关键字:信息安全、内外网隔离、红区、绿区、云终端、802.1x认证、网关、企业级虚拟化、
禁止U盘读写、成本低、RDP8.0、PCoIP客户端
基于VMwareESXi
面向信息安全的
简单实用的中小型桌面云方案
桌面虚拟化平台+企业信息安全解决方案
基于VMware虚拟化的桌面虚拟化方案
2016/8/15
目录
1中小企业桌面信息安全..................................................................................................2
1-1中小企业的信息安全挑战............................................................................................2
1-2简单、实用的Deskpool安全桌面云系统....................................................................3
1-3务必使用企业级的虚拟化平台.....................................................................................4
2面向信息安全的云桌面方案..........................................................................................5
2-1总体方案.....................................................................................................................5
2-2极简单的桌面云服务器................................................................................................6
2-3数据存储的安全可靠...................................................................................................7
2-4网络接入层的安全保障................................................................................................7
2-5数据访问的安全保证...................................................................................................7
2-6双网隔离的办公模式...................................................................................................7
3最简单的部署方案.........................................................................................................9
4包含红、黄、绿区的部署方案.....................................................................................10
5双网口云终端的部署方案............................................................................................12
6基本配置清单..............................................................................................................13
6-1硬件配置清单(50办公型用户)..............................................................................13
6-2软件配置清单(50办公型用户)..............................................................................14
1中小企业桌面信息安全
