基于VMwarevSphere簡易桌面云解決方案

1、基于 VMware vShpere面向信息安全的小型化桌面云方案桌面虛擬化平臺+企業(yè)信息安全解決方案基于VMware vSphere 的桌面云（桌面虛擬化）方案2016/8/15目錄1 中小企業(yè)桌面信息安全 21-1中小企業(yè)的信息安全挑戰(zhàn) 21-2簡單、實用的安全桌面云系統(tǒng) 31-3務必使用企業(yè)級的虛擬化平臺 32 面向信息安全的云桌面方案 52-1總體方案 52-2極簡單的桌面云服務器 62-3數(shù)據(jù)存儲的安全可靠 72-4網(wǎng)絡接入層的安全保障 72-5數(shù)據(jù)訪問的安全保證 72-6雙網(wǎng)隔離的辦公模式 73 最簡單的部署方案 84 包含紅、黃、綠區(qū)的部署方案 95 雙網(wǎng)口云終端的部署方案 116

2、基本配置清單 126-1 硬件配置清單（ 50 辦公型用戶） 126-2 軟件配置清單（ 50 辦公型用戶） 131中小企業(yè)桌面信息安全1-1中小企業(yè)的信息安全挑戰(zhàn)根據(jù)FBI對近500家公司調(diào)查顯示：面對來自于公司內(nèi)部的信息安全威脅，85%的安全損失是由企業(yè)內(nèi)部原因造成的。對那些來自公司內(nèi)部的安全問題，不是靠單純的安裝殺毒軟件和防火墻就能解決的。如何面對桌面進行統(tǒng)一的管理，已經(jīng)成為大多數(shù)公司IT管理的必要手段。其中包括：統(tǒng)一的軟件和應用程序安裝；統(tǒng)一規(guī)范桌面等級（分紅、黃、綠不同的辦公區(qū)域）；統(tǒng)一終端設備接入辦公網(wǎng)絡的準入規(guī)則；嚴格規(guī)范信息數(shù)據(jù)在不同等級桌面之間的流動等等。中小企業(yè)的內(nèi)部信息網(wǎng)

3、絡一般由終端、服務器、網(wǎng)絡設施以及各種ERP、OA、設計和生產(chǎn)系統(tǒng)組成。除了常規(guī)的安裝防病毒和防火墻軟件之外，他們主要面臨的桌面安全威脅有：PC辦公系統(tǒng)，磁盤損壞，桌面信息數(shù)據(jù)丟失；非法設備接入網(wǎng)絡，盜取信息資產(chǎn)；移動介質(zhì)（如 U盤）通過桌面PC盜取信息資產(chǎn)；內(nèi)網(wǎng)設備連接互聯(lián)網(wǎng)，通過郵件，上載，共享等手段，盜取信息資產(chǎn)；中小企業(yè)在面臨這些信息安全問題的時候，通常面臨資金投入的壓力，傳統(tǒng)的桌面安全監(jiān)控軟件，上網(wǎng)行為管理軟件等等，價格相對比較昂貴，而且軟件配置復雜，只能解決部分問題。同時傳統(tǒng)的信息安全手段，通常是以犧牲員工和外界（互聯(lián)網(wǎng)）聯(lián)絡為代價的。讓員工的工作環(huán)境變 成了孤島，既不利于員工創(chuàng)造

4、性的發(fā)揮，也不利于資料查詢和實時的信息獲取。黑巻通過至聯(lián)網(wǎng) 研取單位內(nèi)咅険料竟爭對手的剌探或通過收冥 里位內(nèi)部員工面竊取重要資料員工故竜或無竜的拷貝、塩翹里位內(nèi)劉資料礫里有簡 單、可靠 的低成本 的信息安 全方案呢?信息安全風險是IT管理人員關注的焦點1-2簡單、實用的安全桌面云系統(tǒng)基于Vmware vSphere虛擬化平臺，通過 Deskpool構建信息安全的桌面辦公系統(tǒng)，為中小企業(yè)提供了一種低成本的，高強度安全的桌面解決方案。該系統(tǒng)主要通過以下幾個技術手段為桌面信息安全提供保障：基于桌面云的 Widnows 辦公桌面系統(tǒng)，數(shù)據(jù)保存在數(shù)據(jù)中心， 有RAID級別的數(shù)據(jù)可靠性保障; 面向桌面云的

