VDIBox金融桌面云安全办公方案.docx
- 文档编号:13144750
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:22
- 大小:547.82KB
VDIBox金融桌面云安全办公方案.docx
《VDIBox金融桌面云安全办公方案.docx》由会员分享,可在线阅读,更多相关《VDIBox金融桌面云安全办公方案.docx(22页珍藏版)》请在冰点文库上搜索。
VDIBox金融桌面云安全办公方案
VDIBox金融桌面云-安全办公
方案建议书
中国惠普有限公司
日期:
2013年5月
注意:
本文件的著作权归乙方所有。
任何未经允许的(全部或部分)引用、复制、修改、公开展示、发行、翻译等违反著作权的侵权行为,中国惠普有限公司均保留法律追诉权利。
本文件中所提到的商标,均属于合法注册公司所有。
文档信息
项目名称:
项目经理:
文档版本编号:
项目阶段:
文档版本日期:
质量复审方法:
起草人:
起草日期:
复审人:
复审日期:
版本记录
版本编号
版本日期
修改者
说明
文件名
V0.9
2013-5-20
StevenWang
create
V1.0
2014-5-24
StevenWang
Update
1.实施桌面云的必要性4
2.桌面云平台的设计目标4
2.1.具体建设目标是:
4
2.2.通过建设桌面云平台,项目可达到以下目标:
5
3.桌面云平的设计目标标准5
3.1.设计原则5
3.2.安全措施6
4.桌面云平台整体架构6
4.1.虚拟化平台6
4.2.远程桌面协议7
4.3.控制系统7
5.系统拓扑8
6.方案描述8
6.1.服务器配置方案8
6.2.存储配置方案9
6.3.虚拟桌面配置方案9
7.产品功能10
7.1.桌面接入10
7.2.管理功能10
8.参数性能11
9.方案优势13
9.1.VDIBox与VMWareView对比13
9.2.VDIBox与CitrixXenDesktop对比14
9.3.VDIBox与国内友商产品对比14
10.实现桌面云平台的收益15
10.1.决策层:
15
10.2.IT运维管理部门:
15
10.3.最终用户:
16
1.
实施桌面云的必要性
企业现有IT系统需要在每台PC上安装业务所需的软件程序及客户端,同时重要的数据也分散在各PC上,不能很方便的进行集中存储及备份。
由于PC机的安全漏洞较多,业务数据在客户端有泄露及丢失的危险,并且也有受到来自客户端的攻击和被破坏的危险。
在应用层面,业务人员的工作环境被绑定在PC机上,出现软硬件故障的时候,只能被动地等待IT维护人员来修复,不仅要进行PC机进行维护,还要对操作系统环境、应用的安装配置和更新进行管理和维护,随着应用的增多,维护工作呈上升增长趋势,从而导致工作效率低下、终端维护成本上升。
随着应用场景越来越复杂,对业务系统的功能性、安全性、方便性的要求越来越高,例如:
工作场所越来越分散带来了数据如何共享的问题,现有的系统很难实现人到哪里、桌面跟着到哪里的需求;业务连续性要求能够在故障后快速恢复业务访问;在工作人员来越来越多的情况下,如何做到投入最少的IT资源、提供更高的用户端接入的能力。
因此简化客户端环境,实施集中化部署、管理和运维,部署桌面云计算应用是有效解决方案。
2.桌面云平台的设计目标
为了满足企业高速发展的需要,需要结合网络和应用现状,建设统一桌面应用交付中心,通过虚拟化技术集中发布应用和桌面,拓展业务发布范围,扩大用户终端的接入手段,为终端用户提供稳固、安全、可靠、便捷一致的业务访问服务。
2.1.具体建设目标是:
应用集中更新、统一发布:
建立企业级应用及桌面云交付中心,实现数据与知识的安全、统一、准确、可共享。
桌面云交付中心将应用及桌面的升级、变更、维护等工作交由后台统一管理和运行,在系统上而不是在用户在终端上进行集中发布、配置和更新,终端用户无需任何变动即可获得最新应用和服务,减少终端所需的运维支持力度。
安全接入、分权分域、集中管控:
桌面云交付中心将提供一体化的安全准入控制,集成现有的安全规程,依据相应的权限策略实现对不同安全域、不同接入类型用户的集中管控,保障核心数据、应用数据部流失,以及对不同业务资源的灵活分配和使用状况审计。
提升用户访问体验:
桌面云交付中心提供最佳的访问体验,用户不再频繁受到网络质量的影响,实现不同网络环境的一致访问体验,提升业务系统的可用性和连续性。
客户端在经过验证后,可以即安全、高效地方便地跨安全分区访问后台各种不同的应用。
访问规则可以根据策略制定,无需频繁更改设定。
即使通过带宽有限的网络连接,也可以得到较好的用户体验。
降低维护成本、提高工作效率:
减轻管理人员的工作强度和不必要的重复劳动,提高业务系统和办公环境的安全性和稳定性。
真正实现人尽其责,物尽其用。
项目建成后,应提供安全的桌面工作环境,同时无需对现有的前后台应用作大规模的改造。
技术上选择采用桌面虚拟化的方式,实现新的集中的桌面管理构架。
2.2.通过建设桌面云平台,项目可达到以下目标:
✧桌面及应用全部运行在桌面云数据中心,保证业务数据的安全性;
✧通过策略及其它技术手段,可以严格禁止业务数据下载或保存到本地的客户端设备;
✧桌面集中托管于数据中心,在数据中心进行集中的部署、维护和管理;
✧运行在高性能的服务器上可以使桌面的性能得到提升;
✧可以迅速地部署最新的操作系统和应用软件;
✧降低维护桌面以及软件的费用;
✧前端桌面使用瘦客户端,减少终端维护量,增强终端安全性;
✧可以支持各种终端设备,包括PC、瘦客户机、平板电脑、智能手机、智能终端等;
✧提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯;
✧能良好兼容现有设计应用、并且对未来的可能的应用及安全构架有良好的兼容性;
✧构架设计遵循开放、灵活的原则,以适应系统扩充以及日后的需求变更;
✧提供尽可能灵活地部署方式,以适应不同类型用户的需求,如审批类用户和普通办公用户,涉密终端和非涉密终端等;
✧桌面云方案可以适应主流的服务器、客户端的硬件配置,对现有的服务器、PC等设备,可充分利用,便于日常维护;
✧方案的可扩展性强,在业务规模增大时,可快速扩容部署,总体造价合理;
✧未来可以从互联网、公司网或任何节点远程访问集中托管的桌面和应用。
3.桌面云平的设计目标标准
3.1.设计原则
✧桌面和应用全部运行在数据中心的服务器上,集中进行安全管控;
✧良好的用户体验,虚拟桌面能够提供与目前用户使用的PC一样的各种功能:
如流畅地播放视频,通过即时通讯软件进行多媒体通信,流畅地浏览网页,使用各种外设等。
✧用户的客户端设备可以使用各种操作系统和配置的硬件设备来访问桌面/应用和数据。
如:
笔记本、PC机、瘦客户机、零客户机及移动设备等。
✧管理员应该有必要的监测能力,评估最终用户体验和排除故障所需的工具,以找出问题,并计划调整受到影响的服务质量。
✧服务可用性即没有直接影响整体架构问题的单点故障。
所有功能组件必须支持冗余或高可用性,某些功能组件出现故障也不受影响所有用户,其次允许个别用户会话尽可能自动恢复。
✧作为最终目标的桌面虚拟化的基础建设,在设计中支持大量的并发虚拟桌面。
✧功能模块化可以为未来的发展提供基础,当数量或应用等发生变化,功能模块化可以很容易地适应,而无需重新设计或重新设计整个基础设施。
3.2.安全措施
✧桌面云交付中心以安全为出发点设计的,提供安全接入的基础,而非事后的弥补。
应用和桌面都集中在思杰服务器上,而IT员工则完全掌控接入控制权。
基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入。
信息是虚拟化的并且是以加密的方式进行传输的,让用户能安全利用非信任网络。
最终,能高效管理经由多种接入网关传输的验证过程,从而有效防护任何资源的前门。
总而言之,这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级,而没有泄密安全。
✧管理员可以设置端到端的接入策略,指定每种特定接入情境下可接入哪些内容。