1-1中小企业的信息安全挑战
根据FBI对近500家公司调查显示:面对来自于公司内部的信息安全威胁,85%的安全损失是由企业
内部原因造成的。对那些来自公司内部的安全问题,不是靠单纯的安装杀毒软件和防火墙就能解决的。
如何面对桌面进行统一的管理,已经成为大多数公司IT管理的必要手段。其中包括:
?统一的软件和应用程序安装;
?统一规范桌面等级(分红、黄、绿不同的办公区域);
?统一终端设备接入办公网络的准入规则;
?严格规范信息数据在不同等级桌面之间的流动等等。
中小企业的内部信息网络一般由终端、服务器、网络设施以及各种ERP、OA、设计和生产系统组成。
除了常规的安装防病毒和防火墙软件之外,他们主要面临的桌面安全威胁有:
?PC办公系统,磁盘损坏,桌面信息数据丢失;
?非法设备接入网络,盗取信息资产;
?移动介质(如U盘)通过桌面PC盗取信息资产;
?内网设备连接互联网,通过邮件,上载,共享等手段,盗取信息资产;
中小企业在面临这些信息安全问题的时候,通常面临资金投入的压力,传统的桌面安全监控软件,上
网行为管理软件等等,价格相对比较昂贵,而且软件配置复杂,只能解决部分问题。
同时传统的信息安全手段,通常是以牺牲员工和外界(互联网)联络为代价的。让员工的工作环境变
成了孤岛,既不利于员工创造性的发挥,也不利于资料查询和实时的信息获取。
信息安全风险是IT管理人员关注的焦点
1-2简单、实用的Deskpool安全桌面云方案
基于VmwarevSphere虚拟化平台,通过Deskpool构建信息安全的桌面办公系统,为中小企业提
供了一种低成本的,高强度安全的桌面解决方案。该系统主要通过以下几个技术手段为桌面信息安全提供
保障:
?基于桌面云的Widnows办公桌面系统,数据保存在数据中心,有RAID级别的数据可靠性保障;
?面向桌面云的数据备份策略,确保数据得到冗余保存;
?基于桌面云的方案,提供了统一的软件安装和应用发布手段;
?用户可选的桌面协议:RDP8或者PcoIP远程桌面协议;
?通过划分红、黄、绿不同的网络,实现信息资产与互联网和非法接入终端的隔离;
?通过实施802.1x的终端设备接入认证,确保终端的合法接入;
?通过使用禁止U盘读写的嵌入式云终端,堵住信息资产通过办公桌席流出的通道;
?通过双网口的云终端,确保员工的办公坐席,能同时能访问相互隔离的红区和绿区的远程桌面;
实现一边安全办公一边上网冲浪的体验。
?企业级的虚拟化平台(VmwarevSphere),相对其它开源的虚拟化平台,提供更加高强度的企
业级可靠性。
多重手段保证信息安全
1-3务必使用企业级的虚拟化平台
处于基础设施层面的虚拟化操作系统,是保证企业应用能7x24小时稳定运行的关键因素。虽然目前
大量的机构投入了人力物力发展和包装开源的虚拟化系统,但笔者仍然极力向中小企业主们推荐企业级的
虚拟化操作系统,以确保服务的连续性。目前VMware的ESXi是使用最广泛的企业级虚拟化平台,企业
市场的占有率在70%以上。面向中小企业信息安全的云桌面方案首选Vmware虚拟化操作系统部署。
2015年Gartner的虚拟化平台分类
2面向信息安全的云桌面方案
2-1总体方案
面向中小企业的云桌面解决方案,如下图所示,在网络划分上主要由红区、黄区和绿区组成。云桌面的用
户分为黄区用户和绿区用户。
黄区内的办公坐席用户使用云终端可以安全操作红区内的云桌面和访问关键的信息资产(例如ERP、OA
或者生产系统等)。黄区的网络交换机、服务器和云终端等,都支持802.1x网络身份认证功能,云终端的USB
外设的读写功能被禁止。黄区在物理上与其它网络和互联网隔离。
绿区内的办公坐席用户使用云终端可以直接访问绿区内的云桌面,绿区内的云桌面可以自由访问互联网。
绿区内的办公坐席用户如果需要使用云终端访问红区内的云桌面,需要经过桌面云网关才能够访问。桌面云网
关具有单通的功能,可以禁止信息资产从黄区(红区)流向绿区。
还有一种办公坐席是使用双网口的云终端设备,一个网口连接黄区,另一个网口连接绿区。云终端通过两
个网口同时连接红区的云桌面和绿区的云桌面。用户可以同时在两个云桌面上操作。实现安全办公和网络冲浪
两不误的工作模式。双网口云终端的USB设备读写功能被禁止。
面向信息安全的云桌面解决方案示意图
面向信息安全的云桌面云解决方案的关键角色包括:
?红区:通常是指受控的企业数据中心或者IT机房,部署了企业信息系统和桌面云服务器,红区是指被
严格管理的物理场所,只有授权用户才能进入的区域,通常它也会作为黄区的一部分存在。
?黄区:是指对网络接入设备全部实施安全认证的网络区域,物理上黄区通常是和外界隔离的,是一个
信息孤岛。只有在部署了桌面云网关的时候,才可能允许信息单向流入,黄区内的办公桌席只使用受
