1 引言
桌面虛擬化是指將計算機的桌面進行虛擬化。以達到桌面使用的安全性和靈活性。用戶可以通過瘦客戶端、PC或者類似的設備在局域網或者遠程訪問獲得與傳統終端一致的用戶體驗。
在政府部門、軍工企業等涉密網絡內。信息的安全保密是至關重要的,但涉密網絡內眾多的安全產品和軟件,加大了涉密信息系統的復雜性,制約了信息化應用水平。在虛擬化技術,尤其是桌面虛擬化技術的快速發展的形勢下。能否在涉密網絡內采用桌面虛擬化技術取代原有的終端桌面環境,提升信息化管理和維護水平,并保證信息的安全保密是很大的挑戰。
2 桌面虛擬化的優勢
2.1降低成本
降低成本是很多人對桌面虛擬化所帶來好處的第一反應,不過這個成本需要具體的分析。如果片面地認為桌面虛擬化就是降低成本。則有可能產生一種誤解。不可否認桌面虛擬化有降低成本的功效,但是具體情況要具體分析,尤其是初始成本方面,虛擬軟件、服務器、存儲設備以及網絡改造等一次性投入價格不菲,但如果把眼光放長遠看,采用瘦客戶機或高性能PC配合無盤數據流模式進行VDI(虛擬桌面架構),就能體會出虛擬桌面在管理成本上的巨大優勢。但這是一個“長線投資”,非常考驗主管人員在TCO(總體擁有成本)方面的關注能力。所以,在初期桌面虛擬化并不等于降低成本,它的成本優勢需要逐步顯現。
2.2便于企業IT對終端桌面的集中控管
借助于虛擬桌面,IT部門將所有的桌面管理收到了后端 的數據中心。足不出戶即可對桌面鏡像和相關的應用進行管理和維護,而這種管理與維護對于前端用戶來講是透明的。比如上萬個員工都是用同一個桌面鏡像,管理人員只需為這個 桌面鏡像打一次補丁,那么上萬個終端的桌面系統也就全部更新了。因此,虛擬桌面為企業IT管理提供了一個極好的管 理手段,而這種集中管理的快捷性,是傳統的物理桌面所不能 性。桌面虛擬化在涉密網內的應用數量并不是很常見,處于叫比擬 。
其實并不是桌面虛擬化之后就沒有個人桌面了,可以在本地桌面上再接收一個虛擬桌面或應用,或者使用性能強勁的系統網絡引導進入一個系統,或者通過硬盤引導進入另一個系統等多種方式獲得個人獨有的桌面,來實現虛擬桌面與 本地個人桌面的并存。
2.3讓企業的數據與IT系統更為安全
桌面虛擬化少不了應用虛擬化,而應用的執行是在后臺的數據中心里,那么應用所產生的數據也就存儲在數據中心,而不是在用戶終端的存儲設備上,所以即使終端受損或是丟失,企業的應用數據也不會遺失,并且使原來分散在個人客戶機硬盤內的數據集中到數據中心的磁盤陣列上,得到了更高級別的性能和保護且便于集中備份管理,這也極大地提高了企業敏感數據的安全性。此外,即使你丟了電腦,也可以迅速的用另一臺電腦繼續辦公,因為數據都在后臺,并且由于桌面虛擬機在數據一側,可以享受到數據中心的災備支持,做到“永不停機”,從而也就更好地保證了業務的連續性。
另一方面,由于企業IT管理員可以在后臺對桌面和應用進行集中的維護,在木馬、病毒的防護上肯定要比傳統分散的物理桌面要強得多,而傳統的物理桌面由于會接入內部網絡,所以一個終端出問題,就可能殃及整個IT系統。對此,桌面虛擬化顯然有良好的免疫能力,即便鏡像文件受到感染,影響的也是虛擬機,可以更快地清除和恢復。
2.4提高商業合作效率與生產力
對于企業協同,比如企業的一些外包服務、協同的資料處理、臨時的多公司人員集中辦公等,由于每個公司的IT架構與系統并不見得相同,所以也就為這種協同辦公帶來了諸多困難。而通過桌面虛擬化,企業可以為這些業務生成相應的虛擬計算機,部署相應的桌面和應用,而數據可以透明地向后臺集中,待協作結束后,只需關閉相應的虛擬機就可以了,無需為其再單獨購買IT終端,這也就意味著提高了企業的生產力。
