VMware vSphere桌面虛擬化解決方案-

1、基于VMware vShpere 面向信息安全的小型化桌面云方案桌面虛擬化平臺+企業(yè)信息安全解決方案基于VMware vSphere的桌面云(桌面虛擬化方案2016/8/15目錄1中小企業(yè)桌面信息安全 (21-1中小企業(yè)的信息安全挑戰(zhàn) (21-2簡單、實用的安全桌面云系統(tǒng) (31-3務(wù)必使用企業(yè)級的虛擬化平臺 (42面向信息安全的云桌面方案 (52-1總體方案 (52-2極簡單的桌面云服務(wù)器 (62-3數(shù)據(jù)存儲的安全可靠 (72-4網(wǎng)絡(luò)接入層的安全保障 (72-5數(shù)據(jù)訪問的安全保證 (72-6雙網(wǎng)隔離的辦公模式 (73最簡單的部署方案 (94包含紅、黃、綠區(qū)的部署方案 (105雙網(wǎng)口云終端的部

2、署方案 (126基本配置清單 (136-1硬件配置清單(50辦公型用戶 (136-2軟件配置清單(50辦公型用戶 (141 中小企業(yè)桌面信息安全1-1 中小企業(yè)的信息安全挑戰(zhàn)根據(jù)FBI對近500家公司調(diào)查顯示:面對來自于公司內(nèi)部的信息安全威脅,85%的安全損失是由企業(yè)內(nèi)部原因造成的。對那些來自公司內(nèi)部的安全問題,不是靠單純的安裝殺毒軟件和防火墻就能解決的。如何面對桌面進行統(tǒng)一的管理,已經(jīng)成為大多數(shù)公司IT管理的必要手段。其中包括:統(tǒng)一的軟件和應(yīng)用程序安裝;統(tǒng)一規(guī)范桌面等級(分紅、黃、綠不同的辦公區(qū)域;統(tǒng)一終端設(shè)備接入辦公網(wǎng)絡(luò)的準(zhǔn)入規(guī)則;嚴(yán)格規(guī)范信息數(shù)據(jù)在不同等級桌面之間的流動等等。中小企業(yè)的內(nèi)

3、部信息網(wǎng)絡(luò)一般由終端、服務(wù)器、網(wǎng)絡(luò)設(shè)施以及各種ERP、OA、設(shè)計和生產(chǎn)系統(tǒng)組成。除了常規(guī)的安裝防病毒和防火墻軟件之外,他們主要面臨的桌面安全威脅有:PC辦公系統(tǒng),磁盤損壞,桌面信息數(shù)據(jù)丟失;非法設(shè)備接入網(wǎng)絡(luò),盜取信息資產(chǎn);移動介質(zhì)(如U盤通過桌面PC盜取信息資產(chǎn);內(nèi)網(wǎng)設(shè)備連接互聯(lián)網(wǎng),通過郵件,上載,共享等手段,盜取信息資產(chǎn);中小企業(yè)在面臨這些信息安全問題的時候,通常面臨資金投入的壓力,傳統(tǒng)的桌面安全監(jiān)控軟件,上網(wǎng)行為管理軟件等等,價格相對比較昂貴,而且軟件配置復(fù)雜,只能解決部分問題。同時傳統(tǒng)的信息安全手段,通常是以犧牲員工和外界(互聯(lián)網(wǎng)聯(lián)絡(luò)為代價的。讓員工的工作環(huán)境變成了孤島,既不利于員工創(chuàng)造

4、性的發(fā)揮,也不利于資料查詢和實時的信息獲取。 信息安全風(fēng)險是IT管理人員關(guān)注的焦點1-2 簡單、實用的安全桌面云系統(tǒng)基于Vmware vSphere虛擬化平臺,通過Deskpool構(gòu)建信息安全的桌面辦公系統(tǒng),為中小企業(yè)提供了一種低成本的,高強度安全的桌面解決方案。該系統(tǒng)主要通過以下幾個技術(shù)手段為桌面信息安全提供保障:基于桌面云的Widnows辦公桌面系統(tǒng),數(shù)據(jù)保存在數(shù)據(jù)中心,有RAID級別的數(shù)據(jù)可靠性保障;面向桌面云的數(shù)據(jù)備份策略,確保數(shù)據(jù)得到冗余保存;基于桌面云的方案,提供了統(tǒng)一的軟件安裝和應(yīng)用發(fā)布手段;通過劃分紅、黃、綠不同的網(wǎng)絡(luò),實現(xiàn)信息資產(chǎn)與互聯(lián)網(wǎng)和非法接入終端的隔離;通過實施802.