接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。
通过创建接入策略,管理员能更轻松地控制对敏感数据的接入。
✧这些策略还需考虑三种不同的接入因素:
谁正在接入应用;他们使用的是哪种类型的客户端设备,如台式机、笔记本电脑、PDA或自助查询终端;以及他们所处的位置,比如在他们通常的工作地点,在其它办公室,或在路途中。
✧这都意味着一种更复杂的接入控制判定,包括选择性信任,要求有比简单的Yes/No更多的控制内容,因为这些因素控制着用户如何接入应用,而不仅仅是用户是否接入应用。
用户可能被全部授权、部分授权或不被授权接入应用。
举例来说,如果用户在路途中,可能获准以只读权限接入文档,而不能编辑。
4.桌面云平台整体架构
VDIBox桌面云主要面向学校、企业和政府,提供整套桌面虚拟化综合解决方案,满足企业建设集中式桌面系统的需求,实现高可用、易管理、快速部署和高度数据安全的桌面云(DesktopasaService)交付。
4.1.虚拟化平台
VDIBox桌面云采用业界领先的Hyper-V3.0作为其虚拟化层,并针对WindowsServer2012和Hyper-V3.0进行了深度优化,可以大幅提高虚拟桌面的用户体验,增强系统可用性和安全性,同时提升系统管理便捷性。
4.2.远程桌面协议
基于HP独家定制的高安全高效率HPFX的远程桌面协议,在提供优秀的桌面图象质量的同时,更支持GPU重定向和USB设备重定向等先进技术,提供与本地PC一样的用户体验。
4.3.控制系统
云平台给员工提供一个安全、可控、便捷的工作环境,并可按照用户的需求安装特殊的应用。
针对这部分用户的桌面需求,可采用VDIBox桌面云平台进行管理,实现统一发布的虚拟桌面和应用,统一存储数据,集中化管理,快速、安全、可靠的桌面交付。
典型的桌面交付云平台架构如下:
VDiBox桌面交付云平台在终端用户层与最终业务层建立了一个桌面云平台,为门户和审批业务系统的访问提供一个更安全、可管理的集中接入平台,无论是外网用户还是内网用户,均可通过桌面云平台接入并访问后台业务系统,桌面云平台为企业的各种终端访问提供总体的接入解决方案。
通过桌面云平台的虚拟桌面,会让业务访问更快捷更安全,减少了对终端设备和带宽的依赖性,增加了访问的灵活性,更好的落实桌面云的发展战略。
VDIBox桌面云平台可根据用户的不同场景,通过应用虚拟化和桌面虚拟化的组合实现对用户环境的交付。
如果应用虚拟化可以满足业务应用交付的需求,则只需要部署应用虚拟化实现应用环境的交付;如果用户需要完整的桌面虚拟化体验,通过桌面虚拟化方案可以实现包含操作系统、应用、用户配置文件和数据文件的组装交付,其中的应用可选择在虚拟桌面上部署应用或者通过应用虚拟化实现虚拟桌面内的应用交付。
VDIBox桌面云方案,网络环境划分成三个部分:
终端层、虚拟化桌面层和后台应用层,各部分之间按照网络安全要求使用防火墙/网闸严格隔离,只开放访问必须的端口。
将用户终端隔离后可以对后台应用服务器起到很好的保护作用,用户所有的个人桌面、应用和文档被集中控制在虚拟桌面层。
5.系统拓扑
虚拟化资源池由5台服务器组成,通过千兆以太网相互连接并组成虚拟化群集,虚拟磁盘文件通过群集共享卷存储在IPSAN存储系统当中。
该架构允许任意一台物理服务器发生宕机而不会对虚拟化资源池中运行的虚拟桌面造成长时间业务停机影响。
6.方案描述
6.1.服务器配置方案
这里以200个用户为基数进行预估,未来用户数增加时,可适当添加服务器和存储以满足要求。
类型
设备名称
推荐配置
数量
单价
服务器
DL388pGen8
XeonE5-2660*2
8GDDR3*16
600GBSAS*2RAID1
240GBSSD*2RAID1
1GbNIC*2
10GbISCSIHBA
460W双冗余
5
存储
HPP4000SANStorage
600GB10000RPMSAS*20RAID10
10GbISCSI*2
1
0?