5、數(shù)據(jù)備份策略，確保數(shù)據(jù)得到冗余保存；基于桌面云的方案，提供了統(tǒng)一的軟件安裝和應用發(fā)布手段；通過劃分紅、黃、綠不同的網(wǎng)絡，實現(xiàn)信息資產(chǎn)與互聯(lián)網(wǎng)和非法接入終端的隔離；通過實施802.1X的終端設備接入認證，確保終端的合法接入；通過使用禁止U盤讀寫的嵌入式云終端，堵住信息資產(chǎn)通過辦公桌席流出的通道；通過雙網(wǎng)口的云終端，確保員工的辦公坐席，能同時能訪問相互隔離的紅區(qū)和綠區(qū)的遠程桌面；實現(xiàn)一邊安全辦公一邊上網(wǎng)沖浪的體驗。企業(yè)級的虛擬化平臺(Vmware vSphere )，相對其它開源的虛擬化平臺，提供更加高強度的企 業(yè)級可靠性。*設劃 塔金業(yè)級的 桌面數(shù)揺 中心802. 網(wǎng)第 接入認證數(shù)據(jù)單向面網(wǎng)關趙

6、阿口整端 實現(xiàn)雙遠程 桌面連楔RAI葉定 吋備徐的 數(shù)據(jù)容究多重手段保證信息安全1-3務必使用企業(yè)級的虛擬化平臺7x24小時穩(wěn)定運行的關鍵因素。雖然目前處于基礎設施層面的虛擬化操作系統(tǒng)，是保證企業(yè)應用能大量的機構投入了人力物力發(fā)展和包裝開源的虛擬化系統(tǒng)，但筆者仍然極力向中小企業(yè)主們推薦企業(yè)級的虛擬化操作系統(tǒng)，以確保服務的連續(xù)性。目前VMware的ESXi和微軟的Hyper-V 是使用最廣泛的企業(yè)級虛擬化平臺，企業(yè)市場的占有率在 90%以上，而且都有免費版本供用戶選擇。面向中小企業(yè)信息安全的 云桌面方案首選Vmware和Hyper-V的虛擬化操作系統(tǒng)部署。Magic Q uadrantFigiu

7、jc 1. Magic Quadranl for Sentr Vlrtudizalkn I nFrasIrudLreSource.右血昌a f血好 Ml叩2015年Gartner的虛擬化平臺分類2面向信息安全的云桌面方案2-1總體方案面向中小企業(yè)的云桌面解決方案，如下圖所示，在網(wǎng)絡劃分上主要由紅區(qū)、黃區(qū)和綠區(qū)組成。云桌面的用 戶分為黃區(qū)用戶和綠區(qū)用戶。黃區(qū)內(nèi)的辦公坐席用戶使用云終端可以安全操作紅區(qū)內(nèi)的云桌面和訪問關鍵的信息資產(chǎn)（例如ERP、或者生產(chǎn)系統(tǒng)等）。黃區(qū)的網(wǎng)絡交換機、服務器和云終端等，都支持802.1X網(wǎng)絡身份認證功能，云終端的外設的讀寫功能被禁止。黃區(qū)在物理上與其它網(wǎng)絡和互聯(lián)網(wǎng)隔離。

8、綠區(qū)內(nèi)的辦公坐席用戶使用云終端可以直接訪問綠區(qū)內(nèi)的云桌面，綠區(qū)內(nèi)的云桌面可以自由訪問互聯(lián)網(wǎng)。 綠區(qū)內(nèi)的辦公坐席用戶如果需要使用云終端訪問紅區(qū)內(nèi)的云桌面，需要經(jīng)過桌面云網(wǎng)關才能夠訪問。桌面云網(wǎng) 關具有單通的功能，可以禁止信息資產(chǎn)從黃區(qū)（紅區(qū)）流向綠區(qū)。還有一種辦公坐席是使用雙網(wǎng)口的云終端設備，一個網(wǎng)口連接黃區(qū)，另一個網(wǎng)口連接綠區(qū)。云終端通過兩 個網(wǎng)口同時連接紅區(qū)的云桌面和綠區(qū)的云桌面。用戶可以同時在兩個云桌面上操作。實現(xiàn)安全辦公和網(wǎng)絡沖浪OAUSB兩不誤的工作模式。雙網(wǎng)口云終端的USB設備讀寫功能被禁止。I;企業(yè)內(nèi)部 網(wǎng)路壞境備盼腮務罄咗/ Deskpnnl 込血802.網(wǎng)絡認證反域共止us瓚耳