5、1x的終端設(shè)備接入認(rèn)證,確保終端的合法接入;通過使用禁止U盤讀寫的嵌入式云終端,堵住信息資產(chǎn)通過辦公桌席流出的通道;通過雙網(wǎng)口的云終端,確保員工的辦公坐席,能同時能訪問相互隔離的紅區(qū)和綠區(qū)的遠程桌面;實現(xiàn)一邊安全辦公一邊上網(wǎng)沖浪的體驗。企業(yè)級的虛擬化平臺(Vmware vSphere,相對其它開源的虛擬化平臺,提供更加高強度的企業(yè)級可靠性。 多重手段保證信息安全1-3 務(wù)必使用企業(yè)級的虛擬化平臺處于基礎(chǔ)設(shè)施層面的虛擬化操作系統(tǒng),是保證企業(yè)應(yīng)用能7x24小時穩(wěn)定運行的關(guān)鍵因素。雖然目前大量的機構(gòu)投入了人力物力發(fā)展和包裝開源的虛擬化系統(tǒng),但筆者仍然極力向中小企業(yè)主們推薦企業(yè)級的虛擬化操作系統(tǒng),以確

6、保服務(wù)的連續(xù)性。目前VMware的ESXi和微軟的Hyper-V是使用最廣泛的企業(yè)級虛擬化平臺,企業(yè)市場的占有率在90%以上,而且都有免費版本供用戶選擇。面向中小企業(yè)信息安全的云桌面方案首選Vmware和Hyper-V的虛擬化操作系統(tǒng)部署。 2015年Gartner的虛擬化平臺分類2 面向信息安全的云桌面方案2-1 總體方案面向中小企業(yè)的云桌面解決方案,如下圖所示,在網(wǎng)絡(luò)劃分上主要由紅區(qū)、黃區(qū)和綠區(qū)組成。云桌面的用戶分為黃區(qū)用戶和綠區(qū)用戶。黃區(qū)內(nèi)的辦公坐席用戶使用云終端可以安全操作紅區(qū)內(nèi)的云桌面和訪問關(guān)鍵的信息資產(chǎn)(例如ERP、OA 或者生產(chǎn)系統(tǒng)等。黃區(qū)的網(wǎng)絡(luò)交換機、服務(wù)器和云終端等,都支持8

7、02.1x網(wǎng)絡(luò)身份認(rèn)證功能,云終端的USB 外設(shè)的讀寫功能被禁止。黃區(qū)在物理上與其它網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離。綠區(qū)內(nèi)的辦公坐席用戶使用云終端可以直接訪問綠區(qū)內(nèi)的云桌面,綠區(qū)內(nèi)的云桌面可以自由訪問互聯(lián)網(wǎng)。綠區(qū)內(nèi)的辦公坐席用戶如果需要使用云終端訪問紅區(qū)內(nèi)的云桌面,需要經(jīng)過桌面云網(wǎng)關(guān)才能夠訪問。桌面云網(wǎng)關(guān)具有單通的功能,可以禁止信息資產(chǎn)從黃區(qū)(紅區(qū)流向綠區(qū)。還有一種辦公坐席是使用雙網(wǎng)口的云終端設(shè)備,一個網(wǎng)口連接黃區(qū),另一個網(wǎng)口連接綠區(qū)。云終端通過兩個網(wǎng)口同時連接紅區(qū)的云桌面和綠區(qū)的云桌面。用戶可以同時在兩個云桌面上操作。實現(xiàn)安全辦公和網(wǎng)絡(luò)沖浪兩不誤的工作模式。雙網(wǎng)口云終端的USB設(shè)備讀寫功能被禁止。 面向信

