决组织的诸多风险管理问题的同时， 也引入了该技术固有的其他风险来源。RSA 与 eMC 咨询 服务相结合，可专门查找和识别组织的整个虚拟化基 础架构中的风险—从桌面到网络，再到服务器和存储。 eMC Security Assessment for Virtualized environments 服务可帮助组织了解虚拟化基础架构的安全形势，并 制定计划以实现策略或法规遵从性目标，同时不会损 害虚拟化技术的价值。该安全评估将 RSA 的安全专业知 识与行业最佳做法和标准相结合，重点是在 IT 环境中 应用虚拟化技术以确定安全风险和补救计划，同时不 损害虚拟化的业务价值。 该服务还使组织可以深入了解适合于一组给定操作要 求的保护级别，并提供策略、管理和技术改进的最佳 组合建议，以保证实现全面的虚拟化安全战略。 RSA SecurBook™for VMware View 目前，RSA 具有组织需要的许多功能，组织可借助这些 功能减少风险并利用虚拟化独有的动态性来提高安全 性。RSA 致力于进一步将虚拟化技术发扬光大，并不断 地增强产品和服务，以努力确保虚拟环境的完整性。 RSA 可帮助已部署 VMware View 的组织了解和管理信 息风险。通过在虚拟会话、终端（如台式机、笔记本 电脑）和其他数据存储库中利用 RSA 安全控制措施，组 织可以为管理新出现的安全威胁和新的法规遵从性要 求做好更充分的准备。 RSA SecurBook for VMware View 是一个易于学习的解决 方案指南，它深入剖析托管虚拟桌面环境中的安全问 题根源，并提供关于如何建立灵活的控制措施的技巧， 这样的控制措施可随着部署的增长实现动态和持久的 托管虚拟桌面安全性。此外，RSA SecurBook 指南旨在 帮助组织减少实施时间和总体拥有成本。SecurBook 提 供以下方面的指导： – 用于保护 VMware View 的解决方案体系结构 – 解决方案部署和配置指南 – 用于有效使用该解决方案的操作指导 – 故障排除指导 结论 安全性不应成为绊脚石，而应该帮助组织加快实现业 务计划。通过部署适当的访问权限和数据控制措施， 组织可以充分发挥 VMware View 投资的价值、全面利用 虚拟环境操作功能并有效地管理法规遵从性要求。 RSA 是值得您信赖的合作伙伴 RSA，eMC 的安全产品分公司，是以信息为中心的安全 保护方面的专家，支持在信息的整个生命周期中对 信息实施保护。RSA 使客户可以经济高效地加强至关 重要的信息资产和在线身份的安全（无论它们在哪 里，无论处于哪一个阶段），并管理安全信息和事 件，以减轻法规遵从性负担。 RSA 在以下领域中提供了业界领先的解决方案：身份 保证和访问控制、加密和密钥管理、法规遵从性和 安全信息管理，以及欺诈保护。这些解决方案确保 了数百万用户的身份、他们执行的交易以及生成的 数据的可信性。有关更多信息，请访问 china.RSA.com 和 www.eMC2.com.cn。 ©2010 RSA Security Inc. 保留所有权利。 RSA、RSA Security、SecurID、enVision 和 RSA 徽标是 RSA Security Inc. 在美国和/或其他国家/地区的注册商标或商标。EMC 和 Ionix 是 EMC Corporation 的注册商标。VMware 是 VMware, Inc. 的注册商标。此处 提到的所有其他产品和服务均为其各自公司的商标。�� hvd SB 1009 china.rsa.com