介绍
桌面和应用程序虚拟化不是新技术,但在十年的大部分时间里,对于各种规模的企业来说,它更加成为重要组成部分。越来越多的客户看到虚拟应用程序和桌面的好处 - 您可以阅读有关他们为什么转向的信息vdi和daas。
由于安全要求,网络要求以及对云服务的总体不熟悉,将虚拟应用程序和台式环境从本地到云的过渡到过去的挑战。我们的目标是隐藏复杂性并使最终用户计算(EUC)尽可能简单易用,同时灵活地支持您自己的安全性和网络要求。
在此博客结束时,您应该有一些关键问题的答案,这些问题将使您开始使用公共云桌面 - a as-a-service:
- 我还是我的安全团队可以直接在Internet上使用公共IP地址进行工作负载?
- 我是否有需要流量通过我的本地网络运行的网络检查或安全工具?
网络体系结构
我们经常从诸如“我们知道框架的核心价值和概念”之类的客户那里得到问题,但是从网络的角度来看,我们的选择是什么?”这些博客将有助于整理从网络到应用程序的完整堆栈,以便您可以安全地配置帐户,工作负载和网络体系结构。
根据部署方案的不同,由于环境的复杂性以及每个环境如何连接到现有基础架构或本地数据中心,网络体系结构可能会差异很大。这篇博客文章描述了一些常用的部署方案,并讨论了他们的网络安全影响。为了保持简单,这篇文章引用了AWS,但是这些场景可以在其他云提供商中复制[Microsoft Azure和Google Cloud平台(GCP)]。
部署方案1:使用公共IP地址的工作负载VM
框架是基于充分利用公共云来提供应用程序和台式机的想法。传统的部署模型是为了通过假定的身份和访问管理(IAM)角色来提供混合云基础架构帐户。创建了一个虚拟私有云(VPC),将子网放置在所有可用性区域(AZS)中,并创建了Internet网关(IGWS),以允许工作负载与Internet交谈并回到框架平台。
默认打开的唯一端口是Internet的443,以允许用户通过TLS 1.2的工作负载连接到工作负载,而从与我们网关相对应的三个帧IP中连接了8112。用户连接到的每个工作负载将在会话期间获得Amazon公共IP。一旦用户断开连接并终止了会话,该实例就会关闭,然后将IP释放回Amazon的池。从管理的角度来看,该模型非常简单且易于管理。但是,有些安全团队可能不希望直接将某些工作负载暴露于Internet。虽然在工作负载上运行的框架来宾代理(FGA)已经硬化并且需要身份验证,但其他客户安装的软件可能没有相同的硬化级别。通过下面列出的其他部署模型可以进一步最小化攻击面。
部署方案2:使用带有安全网关设备(SGA)的私有IP的工作负载VM
从网络的角度来看,不直接将工作量公开到Internet提供了一些保护,可以防止在Internet上发生的恶作剧。解决此问题的一种选择是Frax的私有IP Workload功能。
在这种情况下,Frame提供了一个称为流网站设备(SGA)的设备,该设备充当了专用IP工作负载的反向代理。框架平台将用户重定向到流网站设备,该设备将用户引导到正确的工作负载。在这种情况下,在VPC中创建了公共子网和私人子网,放置在公共子网中的IGW,而NAT网关则配置为通过公共子网路由流量。
框架平台将在私有子网中启动实例,并且不会直接将这些工作负载暴露于Internet。从安全的角度来看,攻击者需要知道VPC的私有IP CIDR块,知道何时启动这些实例,并具有经过验证的会话令牌以开始攻击。随着10.x.x.x / 172.31.x.x / 192.168.x.x私有IP空间的任何变化,这是很多值得查询的。这种混淆层有助于限制互联网扫描活动并保护您的工作量。作为另一个验证步骤,SGA还将验证您的用户会话令牌,然后允许您通过SGA并连接到工作负载本身。
选择正确的场景
让我们回到本博客开头提出的问题,并评估利弊。
- 我还是我的安全团队可以直接在Internet上使用公共IP地址进行工作负载?
- 优点:互联网上的任何地方可用,无需特殊配置,易于设置
- 缺点:互联网上的任何地方可用,因此攻击表面可能更大
- 我是否有需要流量通过我的本地网络运行的网络检查或安全工具?
- 优点:利用已经就位的网络检查工具
- 缺点:可以引入从云到本地运行的延迟,然后回到用户
那么,您应该做出什么选择?与往常一样,这取决于您的用例以及您要交付的应用程序或台式机。在评估用户的应用程序或桌面新部署时,您应始终考虑网络要求,安全性和最终用户体验。框架的灵活性可以支持最苛刻的网络体系结构,同时使其尽可能简单,这是一个很大的区别。
如果您需要框架团队的建议或帮助来确定正确的部署方案,我们很乐意为您提供帮助!请在这里与我们联系://www.jhbzcj.com/contact-us
©2020-2022 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,我们对任何信息的充分性,公平性,准确性或完整性都没有任何代表性从第三方来源获得。