8、息安全的云桌面解決方案示意圖面向信息安全的云桌面云解決方案的關(guān)鍵角色包括:紅區(qū):通常是指受控的企業(yè)數(shù)據(jù)中心或者IT機房,部署了企業(yè)信息系統(tǒng)和桌面云服務(wù)器,紅區(qū)是指被嚴(yán)格管理的物理場所,只有授權(quán)用戶才能進入的區(qū)域,通常它也會作為黃區(qū)的一部分存在。黃區(qū):是指對網(wǎng)絡(luò)接入設(shè)備全部實施安全認(rèn)證的網(wǎng)絡(luò)區(qū)域,物理上黃區(qū)通常是和外界隔離的,是一個信息孤島。只有在部署了桌面云網(wǎng)關(guān)的時候,才可能允許信息單向流入,黃區(qū)內(nèi)的辦公桌席只使用受控的云終端設(shè)備。綠區(qū):是指網(wǎng)絡(luò)上允許任何設(shè)備接入,也允許訪問互聯(lián)網(wǎng)的辦公區(qū)域。綠區(qū)的用戶,可以使用云終端或者PC辦公,通過桌面云網(wǎng)關(guān)接入紅區(qū)的遠程桌面,再訪問受保護的信息資產(chǎn)。桌面

9、云服務(wù)器:是ESXi桌面云服務(wù)器,當(dāng)它部署在紅區(qū),它發(fā)布的云桌面就可以方案關(guān)鍵信息資產(chǎn),如果部署在綠區(qū),通常是給需要訪問互聯(lián)網(wǎng)的用戶使用。云終端:是每個辦公桌席訪問云桌面的終端設(shè)備。通常是嵌入式設(shè)備,本地不存儲任何數(shù)據(jù),只是作為遠程云桌面的顯示設(shè)備以及鍵盤鼠標(biāo)的輸入設(shè)備,云終端的USB讀寫功能可以被禁止,防止通過U 盤等設(shè)備拷貝數(shù)據(jù)。云終端也可以是云客戶端程序。雙網(wǎng)口的云終端:是指具有兩個網(wǎng)口的云終端設(shè)備,可以同時連接兩個不同網(wǎng)段的云桌面。域,需要交換機設(shè)備,服務(wù)器、云終端等所有網(wǎng)絡(luò)節(jié)點支持802.1x認(rèn)證協(xié)議。桌面云網(wǎng)關(guān):客戶端和云桌面處于兩個相互隔離的網(wǎng)絡(luò)時,需要桌面云網(wǎng)關(guān)提供遠程桌面的跨

10、網(wǎng)段訪問功能,同時桌面云網(wǎng)關(guān)可以設(shè)置只允許數(shù)據(jù)單向?qū)ǖ奈募蚕矸?wù)。2-2 極簡單的桌面云服務(wù)器眾所周知,桌面云的部署一直是令I(lǐng)T人員的頭痛的一項工作,比如XenDesktop、Microsoft RDS、Vmware View等桌面解決方案,通常需要很強的背景知識,操作步驟繁瑣,容易出錯;中小企業(yè)很難有配套的人員實施和維護。相比之下,本云桌面解決方案將系統(tǒng)簡化到極致,所有的桌面云管理模塊被集成到了一個虛擬機中,桌面云的部署成為了服務(wù)器虛擬化上的虛擬機導(dǎo)入工序,簡單易用。如下圖: 一體化的系統(tǒng)架構(gòu)在VMware vSphere的系統(tǒng)部署也只需要導(dǎo)入Deskpool管理節(jié)點的虛擬機即可。IT管

11、理員可以在半小時內(nèi)完成軟件的安裝和配置。該桌面云解決方案,同時推薦使用ARM-Linux的云終端設(shè)備,免安裝、免維護,開機即用。在面向企業(yè)用戶的應(yīng)用場景,還提供一下的軟件功能:外設(shè)重定向功能,兼容絕大多數(shù)外部設(shè)備。提供PC客戶端,充分利用現(xiàn)有PC資源。虛擬設(shè)備映射功能,解決大流量的攝像頭和高拍儀的應(yīng)用問題。功能強大的終端管理軟件,輕松實現(xiàn)云終端的集中管控。雙遠程桌面協(xié)議支持:RDP8.1和PcoIP。2-3 數(shù)據(jù)存儲的安全可靠辦公桌面被虛擬化在桌面云服務(wù)器,員工通過云終端訪問桌面,數(shù)據(jù)全部在機房(紅區(qū)。云桌面服務(wù)采用企業(yè)級硬盤和RAID10或RAID5的數(shù)據(jù)存儲模式,提高可靠性。紅區(qū)與外網(wǎng)隔離

