深信服 aDesk桌面云技术.docx
《深信服 aDesk桌面云技术.docx》由会员分享,可在线阅读,更多相关《深信服 aDesk桌面云技术.docx(16页珍藏版)》请在冰点文库上搜索。
深信服aDesk桌面云技术
XXXX桌面虚拟化技术方案
虚拟桌面:
保护企业信息安全
深信服科技
20XX年XX月
目录
第1章数据安全问题分析1
第2章虚拟桌面技术架构2
2.1整体架构概述2
2.2关键组件说明3
2.3安全设计思路4
第3章选择虚拟桌面模式的理由5
3.1与传统数据交换比较5
3.2为什么桌面集中会更安全7
第4章设备选型方案8
4.1桌面/应用部署规划8
4.2软件许可列表8
4.3硬件配置清单8
第5章产品介绍9
5.1瘦客户机产品9
5.2一站式虚拟桌面产品11
第1章数据安全问题分析
随着信息化建设的不断完善,政府文件、企业核心资料等数据作为支撑业务稳定运行的关键资产,其数据的安全性变得极其重要。
在当今的互联网环境下,网络的普及让信息的获取、共享和传播更加方便,却增加了重要信息泄密的风险,而传统PC的不可控性更是成为了数据安全和信息丢失的根源。
因此,传统PC模式下将面临着如下挑战:
传输安全性:
企业策略、定单信息、财务数据等关键的应用数据在传统PC模式下通过明文方式进行传输,由于客户端与服务器之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,导致存在较大的安全隐患。
而现在的系统架构平台属于一个开放的环境,因此,数据的安全传输是一个非常重要的问题。
尤其当业务系统部署在内网时,传输的安全问题是最容易被忽略的一个环节。
一旦被非法人员获取,将使企业或合作伙伴造成重大的经济损失。
数据泄漏风险:
终端数量众多并且分散在各处,随着安全隐患日益增多,如果未进行及时修复,往往成为数据安全风险集中爆发的地方。
再者,难以对移动存储等进行限制,难以防止数据外泄,以及通过移动存储传播的恶意软件等安全威胁。
近年来主动及被动的安全泄漏事件日益上升,而这种安全事件对企业形象和核心竞争力的影响是巨大的,如何有效解决终端攻击威胁及主动途径泄漏事件等安全问题一直困扰着IT部门和管理层。
安全的开发环境:
开发部门由于其业务特殊性,对开发环境和文档管理环境的安全性要求非常高。
为了支撑业务的飞速拓展,在开发项目中往往还会牵涉到很多第三方公司和外包项目,甚至于开发人员需要在任意地点进行办公,这对开发系统的安全构成了极大的挑战。
因此,需要有一套安全的开发环境,能够让开发项目的员工及外包员工在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。
综上所述,基于对内部敏感信息的保护和控制,采用传统PC+管理软件的方式,不能完全、有效地解决这些矛盾。
通过一站式虚拟桌面解决方案能从另一种思路来解决数据安全管理的问题,达到传统方式无法达到的理想效果,从而快速适应新业务拓展。
第2章虚拟桌面技术架构
2.1整体架构概述
本方案基于高安全性、高可靠性、高可扩展性的设计原则,采用业界主流的虚拟化技术,实现虚拟桌面系统建设需求,主要从以下方面进行考虑:
1、虚拟化基础架构
虚拟桌面系统通过采用计算集群和存储集群相分离的架构,提升系统的可靠性。
服务器集群完成虚拟机的按需分配以及集群内的热迁移,存储集群完成系统卷和用户卷的按需分配以及跨磁盘/物理服务器的存放。
采用双链路全冗余机制,避免服务器与存储之间、服务器与通讯网络之间出现故障导致的停机事件,其中服务器与存储网络、存储网络与磁盘阵列采用多路径负载均衡机制保障数据读写的高性能,而服务器与通讯网络之间采用双网卡绑定机制保障高可用性。
注:
根据为用户设计的实际物理环境进行描述;
2、虚拟机管理软件VMS
