边缘小站云桌面安全说明

云桌面Workspace关于Cloudpond安全能力，主要包含：接入安全、传输安全、访问控制、数据安全等。

Workspace在Cloudpond上的服务，除了Cloupond的安全防护外，Workspace Cloupond场景还提供了以下安全能力：

• 访问控制接入策略：

  在Cloudpond场景中， 租户管理员可通过配置IP地址和用户进行接入控制。配置生效后，只允许配置的用户和终端设备IP接入云桌面。

• 特定终端接入：

  在Cloudpond场景中，租户管理员通过配置指定终端的MAC地址，将云桌面与租户企业内指定的终端MAC地址建立绑定关系，实现用户只能从特定的终端接入桌面。

• 丰富的用户身份认证方式：
  AD场景中，客户自行管理Cloudpond云桌面用户账号，在非AD场景下，Workspace为客户提供桌面用户账号管理能力，如：账号是否禁用、密码校验、账号有效期、账号解锁，首次登录后需要修改登录修改口令等。在Cloudpond场景，Workspace除了提供账号密码和第三方单点认证的主认证方式方式外，还支持多重强安全身份认证方式：

  1. 密码+MFA多因素身份认证：租户管理员开启多因素认证服务以后，即可选择华为云多因素认证服务，默认选择虚拟MFA辅助认证，对接后，用户在登录cloudpond桌面前通过密码和MFA双因素认证来实现强安全的认证登录。
  2. 密码+对接企业自有认证系统多因素身份认证：租户管理员开启多因素认证服务后，即可选择对接企业自有认证系统，对接后，用户在登录cloudpond云桌面前通过密码和企业身份认证双因素认证来实现强安全认证登录。

• 在Cloudpond场景下的云桌面与华为云的Workspace服务相互通信，走Cloudpond内置VPN传输加密，保证Cloupond中云桌面与华为云Workspace服务的传输安全。

• 华为云Workspace服务与Cloudpond之间交互，通过安全组策略对Cloudpond中的Workspace资源进行最小化访问控制。
• Cloudpond中云桌面登录，只允许桌面合法用户才能登录使用。

• Cloupond中的云桌面支持文件管控安全和剪切板安全：
  1. 通过租户管理员配置文件重定向策略，可禁止桌面文件拷贝到用户终端本地，防止Cloudpond云桌面文件泄漏。
  2. 通过租户管理员配置剪切板策略，支持单向、双向控制云桌面和本地终端之间的剪切复制，防止因剪切拷贝导致的桌面信息泄露。

• Cloudpond云桌面主机安全防护：

  Workspace服务在Cloudpond场景中，支持主机安全能力，主机安全HSS能在Cloudpond云桌面收到恶意攻击时，提供事前防预，事中防御，事后检测的全面防护，全面降低入侵风险。租户在HSS服务界面，也能随时查看Cloudpond云桌面的防御攻击情况。

• Cloudpond云桌面应用管理：

  Workspace服务给桌面用户提供了应用中心的能力，云桌面用户在桌面的的应用中心下载并安装应用，如果存在恶意应用，租户管理员可通过应用管理能力，通过配置黑名单应用，使得云桌面用户无法在桌面内打开黑名单内的应用。

• 租户管理员在Cloudpond中创建的云桌面，创建的云桌面的数据一直保留在客户机房，桌面数据不上云。
• 华为云和Cloupond的安全边界上通过专线和互联网互连，华为云与Cloudpond交互过程中，遵循访问最小化原则，只允许华为云上服务访问Cloudpond中节点的指定网卡，无法访问Cloudpond中的任何云桌面。