12、,避免的病毒的侵?jǐn)_和黑客的攻擊。2-4 網(wǎng)絡(luò)接入層的安全保障黃區(qū)的交換機設(shè)備支持802.1x網(wǎng)絡(luò)接入認(rèn)證(使用MAC地址綁定的方式,面臨MAC地址欺詐的入侵風(fēng)險,存在較大的安全漏洞。黃區(qū)內(nèi)所有的網(wǎng)絡(luò)設(shè)備支持802.1x接入身份認(rèn)證,只有經(jīng)過授權(quán)的設(shè)備才能進入黃區(qū)網(wǎng)絡(luò)。云終端的802.1x認(rèn)證信息用戶不可見,由管理系統(tǒng)設(shè)置。云終端恢復(fù)出廠設(shè)置,802.1x身份認(rèn)證信息自動清除。云終端支持證書管理,無合法證書的終端管理系統(tǒng)不能管理黃區(qū)的云終端。2-5 數(shù)據(jù)訪問的安全保證黃區(qū)的云終端USB端口,設(shè)置為禁止數(shù)據(jù)文件的讀和寫。云終端USB端口的讀寫設(shè)置,非授權(quán)用戶不可見,也不可修改。綠區(qū)的用戶連接紅區(qū)的

13、云桌面,只能通過桌面云網(wǎng)關(guān),桌面云網(wǎng)關(guān)提供遠程桌面協(xié)議的橋接和數(shù)據(jù)文件單向流動的服務(wù)。紅區(qū)的數(shù)據(jù)只能進不能出。2-6 雙網(wǎng)隔離的辦公模式雙網(wǎng)口的嵌入式云終端,可以提供雙遠程桌面連接服務(wù),同時保證兩個云桌面網(wǎng)絡(luò)和數(shù)據(jù)的隔離。使用雙網(wǎng)口的嵌入式云終端的用戶,可一邊訪問紅區(qū)的云桌面,同時訪問綠區(qū)的云桌面。雙網(wǎng)口的嵌入式云終端接黃區(qū)的網(wǎng)口,持有合法的802.1x認(rèn)證信息。雙網(wǎng)口的嵌入式云終端,USB讀寫功能被禁止。3 最簡單的部署方案最簡單的部署方案,只包含黃區(qū)和紅區(qū),甚至最小系統(tǒng)場景下,只包含紅區(qū)。這種方案適合小型化用戶,對信息安全的需要比較簡單粗糙。具有以下特點:辦公桌席的數(shù)量比較少員工辦公不允許

14、上互聯(lián)網(wǎng)辦公網(wǎng)絡(luò)與外界完全隔離數(shù)據(jù)中心(服務(wù)器只能由管理員操作 最簡單部署方案最簡單的部署方案,涉及的主要網(wǎng)絡(luò)設(shè)備包括:桌面云服務(wù)器(支持802.1x認(rèn)證。紅區(qū)還可能包含業(yè)務(wù)服務(wù)器和網(wǎng)絡(luò)打印機,如果使用動態(tài)IP策略,需要DHCP服務(wù)器。支持802.1x的網(wǎng)絡(luò)交換機,內(nèi)置Radius認(rèn)證信息數(shù)據(jù)庫(也可以在紅區(qū)部署專用的Radius服務(wù)器。普通網(wǎng)絡(luò)交換機(可選,只用于紅區(qū)內(nèi)的互聯(lián),不需要支持802.1認(rèn)證功能。支持802.1x的云終端,云終端的USB端口禁止讀寫數(shù)據(jù)。4 包含紅、黃、綠區(qū)的部署方案包含紅、黃、綠區(qū)的部署方案,主要是解決企業(yè)內(nèi)部既有需要保護的核心信息資產(chǎn),又有部分員工通過訪問互聯(lián)網(wǎng)