每台服务器都安装虚拟机管理软件VMS,将底层物理资源如CPU、内存、磁盘、I/O等抽象成逻辑资源,形成动态管理的“资源池”,并根据实际需要创建合适的虚拟服务器VM,每台VM可提供独立的桌面环境。
3、虚拟桌面控制器VDC
作为虚拟桌面发布平台,为用户提供认证和桌面资源分配,然后通过自主研发的高效传统协议SRAP提供高性能且可靠的桌面环境传送。
目前,深信服虚拟桌面控制器VDC可提供软件版本(安装于VM上)和硬件设备两种选择,并支持非对称集群部署。
4、前端接入终端设备
支持基于Windows平台的普通终端、基于Android平台的瘦客户机aDesk、基于IOS/Android系统的手机及平板电脑,并且结合会话保持的功能特性可实现不同终端切换桌面/应用不中断的效果,实现业务无处不在的价值。
5、集中管理特性说明
无需专门的集中管理平台,通过WEB浏览器登录至任意一台服务器,并设置为集群主服务器即可进行统一管理,实现完全控制和查看虚拟基础架构中的集群、主机、虚拟机、存储、网络连接和其他关键元素,同时可以实现主机故障迁移、桌面资源负载均衡等高级特性。
2.2关键组件说明
SANGFORaDesk是专为桌面而构建的端到端一站式虚拟桌面解决方案,该方案以桌面托管的方式实现统一的桌面虚拟化平台,可将任何桌面/应用交付给用户,并提供最佳的性能、最高的安全性、最低的成本和最强的灵活性。
具体需要的方案组件如下:
组件名称
具体描述
备注
虚拟机管理软件VMS
为虚拟桌面环境构建一个功能强大、高可靠性、高可扩展性的桌面虚拟化基础技术平台,实现对物理资源的完全控制及性能监控,实现虚拟机的快速部署、统一桌面资源池管理。
并且结合故障自动迁移、数据自动化备份、资源负载均衡等特性实现桌面及数据的可用性和高性能,从而构建最简捷、最有效的桌面交付中心。
(可选)
虚拟桌面控制器VDC
与VMS协同工作,提供桌面用户认证管理、桌面/应用资源访问控制、虚拟桌面创建及启动、桌面监控等功能,实现以更低成本、更安全、更可靠地交付Windows桌面。
不仅能增强控制能力和可管理性,还可以提供与PC一致的桌面体验,虚拟桌面控制器VDC能简化虚拟桌面的管理、调配和部署。
用户能够通过虚拟桌面控制器VDC安全而方便地访问虚拟桌面,升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源。
(必选)
瘦客户机aDesk
aDesk瘦客户机是一种理想的替换传统桌面PC的设备,它外形小巧,无噪音运行,日常耗电量仅需10瓦,是真正意义上的经济环保型电脑。
aDesk允许随时随地连接SANGFOR虚拟桌面平台,不仅可获得与传统PC一致的访问体验,而且提供了额外的安全性和广泛的可扩展性;同时通过虚拟桌面控制器VDC进行中央管控,极大简化aDesk瘦客户机终端管理工作。
(可选)
VDC与VMS的功能区别
VMS主要提供桌面虚拟化方案的基础架构,着重于网络基础设备、主机、存储、模板的管理;VDC提供用户角色、权限、虚拟机实例、瘦客户机的管理,主要包括常用的,或具备批量操作特性的用户相关功能的管理。
2.3安全设计思路
虚拟桌面从防范非法用户和恶意系统管理员的角度进行全方位的安全防范,保证接入虚拟桌面的用户和数据高度安全性,本方案针对各分层采用安全措施具体如下:
1.终端安全
采用精简加固基于AndroidOS,瘦客户机无本地存储,可以说数据总是存放在最安全的地方。
用户接入虚拟桌面资源时通过合法性认证、USB灵活可控策略、应用策略化控制、还原模式等方式保证终端安全。
−集成本地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制;
−基于灵活策略设置USB端口使用权限(允许、禁止、单向传输);
−提供集中的细粒度的策略控制用户的授权访问桌面/应用;
−桌面注销时还原至原始状态,降低终端中毒风险。
2.传输安全