控的云终端设备。
?绿区:是指网络上允许任何设备接入,也允许访问互联网的办公区域。绿区的用户,可以使用云终端
或者PC办公,通过桌面云网关接入红区的远程桌面,再访问受保护的信息资产。
?桌面云服务器:是ESXi桌面云服务器,当它部署在红区,它发布的云桌面就可以方案关键信息资产,
如果部署在绿区,通常是给需要访问互联网的用户使用。
?云终端:是每个办公桌席访问云桌面的终端设备。通常是嵌入式设备,本地不存储任何数据,只是作
为远程云桌面的显示设备以及键盘鼠标的输入设备,云终端的USB读写功能可以被禁止,防止通过U
盘等设备拷贝数据。云终端也可以是云客户端程序。
?双网口的云终端:是指具有两个网口的云终端设备,可以同时连接两个不同网段的云桌面。
?802.1x网络认证:是一种标准的网络设备接入认证协议,一个启用了802.1x网络身份认证功能的区
域,需要交换机设备,服务器、云终端等所有网络节点支持802.1x认证协议。
?桌面云网关:客户端和云桌面处于两个相互隔离的网络时,需要桌面云网关提供远程桌面的跨网段访
问功能,同时桌面云网关可以设置只允许数据单向导通的文件共享服务。
2-2极简单的桌面云服务器
众所周知,桌面云的部署一直是令IT人员的头痛的一项工作,比如XenDesktop、MicrosoftRDS、VMware
View等桌面解决方案,通常需要很强的背景知识,操作步骤繁琐,容易出错;中小企业很难有配套的人员实施
和维护。相比之下,本云桌面解决方案将系统简化到极致,所有的桌面云管理模块被集成到了一个虚拟机中,
桌面云的部署成为了服务器虚拟化上的虚拟机导入工序,简单易用。如下图:
一体化的系统架构
现在VMwarevSphere的桌面系统部署也只需要导入Deskpool管理节点的虚拟机即可。IT管理员可以
在半小时内完成软件的安装和配置。
该桌面云解决方案,同时推荐使用ARM-Linux的云终端设备,免安装、免维护,开机即用。在面向企业
用户的应用场景,还提供一下的软件功能:
?外设重定向功能,兼容绝大多数外部设备。
?提供PC客户端,充分利用现有PC资源。
?虚拟设备映射功能,解决大流量的摄像头和高拍仪的应用问题。
?功能强大的终端管理软件,轻松实现云终端的集中管控。
?双远程桌面协议支持:RDP8.1和PCoIP。
2-3数据存储的安全可靠
?办公桌面被虚拟化在桌面云服务器,员工通过云终端访问桌面,数据全部在机房(红区)。
?云桌面服务采用企业级硬盘和RAID10或RAID5的数据存储模式,提高可靠性。
?红区与外网隔离,避免的病毒的侵扰和黑客的攻击。
2-4网络接入层的安全保障
?黄区的交换机设备支持802.1x网络接入认证(使用MAC地址绑定的方式,面临MAC地址欺诈的入
侵风险,存在较大的安全漏洞)。
?黄区内所有的网络设备支持802.1x接入身份认证,只有经过授权的设备才能进入黄区网络。
?云终端的802.1x认证信息用户不可见,由管理系统设置。
?云终端恢复出厂设置,802.1x身份认证信息自动清除。
?云终端支持证书管理,无合法证书的终端管理系统不能管理黄区的云终端。
2-5数据访问的安全保证
?黄区的云终端USB端口,设置为禁止数据文件的读和写。
?云终端USB端口的读写设置,非授权用户不可见,也不可修改。
?绿区的用户连接红区的云桌面,只能通过桌面云网关,桌面云网关提供远程桌面协议的桥接和数据文
件单向流动的服务。红区的数据只能进不能出。
2-6双网隔离的办公模式
?双网口的嵌入式云终端,可以提供双远程桌面连接服务,同时保证两个云桌面网络和数据的隔离。
?使用双网口的嵌入式云终端的用户,可一边访问红区的云桌面,同时访问绿区的云桌面。
?双网口的嵌入式云终端接黄区的网口,持有合法的802.1x认证信息。
?双网口的嵌入式云终端,USB读写功能被禁止。
3最简单的部署方案
最简单的部署方案,只包含黄区和红区,甚至最小系统场景下,只包含红区。这种方案适合小型化用户,
对信息安全的需要比较简单粗糙。具有以下特点:
?办公桌席的数量比较少
?员工办公不允许上互联网
?办公网络与外界完全隔离
?数据中心(服务器)只能由管理员操作
?802.1x的认证数据库内置在交换机中
Deskpool云桌面服务器
业务系统服务器
网络打印机
红区
黄区
支持802.1x的交换机
内置Radius数据库
安全办公坐席
禁止USB读写
云终端
云终端内置802.1x身份认证信息
交换机
DHCP服务器
最简单部署方案
最简单的部署方案,涉及的主要网络设备包括:
?桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态IP策略,
需要DHCP服务器)。
