云桌面整合了計算、存儲、網(wǎng)絡(luò)等資源，因此云桌面的安全也分為兩部分：云桌面承載平臺的安全和云桌面訪問網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)準入控制是指對網(wǎng)絡(luò)的邊界進行保護，對入網(wǎng)終端的使用者進行身份驗證，并對入網(wǎng)終端進行合規(guī)檢查。傳統(tǒng)的云桌面廠商對云桌面承載平臺的安全性尤為關(guān)注，而網(wǎng)絡(luò)廠商在進入云桌面領(lǐng)域時，發(fā)揮了其天然優(yōu)勢，將網(wǎng)絡(luò)準入控制融入云桌面安全中，擴大了云系統(tǒng)的安全邊界、提升了云系統(tǒng)的安全等級。

　　1.云桌面準入的現(xiàn)狀

　　目前，大部分云桌面的準入主要依靠類似LDAP服務(wù)器的用戶管理系統(tǒng)。如圖1所示，用戶在訪問和使用云桌面前，網(wǎng)絡(luò)是暢通的，任何人使用任意終端都可以輕松連接到云桌面的登錄系統(tǒng)。用戶身份校驗通過后，即可訪問和使用云桌面。在此過程中，用戶系統(tǒng)僅僅做了身份驗證的工作。相對于用戶系統(tǒng)搭建、維護的復(fù)雜程度（比如Windows AD），其投入產(chǎn)出比顯然無法達到管理者的預(yù)期。同時，管理者樂于見到數(shù)據(jù)邊界不被觸碰，即在身份驗證通過之前，云桌面管理平臺與云桌面資源池均對用戶不可見�，F(xiàn)有用戶系統(tǒng)也無法進一步提升云系統(tǒng)的安全等級，很難支持證書認證、多因素綁定認證等安全性更高的認證方式。

　　圖1 云桌面系統(tǒng)

　　2.引入網(wǎng)絡(luò)準入控制技術(shù)

　　引入網(wǎng)絡(luò)準入控制技術(shù)，是云桌面解決方案的重要一環(huán)，也是迫切需求。網(wǎng)絡(luò)準入控制技術(shù)既可以解決云桌面無法直面的網(wǎng)絡(luò)安全問題，也不會增加用戶使用的難度。

　　擁有網(wǎng)絡(luò)準入控制技術(shù)的云桌面系統(tǒng)可以稱之為云桌面準入系統(tǒng)，如圖2所示。用戶在身份驗證通過前，無法訪問云桌面管理平臺。用戶通過身份驗證后，用戶系統(tǒng)與云桌面管理平臺聯(lián)通，既直接將云桌面授權(quán)給用戶使用，又同步開放了網(wǎng)絡(luò)權(quán)限。

　　圖2 云桌面準入系統(tǒng)

• 現(xiàn)有的網(wǎng)絡(luò)模式的無障礙過渡

　　現(xiàn)有網(wǎng)絡(luò)的各種認證方式（802.1X、Portal等）、各種網(wǎng)絡(luò)控制手段（ACL、VLAN等）都可以無障礙過渡到云桌面準入系統(tǒng)中。云桌面承載與網(wǎng)絡(luò)之上，因此前端采用802.1X或Portal并不影響云桌面的使用。而通過ACL或VLAN，可以為用戶單獨提供云桌面的訪問權(quán)限，阻斷其他應(yīng)用系統(tǒng)的訪問權(quán)限。

• 高等級身份驗證

　　身份驗證的手段不再僅限于用戶名/密碼、信息卡等，證書認證、多因素綁定認證都均可平滑引入。高等級的身份驗證就像一道擋在用戶與云桌面之間的鐵門，將非法用戶拒之門外，且防止暴力破解等非法手段。

• 單點登錄

　　用戶系統(tǒng)與云桌面管理平臺之間通過API接口等方式進行聯(lián)動。用戶系統(tǒng)通知網(wǎng)絡(luò)設(shè)備放開網(wǎng)絡(luò)的同時，將合法用戶的身份信息通知云桌面管理平臺，云桌面管理平臺即可將用戶對應(yīng)的云桌面對用戶開放。該過程中，用戶只需進行一次認證，即可完成網(wǎng)絡(luò)準入和云桌面雙重認證。當(dāng)然，這些都依托于合一的代理軟件或Web應(yīng)用系統(tǒng)之間的對接。

• 瘦客戶機、利舊PC、移動終端統(tǒng)一控制

　　網(wǎng)絡(luò)準入系統(tǒng)兼容多種類型的終端。

　　對于瘦客戶機，可以直接在瘦客戶中預(yù)裝代理軟件或網(wǎng)頁控件，并將軟件或控件植入瘦客戶機的登錄界面。用戶在登錄瘦客戶機時，即完成了所有認證，無感知使用。

　　對于利舊PC，直接安裝代理軟件或網(wǎng)頁控件。用戶完成認證后，即可在代理軟件或網(wǎng)頁中查看并使用已被授權(quán)的云桌面。作為一種擴展，代理軟件還可以對PC進行合規(guī)檢查，保證PC安全無漏洞。

　　對于移動終端，在移動終端上安裝代理軟件。代理軟件還是一款移動辦公的門戶軟件，除了集成準入、云桌面外，還可以將其他企業(yè)APP也集成到代理軟件中。這種彈性架構(gòu)保證了移動辦公業(yè)務(wù)的可擴展性和快速實施。

• 內(nèi)網(wǎng)、外網(wǎng)一體化管理；有線、無線一體化管理

　　由于云桌面系統(tǒng)與網(wǎng)絡(luò)準入系統(tǒng)解耦，因此網(wǎng)絡(luò)形態(tài)不影響云桌面系統(tǒng)。

　　對于內(nèi)網(wǎng)用戶，有線接入時采用802.1X、Portal認證等，無線接入時采用WLAN 802.1X、Portal、MAC認證等；對于外網(wǎng)用戶，采用VPDN、SSL VPN等方式接入。

　　用戶使用云桌面不受地點、時間、終端、網(wǎng)絡(luò)等的限制，這也是BYOD的延伸和擴展。

　　3.結(jié)束語

　　云桌面與網(wǎng)絡(luò)準入控制技術(shù)的契合，可以提高云桌面的安全等級，消除網(wǎng)絡(luò)風(fēng)險，整體提升云桌面解決方案的安全性。云桌面準入系統(tǒng)不受終端類型的限制、不受接入時間地點的限制、不受網(wǎng)絡(luò)形態(tài)的限制，通過對使用者、終端、網(wǎng)絡(luò)的有效、規(guī)范的管理，能夠防止非法的信息竊取。在未來的網(wǎng)絡(luò)環(huán)境中，這一技術(shù)必將成為業(yè)界所探究的重點。