通过VLAN隔离,并内置企业级防火墙模块进行状态化ACL访问控制,管理员登录时采用HTTPS加密传输、用户访问虚拟桌面采用传输加密等手段,保证业务运行和维护安全。
−仅传输图像变化和指令信息,不直接传输实际数据;
−可对传输加密通道进行基于IP、服务的访问控制策略;
−支持DES、3DES、AES、国密办等加密算法;
−内置企业级防火墙模块,提供状态包过滤和基本安全保护。
3.平台安全
虚拟化基础架构(VMS)的安全性关系到整个虚拟桌面访问的稳定性和数据安全性,本方案首先通过高可用性设计满足业务稳定性需求,然后再通过虚拟机隔离、数据盘加密控制、管理员权限细化等安全机制保证用户数据的安全。
−CPU调度、内存、网络访问、磁盘IO、存储空间的隔离,保证虚拟机隔离安全;
−个人数据盘的加密访问,保障用户数据安全;
−集群HA架构设计,提升系统可靠性,热迁移保证虚拟桌面的不间断访问;
−不同管理员角色,授予合适的管辖权限范围,并保存操作日志。
通过终端安全、传输安全、平台安全三大层次的端到端、多方位安全机制,可以完善保障用户接入安全、数据安全、管理安全、虚拟化安全、基础设施安全等多个建设环节,轻松应对虚拟桌面在建设过程中所面临的安全威胁及挑战。
第3章选择虚拟桌面模式的理由
3.1与传统数据交换比较
Ø传统计算模式的弊端
1)客户端程序在传统PC本地部署,初期安装、后期维护及更新的工作量大,运维成本高。
2)由于应用程序直接部署在传统PC上,业务数据在网络中属于明文的端到端传输模式。
为了满足传输安全,一般需要借助于VPN或其他安全设备,实现传输数据加密。
3)要实现从传输过程,到本地数据的安全和保密,对桌面环境的要求很高,一般需要结合终端管理软件,实现过程非常困难,安全漏洞很多。
总的来说,传统PC模式由于其分散的本质,客户端应用和数据直接存储于传统PC,管理非常复杂,而且无法保障数据安全性。
传统解决方案必须从传输、存储、端点及运行环境等各个环节都保证安全,因此需要结合防火墙、终端管理软件、终端防病毒软件、入侵检测、网络加密设备等各类产品,一方面投资成本高,另一方面其实现效果并不理想。
所以,一味地从传统方案入手,而不改变其构架,问题隐患无法从根源上解决。
Ø虚拟桌面模式带来的变化
1)桌面/应用集中部署于虚拟桌面架构上,前端可用任意终端类型实现灵活、安全接入,降低应用、数据维护压力,减少终端管理难题。
2)桌面/应用都在数据中心,业务数据传输也仅在数据中心内,数据不落地特性保障核心数据的安全性,无数据泄密风险,且能够提供一套安全、受控的开发环境。
3)在虚拟桌面架构至终端设备之间传输的是经过SSL协议加密的屏幕刷新和键盘鼠标操作等信息。
该数据很难被截获破解,即使被截获破解以后,其提供的信息也十分有限,无法还原原始数据。
总的来说,传统PC模式传输实际业务数据,该数据会被缓存在用户本地或在传输中被截获;而在虚拟桌面模式中,仅传输图像及指令信息,用户端无任何业务数据缓存在本地,保证数据总是存放在最安全的地方。
重要数据集中存储,加大管控力度,增强企业数据安全性,并且可以保证员工随时随地都可安全访问桌面和企业内部资源,保障数据传输安全。
3.2为什么桌面集中会更安全
1.用户在访问桌面的情况,全过程采用加密方式,并且无需借助于VPN设备,传输过程中数据的不落地保障传输的安全性,让用户随时随地都可以访问桌面资源,企业无需担忧数据的安全性。
2.虚拟桌面模式将桌面/应用集中部署后,个人的数据将统一存储在数据中心,通过存储加密技术将个人目录进行加密保存,保证个人只能访问被授权的数据。
3.虚拟桌面模式下,数据可以进行集中的备份管理和快速恢复,防止数据因个人设备损坏而丢失。
4.简化的外设管理,可灵活设置外设的使用权限,且控制用户是否能够使用USB端口以及单向传输方式,最大程度防止数据泄露。