9、面向信息安全的云桌面解決方案示意圖面向信息安全的云桌面云解決方案的關鍵角色包括：紅區(qū)：通常是指受控的企業(yè)數(shù)據(jù)中心或者IT機房，部署了企業(yè)信息系統(tǒng)和桌面云服務器，紅區(qū)是指被嚴格管理的物理場所，只有授權用戶才能進入的區(qū)域，通常它也會作為黃區(qū)的一部分存在。黃區(qū)：是指對網(wǎng)絡接入設備全部實施安全認證的網(wǎng)絡區(qū)域，物理上黃區(qū)通常是和外界隔離的，是一個信息孤島。只有在部署了桌面云網(wǎng)關的時候，才可能允許信息單向流入，黃區(qū)內(nèi)的辦公桌席只使用受控的云終端設備。綠區(qū)：是指網(wǎng)絡上允許任何設備接入，也允許訪問互聯(lián)網(wǎng)的辦公區(qū)域。綠區(qū)的用戶，可以使用云終端或者PC辦公，通過桌面云網(wǎng)關接入紅區(qū)的遠程桌面，再訪問受保護的信息資產(chǎn)

10、桌面云服務器：是ESXi桌面云服務器，當它部署在紅區(qū)，它發(fā)布的云桌面就可以方案關鍵信息資產(chǎn),如果部署在綠區(qū)，通常是給需要訪問互聯(lián)網(wǎng)的用戶使用云終端：是每個辦公桌席訪問云桌面的終端設備。通常是嵌入式設備，本地不存儲任何數(shù)據(jù)，只是作為遠程云桌面的顯示設備以及鍵盤鼠標的輸入設備，云終端的USB讀寫功能可以被禁止，防止通過U 盤等設備拷貝數(shù)據(jù)。云終端也可以是云客戶端程序。雙網(wǎng)口的云終端：是指具有兩個網(wǎng)口的云終端設備，可以同時連接兩個不同網(wǎng)段的云桌面。802.1X網(wǎng)絡認證：是一種標準的網(wǎng)絡設備接入認證協(xié)議，一個啟用了802.1X網(wǎng)絡身份認證功能的區(qū)域，需要交換機設備，服務器、云終端等所有網(wǎng)絡節(jié)點支持80

11、2.1X認證協(xié)議。桌面云網(wǎng)關：客戶端和云桌面處于兩個相互隔離的網(wǎng)絡時，需要桌面云網(wǎng)關提供遠程桌面的跨網(wǎng)段訪問功能，同時桌面云網(wǎng)關可以設置只允許數(shù)據(jù)單向?qū)ǖ奈募蚕矸铡?-2極簡單的桌面云服務器眾所周知，桌面云的部署一直是令IT人員的頭痛的一項工作，比如XenDesktop Microsoft RDSVMwareView等桌面解決方案，通常需要很強的背景知識，操作步驟繁瑣，容易岀錯；中小企業(yè)很難有配套的人員實施 和維護。相比之下，本云桌面解決方案將系統(tǒng)簡化到極致，所有的桌面云管理模塊被集成到了一個虛擬機中,桌面云的部署成為了服務器虛擬化上的虛擬機導入工序，簡單易用。如下圖:虛鴉機-Hyp-e

12、rudiar 用戶管理模板管理（茶域翻|.日志啊師|容繭冒理分布站聘理Deskpool虛擬機一體化的系統(tǒng)架構現(xiàn)在VMware vSphere的桌面系統(tǒng)部署也只需要導入Deskpool管理節(jié)點的虛擬機即可。IT管理員可以在半小時內(nèi)完成軟件的安裝和配置。該桌面云解決方案，同時推薦使用ARM-Li nux的云終端設備，免安裝、免維護，開機即用。在面向企業(yè)用戶的應用場景，還提供一下的軟件功能：外設重定向功能，兼容絕大多數(shù)外部設備。提供PC客戶端，充分利用現(xiàn)有PC資源。虛擬設備映射功能，解決大流量的攝像頭和高拍儀的應用問題。 功能強大的終端管理軟件，輕松實現(xiàn)云終端的集中管控。雙遠程桌面協(xié)議支持： RDP

