评估瘦客户端处于不断变化的危险环境中的安全性IT@Intel白皮书英特尔信息技术业务解决方案2010年4月传统PC享有与瘦客户端同等级的安全控制,同时具备更多瘦客户端所牺牲的功能。我们确定了五种特性,这些特性通常被视为瘦客户端可带来的安全优势,其中包括:防止物理数据丢失、消除用户管理特权、限制用户安装应用、客户端完整性以及返回至已知良好状态的能力。我们发现,尽管这些控制可为环境提供更安全的保护,但它们无法阻止最新的网络攻击。此外,我们还发现,这些控制并非仅适用于瘦客户端:传统PC享有与瘦客户端同等级的安全控制,同时具备更多瘦客户端所牺牲的功能。如果说之前此类控制并未在瘦客户端或PC上得到全面实施,往往是因为这些控制对用户工作效率的限制令人无法接受,而不是因为客户端架构问题。我们还考量了瘦客户端的其它限制和成本因素,包括无法支持移动计算、高度互动或计算密集型应用以及富媒体(如视频)。此外,瘦客户端还需要更多的服务器容量和网络带宽。在瘦客户端依赖的中心网络资源出现故障时,一些瘦客户端模式会导致业务中断的风险提高。根据分析,我们发现,瘦客户端适用于一些小规模用途。在英特尔,移动设备数量占设备总量的80%,并且大部分英特尔用户需要移动商务电脑具备出色的功能和灵活性。移动商务电脑使我们能够充分利用新兴的技术和服务交付模式。TobyKohlenberg英特尔IT部门高级信息安全专员OmerBen-Shalom英特尔IT部门首席工程师JohnDunlop英特尔IT部门企业架构师JerzyRub英特尔IT部门信息风险与安全经理概要英特尔IT安全团队不断致力于分析我们的计算模式,旨在确定如何改进计算模式,以便应对不断变化的安全威胁。最近许多高知名度目标遭受网络攻击,这促使我们重新评估了瘦客户端提供的安全性,并对利用瘦客户端能否帮助抵御类似攻击进行了研究。2@Intel白皮书评估瘦客户端处于不断变化的危险环境中的安全性目录概要...........................................................1背景.........................................................2客户端安全分析.................................2与瘦客户端相关的常用安全控制..................................2这些控制的缓解攻击作用............2在传统PC上应用安全控制.........3瘦客户端安全问题........................4不断变化的威胁环境中的安全性....................................................4满足英特尔的企业需求..................4未来定位...............................................5动态虚拟客户端..............................5总结.........................................................5了解更多信息......................................6缩写词....................................................7IT@INTELIT@Intel致力于促进IT员工、管理人员和高管与英特尔IT部门同仁以及数千名其他IT业界精英进行紧密交流,帮助您深入了解可有效应对当前严峻IT挑战的工具、方法、战略和最佳实践。如欲了解更多信息,请访问或联系您当地的英特尔代表。背景英特尔IT部门为拥有遍及61国家约83,500名员工的大型企业环境提供支持。英特尔依靠员工实现推动企业发展的业务创新,并继续创造竞争优势。