安全基础
有时,用户居住在具有严格网络访问策略的公司网络后面。如果某些域被阻止,可能会出现连接问题。为了避免这种情况,管理员确保网络配置要求因为他们的部署架构得到满足。
框架上的防病毒软件
框架图像不包括防病毒或反间谍软件工具。管理员负责安装和配置自己选择的AV/作为工具。对于非持久框架帐户,系统无状态。只要管理员对他们在沙盒服务器中的工作勤奋,感染的“暴露”生产系统将在重新启动时恢复。在Nutanix提供初始基础图像(仅公共云基础架构)的情况下,Nutanix确保在客户使用它们创建框架帐户之前扫描所有基本图像。
尽管由于大量的反病毒软件包以及配置的可能复杂性,但无法保证许多防病毒软件包在框架上工作,但不能保证互操作性。防止框架服务组件执行组件的反病毒软件可能会导致框架会话中的功能丧失,直到并包括完全无法连接到会话。在安装防病毒软件包之前,如果出现问题,应采取帐户沙箱的备份。由于大多数框架客户都使用无状态系统,因此每次启动生产实例时,所有反病毒数据库更新都会下载。可以通过维护沙箱图像(定期更新沙箱和发布到生产实例)或使用持续的桌面。
排除规则
必须配置在框架管理工作负载上使用的任何反病毒软件,以允许以下目录和相关的子目录:
C:\ programData \ nutanix \ frame \
包含用于框架服务,服务器和日志的库和实用程序(FGA 8.X)。
C:\ Program Files \ Nutanix \ Frame \
包含框架服务和XI服务器可执行文件,这些服务为编排的框架平台提供通信(FGA 8.X)。
C:\ Program Files \ ofs \
包含框架文件系统驱动程序和控制应用程序。
C:\ ofs \
包含框架文件系统驱动程序组件。
如果您打算使用企业配置文件,请允许以下文件夹和文件:
文件夹:
C:\ Program Files \ ProfileUnity \
和所有子文件夹C:\ Windows \ temp \ profileUnity \
C:\ fadia-t \
c:\ propilediskmounts \
文件:
C:\ Windows \ System32 \ drivers \ cbfltfs3.sys
C:\ Windows \ System32 \ drivers \ cbfltfs4.sys
C:\ Windows \ System32 \ drivers \ cbreg.sys
C:\ Windows \ System32 \ drivers \ cbfsfilter2017.sys
C:\ Windows \ System32 \ drivers \ cbfsregistry2017.sys
C:\ Windows \ System32 \ drivers \ CBREGISTIS20.SYS
C:\ Windows \ System32 \ ofs_x64.dll
C:\ Windows \ System32 \ drivers \ ofs.sys
请确保在发布过程中禁用防病毒“篡改保护”。
在沙盒发布期间,框架将克隆沙盒磁盘图像以创建生产工作负载VM。如果将框架帐户配置为域结合实例,则将沙盒磁盘图像克隆,并使用克隆的沙盒磁盘图像创建新的VM(“广义沙盒VM”)。在创建域加入域的生产工作负载VM之前,此通用的沙盒VM使用SYSPREP启动并广泛化。
请咨询您的防病毒解决方案提供商,以确定是否必须配置您的反病毒解决方案以说明两个帧发布工作流中的任何一个。
SSL断开并检查
框架远程协议(FRP)是最终用户和工作负载VM之间的基于H.264的双向通信协议。此通信包括从Workload VM流到用户端点的音频/视频,以及从最终用户的端点到Workload VM的键盘/鼠标/外围输入。使用FRP 7.0,该协议在运输层安全性(TLS)上使用安全Websocket(WSS)。使用FRP 8.0,该协议将在WEBRTC上构建,WEBRTC是使用UDP和Datagram传输层安全性(DTLS)的实时通信协议。客户可以使用带外监视解决方案来监视这些FRP流;但是,不支持破坏和检查FRP流量的内联或带内解决方案,因为它们可以防止FRP运行或引入延迟延迟,从而降低了最终用户体验。从最终用户的角度来看,SSL中断/检查可能会导致桌面行为缓慢,显示视频跳过帧以及在会话中的视频流的突然断开连接。
从安全角度来看,FRP流不会增加固有的风险,因为它是从工作负载到端点的视频/音频流。如果剪贴板同步,文件上传/下载,麦克风输入和远程打印是为用户的框架会话禁用的,那么发送到用户端点的唯一数据是台式机的音频/视频显示和键盘/鼠标事件的音频/视频显示。用户到工作负载VM。打破和检查流量只会显示原始数据流(H.264编码的显示像素)和键盘/鼠标事件。
框架编排和经纪管理管理在工作负载和框架平台上的框架来宾代理(FGA)以及从Prism/element到框架平台从工作负载和云连接器设备(CCA)VMS源自HTTPS请求,始于客户的私人网络中,切换到通过TCP或WEBRTC通过UDP固定Websocket进行双向通信。可以配置工作负载VM和CCAS上的FGA,以支持出站HTTPS/Secure WebSocket代理服务器。
安全和合规性
我们客户数据的安全性和隐私始终是并且将继续是重中之重。有关我们的安全性,数据保护和隐私程序的更多详细信息,请访问我们Nutanix Trust页。在那里您可以了解我们:
安全
隐私,包括我们如何控制GDPR下的跨境数据传输
合规性和认证
有关我们的Nutanix许可证和服务协议,请访问//www.jhbzcj.com/legal/eula。
如果您有任何疑问,请通过my.nutanix.com。