客戶登錄
English
時間:2020-03-06
1.項目描述 1.項目背景: 隨著金融信息服務有限公司的業務發展,公司對信息化安全要求越來越高,特別是涉及到公司戰略發展、研發系統等關鍵數據安全問題,為了避免傳統PC數據隱患高、易損壞、數據存儲分散、易泄漏難以管理及研發等重要數據部門有越來越多的對外溝通、互聯網訪問的需求,期望通過虛擬桌面的技術,建設一套高度信息安全、高可靠、設備輕型化、綠色節能的辦公系統。目前傳統IT辦公系統比較突出的矛盾如下: 每臺客戶端部署和維護需要花費大量的時間和人力; 軟硬件的頻繁升級與更新,增加管理成本; 服務器資源沒有充分規劃和利用; 無法為移動客戶端提供靈活、安全的桌面應用接入平臺; 炫億時代 公司機密數據無法得到安全保障; 2.技術介紹 虛擬桌面技術是基于虛擬化和云計算理念成長起來的終端管理方法,它完全顛覆了傳統意義上的終端管理概念; 在某種意義上它剝離了計算機終端軟件與硬件之間的聯系,將系統和服務集中在服務器端,這使得網絡管理人員不必再將維護的重點放在分散的個人終端上,只要維護和加固服務器端便可以實現全網絡終端便捷的維護和高安全。 終端用戶也可以從選擇和安裝各種安全軟件、補丁升級、病毒庫升級等繁雜的個人維護工作中解脫出來,并且虛擬化和集中化的應用方式,也可以使用戶終端從根本上避免系統癱瘓、軟件沖突及誤操作等多層面的問題。 虛擬桌面技術完全不同于傳統模式的終端管理軟件,集中化和虛擬化的特點不僅僅會大大增強內部系統及網絡的安全性,同時也因此減少了網絡運維的復雜程度和運維成本。 kgsuhy.cn 在終端管理方面,虛擬化的終端管理平臺將是目前各種紛爭背后終端管理發展的必然趨勢。 基于虛擬桌面技術,為員工提供新一代的企業級桌面服務,為公司建設更安全、更有效、更靈活的研發辦公及員工培訓環境,建成后的系統將成為信息系統的重要基礎架構組件。 3.實現目標 桌面和數據全部運行在機房虛擬桌面平臺,實現虛擬桌面內重要數據進出管控功能; 通過策略、網絡隔離等技術手段,嚴格禁止重要數據下載、上傳或保存到外部設備; 構架設計遵循開放、靈活的原則,以適應后續系統擴容以及日后的需求變更; 提供盡可能靈活地部署方式,以適應不同類型用戶的需求; 傳統PC用戶平滑過渡到桌面虛擬化環境,最大限度保持原有用戶使用習慣和數據安全和完整性; 炫億時代 桌面系統集中托管于機房,在后臺進行集中的部署、維護和監控、備份管理; 瘦客戶端后臺集中管控和策略下發,減少終端維護量,增強終端安全性; 通過試點項目建立和完善運維管理流程,并為后續項目可行性研究提供可靠數據保障; 2.網絡架構設計 整體架構網絡根據用途可以分為: 存儲網絡 業務網絡 備份網絡 管理網絡 帶外管理網絡
kgsuhy.cn
3.存儲架構設計 主要描述整個虛擬桌面架構采用那種存儲協議以及選用存儲時的注意事項 虛擬桌面架構中,即使用到SAN協議,又使用到NAS協議 SAN協議主要用來存儲郵件、數據庫等結構化數據 NAS協議主要用來存儲用戶Profile、文件夾重定向等非結構化數據 1.存儲協議選擇 從上圖可以看出FC協議報文封裝最短,傳輸也最高效。所以走SAN協議的數據,選擇FC協議來傳輸 2.存儲RAID類型選擇 目前市場上主流存儲NetApp、EMC、DELL、HP、華為等品牌都有自己的存儲RAID類型。下表是不同RAID類型讀寫懲罰對照表: RAID 從上表可以看出,RAID-0寫懲罰最小,但是沒有數據保護機制,所以在生產環境極少使用。RAID-1和RAID-10雖然寫懲罰較小,但是都消耗一半的磁盤。所以從性能上面我們選擇RAID-DP。 