为了促进企业创新,英特尔IT部门为80%的员工配备了移动商务电脑。现在,网络威胁快速变化,比如零日漏洞攻击,这种攻击在发现后几小时内即可攻破此前未知的漏洞。一些针对其它高知名度网站的最新攻击仅通过常用的客户端软件,如Web浏览器,即可攻破以前未知的漏洞。英特尔IT安全团队一直在严密监视这种威胁趋势,并定期分析我们的商务和计算模式能否抵御这种威胁。最近许多高知名度目标遭受网络攻击,这促使我们重新评估了瘦客户端提供的安全性,并对利用瘦客户端能否帮助抵御类似攻击进行了研究。对瘦客户端特性进行分析后,我们对能否将类似控制应用于传统PC之上进行了验证。然后,我们从英特尔IT整体客户端战略的角度考量我们的研究结果,并充分考虑了企业用户需求和新兴的技术趋势。客户端安全分析我们分析了与瘦客户端相关的常用安全控制及其在不断变化的威胁环境中所发挥的作用,并对这些安全控制能否阻止或缓解目标性的零日漏洞攻击进行了评估,如攻破其它高知名度网站漏洞。随后,我们对类似控制能否应用于传统PC之上进行了分析。与瘦客户端相关的常用安全控制我们确定了五种主要特征,这些特征通常被视为瘦客户端可带来的安全优势,它们包括:•防止物理数据丢失。在瘦客户端模式下,存储仅限于数据中心内,这便降低了物理数据泄露风险。此外,瘦客户端通常不具有连接外部媒体设备的端口或USB记忆棒,这进一步降低了利用客户端直接复制数据的风险。•无特权用户。消除用户管理特权,这降低了利用特权更改系统文件和设置的风险。•限制用户安装应用。用户不能安装其它可能对扩大客户端受攻击范围或导致系统感染恶意软件的应用。评估瘦客户端处于不断变化的危险环境中的安全性IT@Intel白皮书•客户端完整性。所有客户端基于已知的配置基准,保持一致的状态。通过为基于服务器的镜像添加补丁程序,可快速统一地应用新补丁程序。•能够返回至已知的良好状态。采用瘦客户端,通过重新启动或重新加载先前版本的单个虚拟容器文件,可返回至已知的良好状态。这些控制的缓解攻击作用我们发现,尽管这些控制可为环境提供更安全的保护,但它们无法在最新的零日漏洞攻击中发挥重要的整体保护作用。•集中化的数据存储。以前,数据盗窃是指利用设备复制物理存储于系统上的数据。现在的数据盗窃通常通过网络实现,如图1所示。瘦客户端因存在局限性,无法阻止这种行为。所有瘦客户端均可快速连接网络,大部分瘦客户端可连接至互联网。攻击者可利用快速的网络连接穿越防火墙传输来自服务器的数据。•无特权用户。消除用户管理特权可降低感染带来的影响,并使恶意软件向新系统传播变得更加困难。但是,这样做并不能解决根本问题,除非采取极端的限制手段,否则攻击者仍然可以利用用户余下的权利来访问系统和用户有权访问的数据。此外,如果受攻击的服务作为系统流程而非用户流程运行,那么消除用户的管理权不会产生任何保护效果。•限制用户安装应用。如果阻止用户安装可能会成为攻击对象的非基本应用,那么此类限制手段会有所帮助。但是,最新的攻击对象往往是人们普遍使用的基本应用,如Web浏览器。此外,与阻止用户在商务电脑上安装软件相比,限制用户对恶意网站的访问或阻止他们运行有风险的Web服务要困难得多。•客户端完整性。利用集中化的镜像在瘦客户端模式中应用统一、最新的补丁程序一般比较容易。但是,这样仍无法阻止攻击,因为零日漏洞攻击面向此前未知的漏洞。•能够返回至已知的良好状态。利用基于服务器的客户端镜像返回客户端系统,对阻止最新的攻击行为毫无帮助。访问Web服务和帐户已带来了一定的影响,在受到影响后返回系统也于事无补。此外,由于攻击面向未知的漏洞,因此系统很容易再次遭受攻击。在传统PC上应用安全控制我们发现,传统PC享有与瘦客户端同等级的安全控制,同时具备更多瘦客户端所牺牲的功能。我们以前并未全面实终端在某些情况下,利用瘦客户端可以阻止对知识产权的偷盗。传统盗贼数据传输网络现代盗贼利用瘦客户端无法阻止通过网络对数据的偷盗行为。