终端
HPT5740、显示器、键盘、鼠标
200
2600
软件
桌面虚拟化套件
VDIBox桌面云套件V3.2
200
1200
服务器
操作系统
WindowsServer2012Standard(教育授权)
1
3000
桌面
操作系统
WindowsVDA(教育授权)
200
500
服务
项目实施
系统规划、系统部署、维护培训
1
50000
6.2.存储配置方案
存储性能需求
据以往经验及用户习惯分析,一般用户对IO性能要求在30IOPS左右,以200个用户计算,共需要6000IOPS。
存储容量需求
以每个用户20G系统空间,20G数据存储空间计算,在采用差异存储技术时,多个用户可共享系统空间,200个用户约需6T空间。
为了满足数据安全要求,需要对虚拟桌面进行备份,因此需要>6T的备份空间。
6.3.虚拟桌面配置方案
桌面类型
虚拟设备
设备配置
数量
独享
虚拟桌面
vCPU
1vCPU/VM
200
vRAM
2GB/VM
200
vHDD
20GB/VM(差异存储)
200
Profile
20GB/User
200
7.产品功能
7.1.桌面接入
系统中的终端设备可接入到特定的分布式系统节点当中,终端设备可通过更改配置修改接入节点。
VDIBox支持以下设备接入虚拟桌面:
∙基于WindowsXPSP3的PC
∙基于WindowsEmbedded2009的瘦客户机
∙基于Windows7SP1的PC
∙基于WindowsEmbedded7的瘦客户机
VDIBox支持接入以下OS的虚拟桌面:
∙Windows7SP1
接入协议和相关端口:
∙HPFX1.1,RDP7.1,RDP8.0
允许以下设备接入并重定向到虚拟桌面当中:
∙USB存储设备(U盘、移动硬盘)
∙USB打印机
∙USB扫描仪
∙USB电子条码扫描抢
∙USB网银密钥
∙USB耳机音箱
∙USB摄像头
∙Android移动设备
∙IOS移动设备
7.2.管理功能
用户与安全管理
∙用户管理
∙用户组管理
∙通用策略管理
∙安全策略管理
∙设备接入管理
∙用户行为审计
∙管理员行为审计
物理设备监控
∙宿主机性能/状态监控
∙虚拟机性能/状态监控
∙终端设备状态监控
∙终端设备远程控制
∙系统物理拓扑监控图
∙系统服务拓扑监控图
∙云容量管理
∙虚拟设备管理:
∙虚拟机模版
∙虚拟机管理
虚拟桌面管理:
∙虚拟桌面池管理(独占桌面池、共享桌面池)
∙虚拟桌面用户分配
8.参数性能
指标项
技术要求
基本
功能
*完美支持基于Windows7系统的虚拟桌面
*虚拟机之间可以做到隔离保护,其中每一个虚拟机发生故障都不会影响同一个物理机上的其它虚拟机运行,每个虚拟机上的用户权限只限于本虚拟机之内,以保障系统平台的安全性。
*虚拟机可以实现物理机的全部功能,如具有自己的资源(内存、CPU、网卡、存储),可以指定单独的IP地址、MAC地址等。
*能够提供性能监控功能,对资源中CPU、网络、磁盘使用率等指标的实时数据统计,并能反映目前物理机、虚拟机的资源瓶颈。
功能性要求
*支持HA功能,当一台物理机发生故障时,之上的VM(虚拟机)可以实现在集群之内的其它物理机上重新启动,保障业务连续性。
*支持在线的VM迁移功能,可以在不停机的状态下,手工或自动地实现VM在集群之内的不同物理机之间迁移,保障业务连续性。
*VM具有FaultTolerance(容错)机制,可以保证在硬件故障情况之下,业务系统的不中断运行,保障高级别的业务连续性。
具有合理的内存调度机制,能够实现动态内存分配,保障内存资源的充分利用。