15、辦公的需要。具有以下特點:辦公桌席種類比較多,例如研發(fā),生產(chǎn)型員工,屬于黃區(qū);銷售、售后服務(wù)型員工,處于綠區(qū),他們既可以選擇通過桌面云網(wǎng)關(guān),登錄紅區(qū)的云桌面,訪問核心信息資產(chǎn),也可以直接訪問部署在綠區(qū)的云桌面辦公。辦公區(qū)域分不同的部門,部門之間的保密級別不同。數(shù)據(jù)中心(服務(wù)器只能由管理員操作。802.1x的認(rèn)證數(shù)據(jù)庫內(nèi)置在交換機中。綠區(qū)部署有云桌面服務(wù)器,提供允許訪問互聯(lián)網(wǎng)的桌面。 包含紅、黃、綠區(qū)的部署方式(網(wǎng)關(guān)模式如上圖所示,涉及的主要網(wǎng)絡(luò)設(shè)備包括:紅區(qū)的桌面云服務(wù)器(支持802.1x認(rèn)證。紅區(qū)還可能包含業(yè)務(wù)服務(wù)器和網(wǎng)絡(luò)打印機,如果使用動態(tài)IP策略,需要DHCP服務(wù)器。紅區(qū)的支持802.1

16、x的網(wǎng)絡(luò)交換機,內(nèi)置Radius認(rèn)證信息數(shù)據(jù)庫(也可以在紅區(qū)部署專用的Radius服務(wù)器。紅區(qū)的普通網(wǎng)絡(luò)交換機(可選,只用于紅區(qū)內(nèi)的互聯(lián)。黃區(qū)的云終端,啟用802.1x認(rèn)證功能,云終端的USB端口禁止讀寫數(shù)據(jù)。雙網(wǎng)口桌面云網(wǎng)關(guān),接黃區(qū)的網(wǎng)口支持802.1x身份認(rèn)證,另一個網(wǎng)口接綠區(qū)的交換機。桌面云網(wǎng)關(guān)提供單向的文件共享服務(wù),黃區(qū)的用戶只能從網(wǎng)關(guān)下載數(shù)據(jù),綠區(qū)的用戶可以上傳數(shù)據(jù)。綠區(qū)的交換機,不需要支持802.1x接入認(rèn)證。綠區(qū)的云桌面服務(wù)器(可選,為綠區(qū)的辦公人員提供云桌面服務(wù)。綠區(qū)的云終端(可選,綠區(qū)的辦公人員用于連接遠程桌面服務(wù),不需要支持802.1x接入認(rèn)證。如果連接紅區(qū)的遠程桌面,需要

17、通過桌面云網(wǎng)關(guān)。綠區(qū)的PC設(shè)備(可選,用于綠區(qū)人員辦公,可以安裝遠程桌面客戶端軟件,通過桌面云網(wǎng)關(guān)訪問紅區(qū)的遠程桌面。綠區(qū)的普通網(wǎng)絡(luò)交換機,用于綠區(qū)內(nèi)的網(wǎng)絡(luò)互連,不需要支持802.1x認(rèn)證功能。路由器,用于連接互聯(lián)網(wǎng),實現(xiàn)上網(wǎng)功能。5 雙網(wǎng)口云終端的部署方案采用雙網(wǎng)口云終端的部署方案,員工可以實現(xiàn),主要是解決企業(yè)內(nèi)部既有需要保護的核心信息資產(chǎn),員工又有上網(wǎng)需要的場景。雙網(wǎng)口方案也可以和上述方案綜合部署,具有以下特點:辦公坐席可以同時訪問紅區(qū)和綠區(qū),有兩根網(wǎng)線到達辦公坐席,通過雙網(wǎng)口雙顯示端口的嵌入式云終端實現(xiàn),接黃區(qū)的網(wǎng)口設(shè)置802.1x身份認(rèn)證,接綠區(qū)的網(wǎng)口不需要認(rèn)證。綠區(qū)部署云桌面服務(wù)器,如果員工上網(wǎng)需求比較簡單,可以在綠區(qū)配置共享云桌面服務(wù)器。 使用雙網(wǎng)口云終端的部署方式(無桌面云網(wǎng)關(guān)如上圖所示,涉及的主要網(wǎng)絡(luò)設(shè)備包括:紅區(qū)的桌面云服務(wù)器(支持802.1x認(rèn)