安全基础知识

在受限的网络环境中允许的域

有时用户位于具有严格网络访问策略的公司网络后面。如果某些域被阻塞,可能会出现连接问题。为了避免这种情况,管理员确保网络配置需求因为他们的部署架构是满足的。

防病毒软件在框架

帧图像不包括反病毒或反间谍软件工具。管理员负责安装和配置他们自己选择的AV/AS工具。对于非持久的Frame帐户,系统是无状态的。只要管理员在沙盒服务器上勤奋地工作,“暴露的”受感染的生产系统将在重新启动时恢复。在Nutanix提供初始基础映像(仅公共云基础设施)的情况下,Nutanix确保所有的基础映像都被扫描,客户使用它们。

虽然很多杀毒软件都可以在Frame上工作,但由于杀毒软件数量庞大,配置可能比较复杂,因此不能保证互操作性。阻止Frame服务组件执行的杀毒软件可能会导致Frame会话中的功能丢失,甚至包括完全无法连接到会话。在安装杀毒软件之前,应该备份你的帐号的沙箱,以防出现问题。由于大多数Frame客户使用无状态系统,所有的杀毒数据库更新都会在每次生产实例启动时下载。这可以通过维护Sandbox映像(定期更新Sandbox并发布到生产实例)或使用持续的台式电脑

在框架管理的工作负载上使用的任何反病毒软件必须配置为允许以下目录和相关子目录:

  • C: \ ProgramData \ \-包含框架服务、服务器和日志的库和实用程序(FGA 7。x和。

  • C: \程序框架文件\ \-包含框架服务和Xi服务器的可执行文件,提供与框架平台的通信(fga7)。x和。

  • C: \ ProgramData \ Nutanix \ \-包含框架服务、服务器和日志的库和实用程序(FGA 8.x)。

  • C: \程序文件\ \ Nutanix \帧-包含框架服务(Frame Service)和Xi Server可执行文件,提供与框架平台(Frame Platform)的业务流程(FGA .x)通信。

  • C: \程序文件\ CloudDrive \—包含云驱动器集成库和可执行文件。

  • C: \程序文件\ OFS \—包含Frame文件系统驱动程序和控制应用程序。

如果你打算使用企业概要文件,请允许以下文件夹和文件:

文件夹:

  • C: \程序文件\ ProfileUnity \和所有子文件夹

  • C:\Windows\Temp\ ProfileUnity \

  • C: \ FADIA-T \

  • C: \ ProfileDiskMounts \

文件:

  • C:\Windows\System32\drivers\ Cbfltfs3.sys

  • C:\Windows\System32\drivers\ Cbfltfs4.sys

  • C:\Windows\System32\drivers\Cbreg.sys

  • C:\Windows\System32\drivers\ cbfsfilter2017.sys

  • C:\Windows\System32\drivers\ cbfsregistry2017.sys

  • C:\Windows\System32\drivers\ cbregistry20.sys

请注意

请确保在发布过程中禁用反病毒“篡改保护”。

SSL中断及检查

帧远程协议(FRP)是一个基于h .264的最终用户和工作负载虚拟机之间的双向通信协议。这种通信包括从工作负载虚拟机到用户端点的音频/视频流,以及从最终用户端点到工作负载虚拟机的键盘/鼠标/外围设备输入。在FRP 7.0中,该协议在传输层安全(TLS)上使用安全WebSocket (WSS)。在FRP 8.0中,该协议建立在WebRTC上,这是一个使用UDP的实时通信协议。客户可以使用带外监控解决方案来监控这些玻璃钢流;然而,不支持打破和检查FRP流量的内联或带内解决方案,因为它们要么阻止FRP运行,要么引入延迟,降低最终用户体验。从终端用户的角度来看,SSL中断/检查会导致桌面行为迟缓,显示视频跳过帧,以及会话中的视频流突然断开。

从安全角度来看,FRP流不会增加固有的风险,因为它是从工作负载到端点的视频/音频流。如果剪贴板同步、文件上传/下载、麦克风输入和远程打印对于用户的Frame会话是禁用的,那么发送到用户端点的唯一数据就是从用户到工作负载虚拟机的桌面和键盘/鼠标事件的音频/视频显示。中断和检查流量只会显示原始数据流(H.264编码的显示像素)和键盘/鼠标事件。

在工作负载和框架平台上的框架客户代理(FGA)之间以及从Prism Central/Element到框架平台之间的框架编配和代理管理通信源自客户专用网络中的工作负载、工作负载云连接器设备(WCCA,框架客户代理7)。和云连接器设备(CCA)虚拟机作为HTTPS请求,切换到安全Web套接字通过TCP或WebRTC通过UDP双向通信。工作负载虚拟机上的FGA、WCCAs (FGA 7。并且CCAs可以配置为支持出站HTTPS/Secure Web Socket代理服务器。

安全性和遵从性

客户数据的安全和隐私一直是并将继续是我们的首要任务。有关我们的安全、数据保护和隐私计划的进一步细节,请访问我们的Nutanix信任页面。在那里,你可以了解我们的:

  • 安全

  • 隐私,包括我们如何根据GDPR控制跨境数据传输

  • 合规和认证

有关我们的Nutanix许可和服务协议,请访问//www.jhbzcj.com/legal/eula

如果您有任何问题,请通过my.nutanix.com联系支持。