客戶登錄
English
時間:2020-03-06
1.項目描述 1.項目背景: 隨著金融信息服務有限公司的業(yè)務發(fā)展,公司對信息化安全要求越來越高,特別是涉及到公司戰(zhàn)略發(fā)展、研發(fā)系統(tǒng)等關(guān)鍵數(shù)據(jù)安全問題,為了避免傳統(tǒng)PC數(shù)據(jù)隱患高、易損壞、數(shù)據(jù)存儲分散、易泄漏難以管理及研發(fā)等重要數(shù)據(jù)部門有越來越多的對外溝通、互聯(lián)網(wǎng)訪問的需求,期望通過虛擬桌面的技術(shù),建設一套高度信息安全、高可靠、設備輕型化、綠色節(jié)能的辦公系統(tǒng)。目前傳統(tǒng)IT辦公系統(tǒng)比較突出的矛盾如下: 每臺客戶端部署和維護需要花費大量的時間和人力; 軟硬件的頻繁升級與更新,增加管理成本; 服務器資源沒有充分規(guī)劃和利用; 無法為移動客戶端提供靈活、安全的桌面應用接入平臺; 炫億時代 公司機密數(shù)據(jù)無法得到安全保障; 2.技術(shù)介紹 虛擬桌面技術(shù)是基于虛擬化和云計算理念成長起來的終端管理方法,它完全顛覆了傳統(tǒng)意義上的終端管理概念; 在某種意義上它剝離了計算機終端軟件與硬件之間的聯(lián)系,將系統(tǒng)和服務集中在服務器端,這使得網(wǎng)絡管理人員不必再將維護的重點放在分散的個人終端上,只要維護和加固服務器端便可以實現(xiàn)全網(wǎng)絡終端便捷的維護和高安全。 終端用戶也可以從選擇和安裝各種安全軟件、補丁升級、病毒庫升級等繁雜的個人維護工作中解脫出來,并且虛擬化和集中化的應用方式,也可以使用戶終端從根本上避免系統(tǒng)癱瘓、軟件沖突及誤操作等多層面的問題。 虛擬桌面技術(shù)完全不同于傳統(tǒng)模式的終端管理軟件,集中化和虛擬化的特點不僅僅會大大增強內(nèi)部系統(tǒng)及網(wǎng)絡的安全性,同時也因此減少了網(wǎng)絡運維的復雜程度和運維成本。 www.pcb-prototype.net 在終端管理方面,虛擬化的終端管理平臺將是目前各種紛爭背后終端管理發(fā)展的必然趨勢。 基于虛擬桌面技術(shù),為員工提供新一代的企業(yè)級桌面服務,為公司建設更安全、更有效、更靈活的研發(fā)辦公及員工培訓環(huán)境,建成后的系統(tǒng)將成為信息系統(tǒng)的重要基礎架構(gòu)組件。 3.實現(xiàn)目標 桌面和數(shù)據(jù)全部運行在機房虛擬桌面平臺,實現(xiàn)虛擬桌面內(nèi)重要數(shù)據(jù)進出管控功能; 通過策略、網(wǎng)絡隔離等技術(shù)手段,嚴格禁止重要數(shù)據(jù)下載、上傳或保存到外部設備; 構(gòu)架設計遵循開放、靈活的原則,以適應后續(xù)系統(tǒng)擴容以及日后的需求變更; 提供盡可能靈活地部署方式,以適應不同類型用戶的需求; 傳統(tǒng)PC用戶平滑過渡到桌面虛擬化環(huán)境,最大限度保持原有用戶使用習慣和數(shù)據(jù)安全和完整性; 炫億時代 桌面系統(tǒng)集中托管于機房,在后臺進行集中的部署、維護和監(jiān)控、備份管理; 瘦客戶端后臺集中管控和策略下發(fā),減少終端維護量,增強終端安全性; 通過試點項目建立和完善運維管理流程,并為后續(xù)項目可行性研究提供可靠數(shù)據(jù)保障; 2.網(wǎng)絡架構(gòu)設計 整體架構(gòu)網(wǎng)絡根據(jù)用途可以分為: 存儲網(wǎng)絡 業(yè)務網(wǎng)絡 備份網(wǎng)絡 管理網(wǎng)絡 帶外管理網(wǎng)絡
www.pcb-prototype.net
3.存儲架構(gòu)設計 主要描述整個虛擬桌面架構(gòu)采用那種存儲協(xié)議以及選用存儲時的注意事項 虛擬桌面架構(gòu)中,即使用到SAN協(xié)議,又使用到NAS協(xié)議 SAN協(xié)議主要用來存儲郵件、數(shù)據(jù)庫等結(jié)構(gòu)化數(shù)據(jù) NAS協(xié)議主要用來存儲用戶Profile、文件夾重定向等非結(jié)構(gòu)化數(shù)據(jù) 1.存儲協(xié)議選擇 從上圖可以看出FC協(xié)議報文封裝最短,傳輸也最高效。所以走SAN協(xié)議的數(shù)據(jù),選擇FC協(xié)議來傳輸 2.存儲RAID類型選擇 目前市場上主流存儲NetApp、EMC、DELL、HP、華為等品牌都有自己的存儲RAID類型。下表是不同RAID類型讀寫懲罰對照表: RAID 從上表可以看出,RAID-0寫懲罰最小,但是沒有數(shù)據(jù)保護機制,所以在生產(chǎn)環(huán)境極少使用。