5.结合其他产品实现统一的安全策略(防火墙、防病毒、系统补丁、文件权限等),仅需管理服务端,无需针对每台PC进行单独管理和策略设置,减少管理工作量的同时保障安全策略更有效。
第4章设备选型方案
4.1桌面/应用部署规划
应用场景
桌面类型
规格
数量
研发环境
独享桌面
vCPU=2,MEM=4G,系统盘=30G,个人盘=100G
200
需求描述
每位研发人员分配个性化桌面,允许随意安装软件、但要管控USB端口使用权限
注:
根据客户实际情况进行调整;
4.2软件许可列表
软件模式
具体描述
数量
VDI普通版授权
提供共享桌面和远程应用,按每用户授权
0
VDI高级版授权
提供个人桌面、共享桌面和远程应用,按每用户授权
200
注:
根据部署规划情况进行调整;
4.3硬件配置清单
硬件类型
功能描述
数量
PC服务器
虚拟桌面基础架构服务器(双路4核48G内存,146G硬盘,4端口千兆网卡)
6台
存储设备
支持iSCSI或NFS的存储设备一台,用于存放虚拟机,存储容量视虚拟机大小和镜像数量而定
1台
瘦客户机
(或采用已有PC)
支持SANGFOR桌面虚拟化方案的瘦客户机
200
注:
根据测试部的数据进行服务器选型,并添加选型的依据,参考如下:
1)从CPU角度计算,按照实测数据每核E5-2665处理器支持5-6用户,故200用户实际需要CPU的核数为40核。
2)从内存角度计算,总共200用户,按每用户分配2G内存计算,总共需求为200*2=400G。
3)从IOPS角度计算,办公桌面需要25IOPS,IOPS实际需求:
200*25=5000(Win7)。
4)从磁盘容量角度计算,办公桌面需要40GB容量。
数据盘容量实际需求:
200*40=8000GB
系统盘容量实际需求:
25*200=5000GB
总容量需求:
8000GB+2000GB=10000GB
第5章产品介绍
5.1瘦客户机产品
aDesk瘦客户机是一种理想的替换传统桌面PC的设备,它外形小巧,无噪音运行,日常耗电量仅需10瓦,是真正意义上的经济环保型电脑。
aDesk允许随时随地连接SANGFOR虚拟桌面平台,不仅可获得与传统PC一致的访问体验,而且提供了额外的安全性和广泛的可扩展性;同时通过虚拟桌面控制器VDC进行中央管控,极大简化aDesk瘦客户机终端管理工作。
aDesk瘦客户机适用于金融、运营商、企业、政府、教育、医疗等行业的多种办公场景,故障排除、软件安装和系统升级都在服务器端完成,提高了安全性和管理的方便性,减少了IT管理者对用户桌面系统维护的繁琐工作,也为企业节约了大量的IT投资。
产品精彩亮点解析
即插即用模式
配套SANGFOR虚拟桌面方案,在DHCP环境下只需简单连线和开机,即可实现全自动化桌面环境部署,傻瓜化模式有利于提升员工的操作便捷性。
先进技术,高端部署
独特的ARM硬件架构,内置A9视频协议处理器满足用户高清多媒体播放需求;直观的Android操作系统,且内置Chrome浏览器和本地输入法,增强安全性和操作灵活性。
灵活的PC替代选项
附带6个USB端口,1个HDMI高清视频端口,1个VGA普通视频端口,以及串口和音频接口,使用标准的千兆以太网,始终保持高效的网络连接。
卓越的可管理性
具有aDesk集中管理平台,可简化部署和配置过程,客户能够利用企业级管理特性轻松管理基于Android系统平台的aDesk瘦客户机。
在本次桌面虚拟化项目中,可以根据需要,一次性采购瘦客户机,也可以逐步采用瘦客户机代替传统PC。
瘦客户机和普通PC两者的比较参见下表:
功能描述
瘦客户机
传统PC
无风扇设计,铜管散热,降低硬件故障率
支持
不支持
无硬盘,闪存设计,降低硬件故障率
支持
不支持
简化版操作系统无病毒感染风险
支持
不支持
节能环保,功率<=15W
支持
不支持
体积小巧
轻巧
笨重
故障排查难易程度
直接更换机器