另一個提高生產力的要素在于,桌面虛擬化的平臺無關性,即人為屬性和物理屬性。人為屬性是指,你用的可以不是你自己的電腦.只需上網登錄你的賬號就可以訪問你的桌面和應用,從而實現“讓應用如影隨行”。而物理屬性上,整個網絡系統、應用系統是一個完整的整體,只要介入網絡就能訪問相應的數據,保證了接入設備的無關性。
3 涉密網內桌面虛擬化的部署難點
雖然桌面虛擬化有如此之多的優點但由于涉密網的特殊性,桌面虛擬化在涉密網內的應用數量并不是很常見,處于叫好不叫座的尷尬局面,而涉密企業的信息安全是其中的重中之重。現有涉密網都是嚴格按照“等級保護和分級保護”等相關國家有關規定建立起來的。其中軟硬件方面主要為以下幾部分:
(1)身份認證(主要為數字證書認證key,也有如指紋識別等其它認證方式)。
(2)審計軟件(包括應用審計,端口審計等諸多功能)。
(3)防火墻(構建服務器DMZ區)。
(4)入侵檢測系統(保護網絡資源的機密性、完整性、可用性)。
(5)關鍵業務使用盤陣,并定期備份。
以上幾個方面雖然可以實現一個相對安全的企業環境,但是卻無法規避對于用戶終端系統、軟件、數據的維護和配置問題。對于企業信息中心來說最重要的難題是,如何既能保證滿足現階段的數據安全保護要求,又能減少對終端用戶的維護量和工作量,并能提高終端數據安全性,使終端用戶也能擁有與數據中心服務器相同的安全等級。
正是因為以上問題的普遍存在才出現了對桌面虛擬化產品的強烈需求,但由于涉密網內環境的特殊性,很多情況下商用網內的一些虛擬化桌面實施辦法又無法滿足涉密網內的嚴格要求。比如涉密網內的身份認證等必備軟件,由于部署時間較早,軟件在研發過程中沒有考慮到虛擬化桌面的發展需要,且部分軟件公司為了保持自己軟件在用戶系統內的主導地位,封閉了一些非通用的技術綁定關鍵應用。這些都導致了桌面虛擬化應用產品無法與其它軟件的兼容。正是由于以上原因的存在才導致了桌面虛擬化在涉密網內推廣的舉步維艱。網
另外同一公司內不同部門所處的職能不同,如果一味地選擇廠家推薦的部署方案:“統一將原有PC更換為瘦客戶機”,第一無法滿足研發人員對使用環境的要求,第二無法滿足研發人員對桌面環境性能的要求(VDI環境下圖形的處理性能低下,如3D設計等)。
所以說如果想使涉密網在滿足數據安全要求的前提下,想做一些改變,部署桌面虛擬化并能受益于其所帶來的好處,那么就不能局限于已有的商業案例或廠家推廣的那些來照搬到涉密網內,而必須結合涉密網內自身應用情況,在信息系統中因地制宜地進行桌面虛擬化的選擇和建設。
4 涉密網內桌面虛擬化部署方法
找到一種最適合于企業本身業務模式的桌面虛擬化產品,不要只局限于品牌知名度和市場占有率,要從整體的投資和能力以及自身業務特點考慮。
(1)對現有身份認證或審計軟件進行二次開發或升級。有的軟件已經同我們企業的核心應用綁定,在選定產品之后遇到兼容性問題的時候,二次開發和軟件升級是最好的選擇。
(2)模擬生產環境業務模式和需求對桌面虛擬化產品進行全面測試,找到適合企業自身的部署方式。因為商業企業在安全性方面要求不高且使用的軟件比較開放,而且也無需用一種產品一種模式貫穿全局,完全可以根據不同的用戶需求使用不同的部署模式。
(3)當初步測試完成后,可以進一步在生產環境下進行完全測試。由于不同方案對于防火墻、入侵檢測等安全產品的配置要求有所不同。如VDI模式和無盤數據流模式對防火墻和入侵檢測的配置以及帶寬要求是完全不同的,根據不同的部署方式,防火墻和入侵檢測也可能需要升級。
(4)桌面虛擬化對網絡依賴性更強,所以需要更大的帶寬來承載虛擬化傳輸的數據量,尤其是企業存在CAD等大數據量應用情況下,才能夠保證穩定的數據傳輸。