RAID-1和RAID-10雖然寫懲罰較小,但是都消耗一半的磁盤。所以從性能上面我們選擇RAID-DP。 www.pcb-prototype.net 3.存儲空間的計算 用戶數(shù)量:300 總空間需求:100GB*300=30T 4.運算資源計算 CPU: 300*1vcpu=300vcpu MEM: 300*4GB=12T 4.軟件架構(gòu)的設計 1.VMware vCenter高可用設計 由于vCenter server是所有vSphere Host管理和配置的核心,因此,其在整個VMware環(huán)境中非常重要,那么需要對其高可用性有很好的規(guī)劃。VC在vSphere環(huán)境中的位置如圖: 采用VCenter High Availability 保證 vCenter 的高可用,其工作原理如下圖: 注:結(jié)合金融行業(yè)現(xiàn)有規(guī)模以及未來擴展,通常建議采用Small部署方式。 2.Citrix軟件架構(gòu) 5.數(shù)據(jù)安全——終端接入設計 1.局域網(wǎng)接入 通過 Citrix Receiver或IE 使企業(yè)能夠以高性能安全地通過任何用戶設備交付虛擬桌面和 Windows、Web 及 SaaS 應用,進而有效地管理大量進入工作空間的新設備。它可以通過以下方式,幫助當前移動性日 炫億時代 益增強的員工隊伍通過他們選擇的任何設備快速簡單地按需訪問虛擬桌面、企業(yè)應用。 2.分支機構(gòu)接入 分支機構(gòu)人員可以通過Internet連接到位于數(shù)據(jù)中心的辦公環(huán)境。和內(nèi)網(wǎng)連接的區(qū)別是,通過Internet 連進來的用戶首選連接到位于公司DMZ網(wǎng)絡區(qū)域的Security Gateway(NetScaler)。邏輯圖如下: 3.VPN接入 系統(tǒng)支持VPN的接入方式,訪問帶寬在60K以內(nèi),支持數(shù)據(jù)流壓縮 系統(tǒng)支持VPN的接入方式,支持數(shù)據(jù)流壓縮,每種工作類型所需帶寬如下 100個外網(wǎng)VPN用戶。 按照office類型,VPN帶寬需要:100*43kbps=4300kbps=537.5KBps 按照Printing類型,VPN帶寬需要:100*593kbps=59300kbps=7412KBps VPN帶寬可以參照上述范圍進行設定。 6.數(shù)據(jù)安全——虛擬化環(huán)境殺毒設計 傳統(tǒng)殺毒模式在虛擬化環(huán)境下主要突出矛盾 存儲IO風暴導致業(yè)務緩慢 炫億時代 卸載防病毒軟件帶來安全隱患 所以在虛擬環(huán)境下我們推薦使用針對虛擬化殺毒的無代理殺毒模式 7.數(shù)據(jù)安全——虛擬化環(huán)境備份設計 備份有兩種方式可以選擇: 1.存儲級別備份 備份采用本地備份,我們建議可以分為2級或3級備份機制。 一級:先使用NetApp存儲中的SnapShot快照技術(shù)對重要的或所有的VM文件,每日快照備份; 二級:再通過NetApp Snap Vault技術(shù)對主存儲中的數(shù)據(jù)進行快照復制技術(shù)復制到第二臺NetApp存儲中,可以每日增量,每周全備的方式; 三級:通過傳統(tǒng)備份軟件將重要核心數(shù)據(jù)備份到第二臺NetApp存儲。 對于非虛擬化環(huán)境的數(shù)據(jù)可以采用NetApp OSSV進行備份。 2.VEEEAM文件或應用級別備份 如果期望備份可以從文件級別快速恢復,我們可以采用第三方備份軟件VEEM。 炫億時代 VEEEAM也可以實現(xiàn)AD、Sql、Oracle、Exchange等應用顆粒度恢復。 8.數(shù)據(jù)安全——數(shù)據(jù)準入準出設計 用戶數(shù)據(jù)準入準出分為兩個層面: 1.進出虛擬桌面環(huán)境,不允許虛擬桌面環(huán)境和內(nèi)網(wǎng)進行數(shù)據(jù)交互 解決方法:通過禁止USB映射、本地磁盤映射來解決。并且虛擬桌面RDP遠程連接禁止。 2.進出內(nèi)外網(wǎng),不允許虛擬桌面環(huán)境中數(shù)據(jù)出外網(wǎng) 解決方法:用戶即可以訪問虛擬桌面又可以訪問外網(wǎng)。為了做到內(nèi)外網(wǎng)隔離。我們通過 XenApp發(fā)布瀏覽器供虛擬桌面用戶上網(wǎng)。 炫億時代
炫億時代
上一篇:應用安全網(wǎng)關(guān)
下一篇:沒有了