支持将多个物理机组成集群,同时支持动态资源分配功能,可以实现VM所拥有的资源(尤其是内存、存储等)可以自动地进行再分配,保障业务系统的服务水平。
每个虚拟机可以支持虚拟多路CPU(vSMP)技术,以满足高负载应用环境的要求。
虚拟机不但可以通过文件系统访问存储设备,而且支持直接访问裸设备,可直接使用本地硬盘或集中存储,如SAN、NAS和iSCSI来安装虚拟机。
提供防火墙能力,可以对端口(Port)配置基于IP的访问控制;同时在虚拟交换机层面能够提供VLAN级别的防火墙设定。
具有存储精简配置能力(差异存储),减少存储容量的需求。
支持在线存储迁移功能,无需中断或停机即可将正在运行的虚拟机从一个存储位置实时迁移到另一个存储位置;并且可以根据存储卷性能及容量情况进行自动迁移,消除存储隐患。
虚拟机支持3D图形加速,可以使用服务器端GPU最远进行3D图形加速,并根据需要启用或停用。
提供自动化部署能力,通过虚拟化管理平台统一管理。
提供统一的图形界面管理软件,可以在一个地点完成所有虚拟机的日常管理工作,包括控制管理、CPU内存管理、用户管理、存储管理、网络管理、日志收集、性能分析、故障诊断、权限管理、在线维护等工作。
指标
要求
*每台VM(虚拟机)的vCPU数量可以达到32个vCPU。
每台VM(虚拟机)的内存大小可以达到1TB。
每台VM(虚拟机)可以支持到64TB的存储容量。
*多台物理机可以实现虚拟化集群,一个集群内的物理机数量可达到64台。
单台服务器的虚拟机在线迁移并发数量无软件限制。
虚拟桌面功能
根据连接客户端的分辨率,动态调整虚拟桌面分辨率。
用户虚拟桌面颜色至少32位,保证图像显示质量。
*支持分屏显示(单终端多显示器)
*支持USB设备重定向
支持PC机、瘦客户机、Pad等客户端访问虚拟机桌面平台。
支持双向音频重定向
*支持服务器端GPU重定向功能
*多种前端协议支持,如HPRGS,RDP,RemoteFX。
提供多种协议的统一管理及接入
*桌面连接服务器要求支持独占桌面池,共享桌面池的功能
用户可通过虚拟桌面客户端直接连接到Windows7终端服务器的桌面进行远程操作
软件内置备份功能,可以按策略自动的备份或还原虚拟机或文件
可直接在虚拟化平台上实现基于光纤裸存储的windows集群功能
具备大型桌面管理能力,至少支持1,000台以上虚拟桌面的能力
可与活动目录完全集成
桌面连接服务器内置企业级数据库功能,无需购买第三方数据库软件
单一的管理和操作界面,方便管理,唯一的系统控制台。
要求桌面连接服务器可以直接与企业级虚拟化平台无缝集成
将用户配置文件,用户数据与操作系统自动隔离,保证用户数据安全。
支持虚拟机父映像单一实例管理
支持虚拟机故障检测及快速回退
用户对虚拟化应用不需要管理员权限
零停机的高可用及容错功能,保证物理服务器当机时对虚拟机不会有任何的影响
提供可靠性、自动备份、数据保护和灾难恢复功能延伸到了桌面,可实现错误自动检查、隔离和恢复。
高虚拟机密度
服务器虚拟化平台必顺提供原厂中文版,同时提供全中文的安装,配置管理手册
动态虚拟机负载平衡
客户端与虚拟桌面之间加密传输
安全审计功能,记录管理员和用户的操作行为
提供标准的远程访问认证支持,如:
RSA、SmartCard等。
简化防病毒软件的部署和管理,降低防病毒软件对虚拟化平台及虚拟机资源占用
虚拟化平台提供统一的防火墙配置策略,保障虚拟化平台及虚拟机的安全性
支持并发用户的许可证模式
9.方案优势
9.1.VDIBox与VMWareView对比
HPVDIBox
Ø部署和管理简单
•只有三个核心组件,部署简单快速
•统一的管理控制台,虚拟桌面全生命周期管理
•高度集成策略管理与安全管理
•维护成本和TCO低