?支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius服务器)。
?普通网络交换机(可选),只用于红区内的互联,不需要支持802.1认证功能。
?支持802.1x的云终端,云终端的USB端口禁止读写数据。
4包含红、黄、绿区的部署方案
包含红、黄、绿区的部署方案,主要是解决企业内部既有需要保护的核心信息资产,又有部分员工通过访
问互联网办公的需要。具有以下特点:
?办公桌席种类比较多,例如研发,生产型员工,属于黄区;销售、售后服务型员工,处于绿区,他们
既可以选择通过桌面云网关,登录红区的云桌面,访问核心信息资产,也可以直接访问部署在绿区的
云桌面办公。
?办公区域分不同的部门,部门之间的保密级别不同。
?数据中心(服务器)只能由管理员操作。
?802.1x的认证数据库内置在交换机中。
?绿区部署有云桌面服务器,提供允许访问互联网的桌面。
包含红、黄、绿区的部署方式(网关模式)
如上图所示,涉及的主要网络设备包括:
?红区的桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态
IP策略,需要DHCP服务器)。
?红区的支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius
服务器)。
?红区的普通网络交换机(可选),只用于红区内的互联。
?黄区的云终端,启用802.1x认证功能,云终端的USB端口禁止读写数据。
?双网口桌面云网关,接黄区的网口支持802.1x身份认证,另一个网口接绿区的交换机。桌面云网关
提供单向的文件共享服务,黄区的用户只能从网关下载数据,绿区的用户可以上传数据。
?绿区的交换机,不需要支持802.1x接入认证。
?绿区的云桌面服务器(可选),为绿区的办公人员提供云桌面服务。
?绿区的云终端(可选),绿区的办公人员用于连接远程桌面服务,不需要支持802.1x接入认证。如
果连接红区的远程桌面,需要通过桌面云网关。
?绿区的PC设备(可选),用于绿区人员办公,可以安装远程桌面客户端软件,通过桌面云网关访问
红区的远程桌面。
?绿区的普通网络交换机,用于绿区内的网络互连,不需要支持802.1x认证功能。
?路由器,用于连接互联网,实现上网功能。
5双网口云终端的部署方案
采用双网口云终端的部署方案,员工可以实现,主要是解决企业内部既有需要保护的核心信息资产,员工
又有上网需要的场景。双网口方案也可以和上述方案综合部署,具有以下特点:
?办公坐席可以同时访问红区和绿区,有两根网线到达办公坐席,通过双网口双显示端口的嵌入式云终
端实现,接黄区的网口设置802.1x身份认证,接绿区的网口不需要认证。
?绿区部署云桌面服务器,如果员工上网需求比较简单,可以在绿区配置共享云桌面服务器。
使用双网口云终端的部署方式(无桌面云网关)
如上图所示,涉及的主要网络设备包括:
?红区的桌面云服务器(支持802.1x认证。红区还可能包含业务服务器和网络打印机,如果使用动态
IP策略,需要DHCP服务器)。
?红区的支持802.1x的网络交换机,内置Radius认证信息数据库(也可以在红区部署专用的Radius
服务器)。
?红区的普通网络交换机(可选),只用于红区内的互联。
?黄区的云终端,启用802.1x认证功能,云终端的USB端口禁止读写数据。
?绿区的云桌面服务器,为办公人员提供联通外网的云桌面服务。
?绿区的交换机,不需要支持802.1x接入认证。
?路由器,用于连接互联网,实现上网功能。
6基本配置清单
6-1硬件配置清单(50办公型用户)
设备名称子项目技术性能指标数量
VMware
ESXi
云服务器
服务器硬件
1、19英寸工业标准2U机架式服务器;
2、芯片组:IntelC612芯片组;
3、处理器≥2颗IntelXeonE5-2650v3(12核/2.3GHz);
4、内存插槽≥16个内存插槽;
5、总硬盘插槽≥8个SATA/SAS硬盘插槽;
6、网卡≥4个千兆网口;
7、其他接口≥1个COM;≥2个USB;≥1个VGA;
8、配置1+1冗余电源。
9、内存:待定
10、存储:待定
1台
桌面云网关PC服务器-1台
网络设备
802.1x交换机-2台
交换机--
网线--
路由器--
办公坐位
云终端ARM-Linux云终端50台
显示器--
键盘、鼠标-50套
未列出机房、布线,强电等相关物料。
6-2软件配置清单(50办公型用户)
编号名称技术性能指标数量
1虚拟化软件Hyper-VServer2012R2或者VMwareESXi6.01套
2桌面云管理软件桌面虚拟化软件系统授权50个
3终端管理软件TCManager2.01套
4桌面云网关系统软件Gateway1套
5虚拟设备映射软件VirtualDevicer-
|
|
