基于VMwarevSphere的简易桌面云解决方案.docVIP

基于VMware vShpere 面向信息安全的 小型化桌面云方案 桌面虚拟化平台+企业信息安全解决方案 基于VMware vSphere的桌面云（桌面虚拟化）方案 2016/8/15  目 录 1 中小企业桌面信息安全 2 1-1 中小企业的信息安全挑战 2 1-2 简单、实用的安全桌面云系统 3 1-3 务必使用企业级的虚拟化平台 4 2 面向信息安全的云桌面方案 5 2-1 总体方案 5 2-2 极简单的桌面云服务器 6 2-3 数据存储的安全可靠 7 2-4 网络接入层的安全保障 7 2-5 数据访问的安全保证 7 2-6 双网隔离的办公模式 7 3 最简单的部署方案 9 4 包含红、黄、绿区的部署方案 10 5 双网口云终端的部署方案 12 6 基本配置清单 13 6-1 硬件配置清单（50办公型用户） 13 6-2 软件配置清单（50办公型用户） 14 中小企业桌面信息安全 中小企业的信息安全挑战 根据FBI对近500家公司调查显示：面对来自于公司内部的信息安全威胁，85%的安全损失是由企业内部原因造成的。对那些来自公司内部的安全问题，不是靠单纯的安装杀毒软件和防火墙就能解决的。 如何面对桌面进行统一的管理，已经成为大多数公司IT管理的必要手段。其中包括： 统一的软件和应用程序安装； 统一规范桌面等级（分红、黄、绿不同的办公区域）； 统一终端设备接入办公网络的准入规则； 严格规范信息数据在不同等级桌面之间的流动等等。 中小企业的内部信息网络一般由终端、服务器、网络设施以及各种ERP、OA、设计和生产系统组成。除了常规的安装防病毒和防火墙软件之外，他们主要面临的桌面安全威胁有： PC办公系统，磁盘损坏，桌面信息数据丢失； 非法设备接入网络，盗取信息资产； 移动介质（如U盘）通过桌面PC盗取信息资产； 内网设备连接互联网，通过邮件，上载，共享等手段，盗取信息资产； 中小企业在面临这些信息安全问题的时候，通常面临资金投入的压力，传统的桌面安全监控软件，上网行为管理软件等等，价格相对比较昂贵，而且软件配置复杂，只能解决部分问题。 同时传统的信息安全手段，通常是以牺牲员工和外界（互联网）联络为代价的。让员工的工作环境变成了孤岛，既不利于员工创造性的发挥，也不利于资料查询和实时的信息获取。 信息安全风险是IT管理人员关注的焦点 简单、实用的安全桌面云系统 基于Vmware vSphere虚拟化平台，通过Deskpool构建信息安全的桌面办公系统，为中小企业提供了一种低成本的，高强度安全的桌面解决方案。该系统主要通过以下几个技术手段为桌面信息安全提供保障： 基于桌面云的Widnows办公桌面系统，数据保存在数据中心，有RAID级别的数据可靠性保障； 面向桌面云的数据备份策略，确保数据得到冗余保存； 基于桌面云的方案，提供了统一的软件安装和应用发布手段； 通过划分红、黄、绿不同的网络，实现信息资产与互联网和非法接入终端的隔离； 通过实施802.1x的终端设备接入认证，确保终端的合法接入； 通过使用禁止U盘读写的嵌入式云终端，堵住信息资产通过办公桌席流出的通道； 通过双网口的云终端，确保员工的办公坐席，能同时能访问相互隔离的红区和绿区的远程桌面；实现一边安全办公一边上网冲浪的体验。 企业级的虚拟化平台（Vmware vSphere），相对其它开源的虚拟化平台，提供更加高强度的企业级可靠性。 多重手段保证信息安全 务必使用企业级的虚拟化平台 处于基础设施层面的虚拟化操作系统，是保证企业应用能7x24小时稳定运行的关键因素。虽然目前大量的机构投入了人力物力发展和包装开源的虚拟化系统，但笔者仍然极力向中小企业主们推荐企业级的虚拟化操作系统，以确保服务的连续性。目前VMware的ESXi和微软的Hyper-V是使用最广泛的企业级虚拟化平台，企业市场的占有率在90%以上，而且都有免费版本供用户选择。面向中小企业信息安全的云桌面方案首选Vmware和Hyper-V的虚拟化操作系统部署。 2015年Gartner的虚拟化平台分类 面向信息安全的云桌面方案 总体方案 面向中小企业的云桌面解决方案，如下图所示，在网络划分上主要由红区、黄区和绿区组成。云桌面的用户分为黄区用户和绿区用户。 黄区内的办公坐席用户使用云终端可以安全操作红区内的云桌面和访问关键的信息资产（例如ERP、OA或者生产系统等）。黄区的网络交换机、服务器和云终端等，都支持802.1x网络身份认证功能，云终端的USB外设的读写功能被禁止。黄区在物理上与其它网络和互联网隔离。 绿区内的办公坐席用户使用云终端可以直接访问绿区内的云桌面，绿区内的云桌面可以自由访问互联网。绿区内的办公坐席用户如果需要使用云终端访问红区内的云桌面，需要经过桌面云网关才能够访问