Ø高计算密度(2~8VM/Core)
Ø分布式连接代理架构、支持多分支机构统一管理
Ø支持服务器端GPU重定向技术,可在瘦客户机/零客户机上实现3D图形加速
Ø学习成本低,即学即用
Ø完全为桌面云设计
VMWareView
Ø部署管理复杂
•复杂的组件结构,部署和维护繁杂
•多个控制台(ViewManager、vCenter等)
•仅有虚拟桌面管理,管理VDI的整个生命周期需要购买第三方产品
•昂贵(服务器、存储和许可成本)
Ø低的服务器密度(1-6/core)
Ø单一连接代理网关架构、无分支机构解决方案
Ø无法实现服务器端GPU重定向
Ø管理复杂学习成本高
Ø源自服务器虚拟化
9.2.VDIBox与CitrixXenDesktop对比
HPVDIBox
Ø部署和管理简单
•只有三个核心组件,部署简单快速
•统一的管理控制台,虚拟桌面全生命周期管理
•高度集成策略管理与安全管理
•维护成本和TCO低
Ø专为Windows桌面优化的虚拟化层
Ø企业级虚拟化集群,系统稳定可靠
Ø分布式连接代理架构、支持多分支机构统一管理
Ø支持服务器端GPU重定向技术,可在瘦客户机/零客户机上实现3D图形加速
Ø学习成本低,即学即用
XenDesktop
Ø部署管理复杂
•复杂的组件结构,部署和维护繁杂
•多个控制台(ViewManager、vCenter等)
•仅有虚拟桌面管理,管理VDI的整个生命周期需要购买第三方产品
•昂贵(服务器、存储和许可成本)
Ø虚拟化层不能完美支持最新Windows系统
Ø虚拟化集群配置复杂且难于优化
Ø无服务器端GPU重定向能力
Ø管理复杂,学习成本极高
9.3.VDIBox与国内友商产品对比
HPVDIBox
Ø统一的部署和管理平台,实现虚拟桌面全生命周期管理,高度集成策略管理与安全管理
Ø专为Windows桌面优化的商用企业级虚拟化层
Ø企业级虚拟化集群,系统稳定可靠
Ø分布式连接代理架构、支持多分支机构统一管理
Ø支持服务器端GPU重定向技术,可在瘦客户机/零客户机上实现3D图形加速
Ø支持USB设备重定向技术,可在瘦客户机/零客户机上实现USB设备重定向
Ø学习成本低,即学即用
基于KVM的桌面虚拟化
Ø仅能实现虚拟桌面管理,对终端、服务器、用户行为等均无管理能力
Ø使用Linux+KVM虚拟化平台方案,安全性和可靠性无法保障
Ø无法支持GPU重定向或任何方式的3D加速技术
ØUSB设备重定向需要第三方软件才能实现
10.实现桌面云平台的收益
10.1.决策层:
✧保护核心数据的安全,无需复杂的IT系统即可实现严格的安全管控;
✧满足合规性要求,由于桌面集中管理,任何法律法规方面导致的系统变更可以快速完成,减少合规性方面的风险;
✧桌面虚拟化改造符合技术发展趋势,是桌面管理的必经之路;
✧集中管理和安全提升意味着成本的降低,桌面虚拟化比传统PC有着更高的投资回报率;
✧桌面虚拟化改造可以降低IT运行的总体碳排放量,符合国家的整体能源战略;
10.2.IT运维管理部门:
✧有效减少由于用户桌面故障导致的XXXX业务系统中断;
✧实现用户终端网段和核心业务服务器网段之间的逻辑隔离,员工可以通过VDIBox虚拟桌面访问XXXX业务系统,但是从终端到后台核心数据之间的直接访问被切断,减少被扫描攻击的可能性;
✧配合瘦客户机(ThinClient)使用时,可以真正实现客户端零管理,病毒、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VDIBox 金融 桌面 云安 办公 方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)