13、8.1 和 PCoIP 。2-3 數(shù)據(jù)存儲的安全可靠辦公桌面被虛擬化在桌面云服務器，員工通過云終端訪問桌面，數(shù)據(jù)全部在機房（紅區(qū)）。 云桌面服務采用企業(yè)級硬盤和 RAID10 或 RAID5 的數(shù)據(jù)存儲模式，提高可靠性。 紅區(qū)與外網(wǎng)隔離，避免的病毒的侵擾和黑客的攻擊。2-4 網(wǎng)絡接入層的安全保障黃區(qū)的交換機設備支持 802.1x 網(wǎng)絡接入認證（使用 MAC 地址綁定的方式，面臨 MAC 地址欺詐的入 侵風險，存在較大的安全漏洞）。黃區(qū)內(nèi)所有的網(wǎng)絡設備支持 802.1x 接入身份認證，只有經(jīng)過授權的設備才能進入黃區(qū)網(wǎng)絡。 云終端的 802.1x 認證信息用戶不可見，由管理系統(tǒng)設置。云終端恢復出廠

14、設置， 802.1x 身份認證信息自動清除。 云終端支持證書管理，無合法證書的終端管理系統(tǒng)不能管理黃區(qū)的云終端。2-5 數(shù)據(jù)訪問的安全保證黃區(qū)的云終端 USB 端口，設置為禁止數(shù)據(jù)文件的讀和寫。 云終端 USB 端口的讀寫設置，非授權用戶不可見，也不可修改。 綠區(qū)的用戶連接紅區(qū)的云桌面，只能通過桌面云網(wǎng)關，桌面云網(wǎng)關提供遠程桌面協(xié)議的橋接和數(shù)據(jù)文 件單向流動的服務。紅區(qū)的數(shù)據(jù)只能進不能出。2-6 雙網(wǎng)隔離的辦公模式雙網(wǎng)口的嵌入式云終端，可以提供雙遠程桌面連接服務，同時保證兩個云桌面網(wǎng)絡和數(shù)據(jù)的隔離。 使用雙網(wǎng)口的嵌入式云終端的用戶，可一邊訪問紅區(qū)的云桌面，同時訪問綠區(qū)的云桌面。 雙網(wǎng)口的嵌入式

15、云終端接黃區(qū)的網(wǎng)口，持有合法的 802.1x 認證信息。雙網(wǎng)口的嵌入式云終端， USB 讀寫功能被禁止。3最簡單的部署方案最簡單的部署方案，只包含黃區(qū)和紅區(qū)，甚至最小系統(tǒng)場景下，只包含紅區(qū)。這種方案適合小型化用戶, 對信息安全的需要比較簡單粗糙。具有以下特點：辦公桌席的數(shù)量比較少員工辦公不允許上互聯(lián)網(wǎng)辦公網(wǎng)絡與外界完全隔離 數(shù)據(jù)中心（服務器）只能由管理員操作 802.1X的認證數(shù)據(jù)庫內(nèi)置在交換機中業(yè)務系統(tǒng)服務器紅區(qū)黃區(qū)& d助d安全辦公坐席云終端內(nèi)置802.1X身份認證信息Deskpool云桌面服務器交換機網(wǎng)絡打印機DHCP務器支持802.1X的:內(nèi)置 Radius 數(shù)禁止USB讀寫 云終端最

16、簡單部署方案最簡單的部署方案，涉及的主要網(wǎng)絡設備包括:桌面云服務器（支持802.1X認證。紅區(qū)還可能包含業(yè)務服務器和網(wǎng)絡打印機，如果使用動態(tài)IP策略,需要DHCP服務器）。支持802.1X的網(wǎng)絡交換機，內(nèi)置Radius認證信息數(shù)據(jù)庫（也可以在紅區(qū)部署專用的Radius服務器）普通網(wǎng)絡交換機（可選），只用于紅區(qū)內(nèi)的互聯(lián)，不需要支持802.1認證功能。支持802.1X的云終端，云終端的USB端口禁止讀寫數(shù)據(jù)4包含紅、黃、綠區(qū)的部署方案包含紅、黃、綠區(qū)的部署方案，主要是解決企業(yè)內(nèi)部既有需要保護的核心信息資產(chǎn)，又有部分員工通過訪 問互聯(lián)網(wǎng)辦公的需要。具有以下特點：辦公桌席種類比較多，例如研發(fā)，生產(chǎn)型員