kgsuhy.cn 3.存儲空間的計算 用戶數量:300 總空間需求:100GB*300=30T 4.運算資源計算 CPU: 300*1vcpu=300vcpu MEM: 300*4GB=12T 4.軟件架構的設計 1.VMware vCenter高可用設計 由于vCenter server是所有vSphere Host管理和配置的核心,因此,其在整個VMware環境中非常重要,那么需要對其高可用性有很好的規劃。VC在vSphere環境中的位置如圖: 采用VCenter High Availability 保證 vCenter 的高可用,其工作原理如下圖: 注:結合金融行業現有規模以及未來擴展,通常建議采用Small部署方式。 2.Citrix軟件架構 5.數據安全——終端接入設計 1.局域網接入 通過 Citrix Receiver或IE 使企業能夠以高性能安全地通過任何用戶設備交付虛擬桌面和 Windows、Web 及 SaaS 應用,進而有效地管理大量進入工作空間的新設備。它可以通過以下方式,幫助當前移動性日 炫億時代 益增強的員工隊伍通過他們選擇的任何設備快速簡單地按需訪問虛擬桌面、企業應用。 2.分支機構接入 分支機構人員可以通過Internet連接到位于數據中心的辦公環境。和內網連接的區別是,通過Internet 連進來的用戶首選連接到位于公司DMZ網絡區域的Security Gateway(NetScaler)。邏輯圖如下: 3.VPN接入 系統支持VPN的接入方式,訪問帶寬在60K以內,支持數據流壓縮 系統支持VPN的接入方式,支持數據流壓縮,每種工作類型所需帶寬如下 100個外網VPN用戶。 按照office類型,VPN帶寬需要:100*43kbps=4300kbps=537.5KBps 按照Printing類型,VPN帶寬需要:100*593kbps=59300kbps=7412KBps VPN帶寬可以參照上述范圍進行設定。 6.數據安全——虛擬化環境殺毒設計 傳統殺毒模式在虛擬化環境下主要突出矛盾 存儲IO風暴導致業務緩慢 炫億時代 卸載防病毒軟件帶來安全隱患 所以在虛擬環境下我們推薦使用針對虛擬化殺毒的無代理殺毒模式 7.數據安全——虛擬化環境備份設計 備份有兩種方式可以選擇: 1.存儲級別備份 備份采用本地備份,我們建議可以分為2級或3級備份機制。 一級:先使用NetApp存儲中的SnapShot快照技術對重要的或所有的VM文件,每日快照備份; 二級:再通過NetApp Snap Vault技術對主存儲中的數據進行快照復制技術復制到第二臺NetApp存儲中,可以每日增量,每周全備的方式; 三級:通過傳統備份軟件將重要核心數據備份到第二臺NetApp存儲。 對于非虛擬化環境的數據可以采用NetApp OSSV進行備份。 2.VEEEAM文件或應用級別備份 如果期望備份可以從文件級別快速恢復,我們可以采用第三方備份軟件VEEM。 炫億時代 VEEEAM也可以實現AD、Sql、Oracle、Exchange等應用顆粒度恢復。 8.數據安全——數據準入準出設計 用戶數據準入準出分為兩個層面: 1.進出虛擬桌面環境,不允許虛擬桌面環境和內網進行數據交互 解決方法:通過禁止USB映射、本地磁盤映射來解決。并且虛擬桌面RDP遠程連接禁止。 2.進出內外網,不允許虛擬桌面環境中數據出外網 解決方法:用戶即可以訪問虛擬桌面又可以訪問外網。為了做到內外網隔離。我們通過 XenApp發布瀏覽器供虛擬桌面用戶上網。 炫億時代
炫億時代
上一篇:應用安全網關
下一篇:沒有了