互联网浏览器数据服务器图1.瘦客户端可帮助阻止来自客户端的物理数据盗窃行为,但无法阻止通过网络的盗窃行为。4@Intel白皮书评估瘦客户端处于不断变化的危险环境中的安全性施此类控制,只在适当情况下采取过单独的控制。为了防止物理数据盗窃,英特尔采用企业权限管理工具。此外,还采用文件夹重定向将数据存储于数据中心内,专门存储或作为数据镜像存储于客户端上。后者支持移动计算。是否将管理权分配给用户的决定并非仅适用于瘦客户端模式。许多工具可用于消除移动商务电脑用户的管理权。如果要求规定PC用户可以获得管理权,那么可利用第三方软件套件对这些权利进行管理,并限制用户安装应用或进行其它活动,除非每项活动由IT管理员特批。英特尔采用多种方法限制管理访问和用户权限。集中化地管理常用操作系统或应用镜像并非仅适用于瘦客户端计算。例如,流处理支持集中化管理的操作系统和应用镜像在多台台式机之间共享,并且我们预计未来的功能包括可下载至用户PC的集中化管理的虚拟客户端。此外,可利用几家公司提供的技术在商务电脑上完成系统恢复。英特尔维护标准集中化管理的系统和应用镜像,并在需要恢复时定期更新和使用这些系统和镜像。英特尔IT部门现在已能够快速部署补丁程序,以保持客户端完整性,在这个过程中,最耗时的部分是对新补丁程序进行测试和验证,而并非部署补丁。在瘦客户端环境中,测试和验证所需的时间不会发生变化。使用PC时,可以将补丁程序一批一批的提供给数量不断增加的用户,以便减少补丁带来的潜在问题;一次性更新所有客户端本身就存在风险。瘦客户端安全问题以下我们将介绍与瘦客户端模式相关的安全问题。集中化处理应用和数据会使威胁也变得集中化:瘦客户端网络为存储共享数据和应用的服务器提供多个访问点,因此会产生影响整个IT基础设施的风险。在瘦客户端依赖的中心网络资源出现故障时,一些瘦客户端模式会导致业务中断的风险提高。集中化地处理所有数据,包括个人数据,会带来新的隐私问题,在某些国家,还会导致违反政府法规的风险增加。此外,瘦客户端模式还会由于数据泄漏而产生意想不到的结果,例如,我们已发现瘦客户端用户更喜欢打印纸质信息副本,而这种方式会导致信息泄露给未经授权的第三方。为了解决安全漏洞问题,安全专业人员需要了解哪些系统受到了影响,以及影响会在什么时候第一次出现。实际上,在某些情况下,保存此类证据是必须的。通过基于服务器的镜像重新启动,将瘦客户端系统恢复至已知的良好状态,可能会导致客户端上的重要证据受损,带来不良的影响。不断变化的威胁环境中的安全性随着威胁不断变化,零日漏洞攻击愈加严重,我们需要采取不同的安全方法应对这种环境。在这种环境中,IT安全专业人员需要假定客户端(电脑或瘦客户端)有漏洞。攻击者常常使用专门的恶意软件攻击系统。而利用传统方法通常无法检测到或无法抵御这些恶意软件。攻击的重点往往是传统PC和瘦客户端上普遍使用的组件,例如基本的商务应用、操作系统或云服务部件。监测需要对用户访问和权限利用进行更全面的行为分析,包括更平衡地结合使用检测性和纠正性控制方法。采用全新的平台技术,如英特尔®虚拟化技术(英特尔®VT-x)和支持直接I/O访问的英特尔®虚拟化技术(英特尔®VT-d),或采用独立的物理硬件而非瘦客户端模式本质上使用的共享虚拟化服务器环境,可以更轻松地实施检测性和纠正性这两类控制方法。评估瘦客户端处于不断变化的危险环境中的安全性IT@Intel白皮书例如,运行于服务器之上的一个虚拟机(VM)内发起的攻击可能针对相同服务器上的另一个虚拟机,这种情况被称之为虚拟机逃逸。类似于基于网络或主机的入侵防御系统(NIPS或HIPS),可靠的预防性和监测性控制不存在于虚拟机管理层上,这有助于抵御此类攻击。通过将虚拟机的执行分配给单独的客户端设备,或在平台上利用技术提供硬件隔离功能,此类攻击带来的风险可以大大降低。满足英特尔的企业需求确定瘦客户端无法阻止最新的零日漏洞