较难
重装操作系统耗时
很短
较长
业务系统发布、升级难易程度
直接更新远程服务器
逐台升级
系统补丁升级
系统简化、漏洞很少、无需打补丁
经常要打系统补丁
环境变更对本地操作系统的影响
统一后台更新,无需重装本地系统
需要重装操作系统
专用的客户端管理程序
支持
不支持
磁盘安全性
闪存已焊接到主板上,无法取出
容易被盗取
主机安全性(防盗)
离开中心环境基本无利用价值
容易造成资产流失或偷梁换柱
本地支持复杂的功能应用
将处理复杂应用的工作交由远程服务器完成
支持复杂应用
5.2一站式虚拟桌面产品
桌面交付环境的建设往往需要三个环节:
首先通过服务器虚拟化软件(VMS)搭建具备高可用性的集群服务器环境,为用户新建和开启虚拟机,实现虚拟桌面及应用程序的后台运行;然后通过虚拟桌面发布平台(VDC)将桌面资源进行整合,同时利用高效的远程发布协议以快速、安全、稳定的方式交付给用户;最后用户可通过任意终端设备随时随地获取虚拟桌面资源,从而实现良好的桌面接入体验。
目前业界一般采用如VMware+Citrix+HP这样的多品牌集成方案,此类方案需要从不同供应商单独采购,软件授权的收费模式也是彼此分开的,往往导致成本较高;同时由于产品之间又具有较大的关联性,但售后服务却是独立的,因此实施和运维工作都将存在困难。
而深信服采用一站式解决方案模式,涵盖了虚拟机管理软件VMS+虚拟桌面控制器VDC+瘦客户机aDesk三大产品系列,降低了前期的整体投资成本,极大简化桌面资源的管理。
深信服虚拟化技术亮点
Ø一站式解决方案:
国内唯一具有自主知识产权的高效桌面交付协议SRAP,并且覆盖虚拟机管理软件VMS、虚拟桌面控制器VDC、瘦客户机aDesk全方位解决方案的厂商,实现一站式虚拟桌面服务;
Ø虚拟机部署密度提高20%:
虚拟机管理软件VMS利用其独特的内存页面共享、虚拟机模板链接等技术节省计算和存储资源,提升虚拟桌面的部署密度和服务器资源的利用率;
Ø性价比最高:
瘦客户机aDesk独特的芯片架构和免费的Android操作系统,使得用户端的成本比其他瘦客户机降低了20%到30%,并且无需引入Citrix、VMware等价格昂贵的集成方案;
Ø高安全性保障:
虚拟桌面控制器VDC拥有业界最全的身份认证方式,如短信认证、动态令牌、USB-Key、硬件特征码、第三方认证等,而多种身份认证方式可随机组合以提升接入的安全性,同时支持存储加密和国密办算法,最大程度保障用户数据安全;
Ø良好的用户体验:
利用A9芯片内置的视频协议处理器,深信服的瘦客户机aDesk可以流畅地运行1080P的高清视频。
同时,深信服通过大幅改进传输协议,利用其专利技术SRAP协议,实现传输效率比传统的微软RDP技术提高6倍以上,不仅可获得高效的桌面响应速度,而且极大地降低了网络带宽的消耗;
Ø管理最简化:
单一控制台实现虚拟桌面创建、发布等配置,并且瘦客户机aDesk采用即插即用模式,减少管理员初始化部署工作量。
最终实现在DHCP的网络环境中,简单接线即可完成全自动化部署,无需IT管理员干预。
效果展示
总体来说,深信服虚拟化产品是集成最完善的一站式桌面虚拟化解决方案,通过基于自主知识产权协议SRAP的虚拟化桌面平台,实现桌面的快速部署和数据的集中化管理。
此外,深信服桌面云方案可减少桌面系统的支持与维护成本,提升最终用户满意度和业务连续性,保障信息安全和法规遵从,真正从用户简化管理、提升效率、最优投资的角度出发实现桌面虚拟化的价值最大化,是用户的一种全新的最优选择。
深圳市南山区麒麟路1号科技创业中心4楼
Add:
4thFloor,IncubationCenter,No.1QilinRoad,NanshanDistrict,ShenzhenP.C.:
518052
产品咨询热线:
800-830-9565
Email:
master@
升级会员 