17、工，屬于黃區(qū)；銷售、售后服務型員工，處于綠區(qū)，他們 既可以選擇通過桌面云網(wǎng)關，登錄紅區(qū)的云桌面，訪問核心信息資產(chǎn)，也可以直接訪問部署在綠區(qū)的 云桌面辦公。辦公區(qū)域分不同的部門，部門之間的保密級別不同 數(shù)據(jù)中心（服務器）只能由管理員操作。802.1X的認證數(shù)據(jù)庫內(nèi)置在交換機中。綠區(qū)部署有云桌面服務器，提供允許訪問互聯(lián)網(wǎng)的桌面互聯(lián)網(wǎng)業(yè)務再疑槪爲罄9立全廿獨生I*B B & &Bis； tmicr云桌IPil務幣00000網(wǎng)絡打卬機7c主時802.1恥君眄 j 內(nèi)JtRflriLu我 g丿俺業(yè)內(nèi)部 網(wǎng)絡環(huán)境包含紅、黃、綠區(qū)的部署方式（網(wǎng)關模式）如上圖所示，涉及的主要網(wǎng)絡設備包括:紅區(qū)的桌面云服務器（

18、支持802.1X認證。紅區(qū)還可能包含業(yè)務服務器和網(wǎng)絡打印機，如果使用動態(tài)IP策略，需要 DHCP服務器）。紅區(qū)的支持802.1X的網(wǎng)絡交換機，內(nèi)置Radius認證信息數(shù)據(jù)庫（也可以在紅區(qū)部署專用的Radius 服務器）。紅區(qū)的普通網(wǎng)絡交換機（可選），只用于紅區(qū)內(nèi)的互聯(lián)。黃區(qū)的云終端，啟用802.1X認證功能，云終端的USB端口禁止讀寫數(shù)據(jù)。雙網(wǎng)口桌面云網(wǎng)關，接黃區(qū)的網(wǎng)口支持 802.1X身份認證，另一個網(wǎng)口接綠區(qū)的交換機。桌面云網(wǎng)關 提供單向的文件共享服務，黃區(qū)的用戶只能從網(wǎng)關下載數(shù)據(jù)，綠區(qū)的用戶可以上傳數(shù)據(jù)。綠區(qū)的交換機，不需要支持802.1X接入認證。綠區(qū)的云桌面服務器（可選） ，為綠區(qū)的

19、辦公人員提供云桌面服務。綠區(qū)的云終端（可選） ，綠區(qū)的辦公人員用于連接遠程桌面服務，不需要支持 802.1x 接入認證。如 果連接紅區(qū)的遠程桌面，需要通過桌面云網(wǎng)關。綠區(qū)的 PC 設備（可選） ，用于綠區(qū)人員辦公，可以安裝遠程桌面客戶端軟件，通過桌面云網(wǎng)關訪問 紅區(qū)的遠程桌面。綠區(qū)的普通網(wǎng)絡交換機 ，用于綠區(qū)內(nèi)的網(wǎng)絡互連，不需要支持 802.1x 認證功能。路由器 ，用于連接互聯(lián)網(wǎng)，實現(xiàn)上網(wǎng)功能。5雙網(wǎng)口云終端的部署方案采用雙網(wǎng)口云終端的部署方案，員工可以實現(xiàn)，主要是解決企業(yè)內(nèi)部既有需要保護的核心信息資產(chǎn)，員工又有上網(wǎng)需要的場景。雙網(wǎng)口方案也可以和上述方案綜合部署，具有以下特點：辦公坐席可以同

20、時訪問紅區(qū)和綠區(qū)，有兩根網(wǎng)線到達辦公坐席，通過雙網(wǎng)口雙顯示端口的嵌入式云終端實現(xiàn)，接黃區(qū)的網(wǎng)口設置802.1X身份認證，接綠區(qū)的網(wǎng)口不需要認證。綠區(qū)部署云桌面服務器 ，如果員工上網(wǎng)需求比較簡單，可以在綠區(qū)配置共享云桌面服務器云桌idi服外署00000緊也邸謹ft云弟瑤網(wǎng)I比除媒IK霆快機時由mu內(nèi)麗dl畔雀訛、企業(yè)內(nèi)部 網(wǎng)絡環(huán)境眄牙.出if】毎越使用雙網(wǎng)口云終端的部署方式（無桌面云網(wǎng)關）如上圖所示，涉及的主要網(wǎng)絡設備包括：紅區(qū)的桌面云服務器（支持802.1X認證。紅區(qū)還可能包含業(yè)務服務器和網(wǎng)絡打印機，如果使用動態(tài)IP策略，需要 DHCP服務器）。紅區(qū)的支持802.1X的網(wǎng)絡交換機，內(nèi)置Radius認證信息數(shù)據(jù)庫