(S)桌面虛擬化對數據中心存儲設備的IOps要求比較高,需要配備性能更強的磁盤陣列存儲設備,來保護終端用戶系統和數據的高可靠性及安全性。
(6)由于桌面虛擬化后所有數據都在文件服務器進行存儲,這樣對服務器及存儲的安全性要求就非常的高,文件服務器使用故障轉移群集技術,保證當一臺服務器發生故障時,另一合服務器自動接管所有功能,繼續實施對外提供服務,不影響終端任何使用。
(7)桌面虛擬化模式必須在域環境下工作,通過在網絡內配置DNS服務器、域控制器、DHCP服務器等網絡服務,滿足桌面虛擬化的應用需求。因為域網絡的全局用戶賬戶和安全策略都是集中在一臺或者少數幾臺DC上進行配置與管理的,所以相對工作組網絡來說,這些配置的安全性就更高,更不容易被人攻擊和破解。
(8)桌面虛擬化模式下,所有的終端主機系統均模版化管理,包括主機的操作系統,驅動程序以及一些常用軟件等。只需要制作一個模版后,所有相同型號主機都可以通過此模版創建其他主機的系統文件,方便快捷地完成多臺終端主機系統的部署。
(9)桌面虛擬化可以按照終端機器的不同品牌型號制作不同的模版,每個型號只需要制作一個模版即可,然后復制多份,給其他主機來使用,無需給每一臺終端手動安裝,大大減少了管理員的工作量及錯誤出現的機率。
(10)虛擬化技術實施系統桌面重定向,將所有終端用戶的桌面文件都重新指向在另外一個安全的文件夾中,即使系統發生故障,必須重新安裝操作系統才可以解決,也不怕數據丟失了,因為所有的桌面文件已經不存在系統盤符中,這樣用戶的桌面文件仍然存在安全的地方。
5 案例分析
以國內某研究所部署桌面虛擬化為例,由于該研究所為涉密單位,所以所內辦公網絡建設是完全按照保密規定建立的,與互聯網物理隔離。
用戶登陸計算機終端需要經過身份認證Key認證,對應用的訪問需要經過審計軟件的監控和審計,對于前端計算機端口和應用,需經過專門的審計軟件進行監控。由于該所是一個設計單位,大量的研發人員對桌面終端的處理能力有很高的要求:各個部門工作方向不同對終端的使用方式也有不同。有的部門需要并口或串口調試設備,有的部門需要高性能顯卡進行設計等等;并且軟件和硬件丟失數據時有發生,嚴重干擾了研究所內的辦公環境,有時還會因為數據丟失等問題造成項目推遲等狀況。但是上千臺終端的維護重任都壓在了幾個IT維護人員頭上。通過多方調研了解,研究所希望能通過部署虛擬化桌面,提高桌面的維護效率和終端數據的安全性,但前提是不能更改和替換現有的軟件和拓撲架構,并要符合涉密網的相關規定。通過綜合考慮,決定選用無盤數據流模式,構建虛擬桌面系統。
具體說來就是前端的終端設備還是使用原有PC機,只需要將硬盤去掉,系統盤是儲存在數據中心的磁盤陣列上,開機后通過網絡引導直接加載磁盤陣列上的系統盤到內存。整個過程對于用戶來說與使用原有PC機完全相同,軟硬件兼容性也完全相同,所以順利通過了初步測試。但由于此種方式比傳統VDI方式有更高的帶寬需求,所以所內將原有百兆網改為千兆網絡,改進防火墻和入侵檢測系統的數據訪問策略,增加了吞吐量,在入侵檢測上對此應用產生的超大包進行了識別,增加了數據包檢測速度。
實施完成后用戶本地無磁盤,在數據中心搭建文件服務器,并搭建域控制器制定相關用戶策略。當用戶登錄系統后將數據中心的網絡空間直接掛載到本地,由于此存儲空間動態增長,可以靈活設定最大值。通過設置桌面重定向也規避了部分用戶因系統崩潰而導致系統桌面放置數據丟失的問題。
這樣的實施方法實現了用戶系統和用戶數據的大集中。
為了保證系統和數據的安全性,通過部署持續數據保護系統,利用快照保護虛擬桌面系統和數據,支持系統或數據快速回復到指定備份時間點。
6 總結
顯然,桌面虛擬化有效地降低了涉密企業的桌面管理成本,提升了數據安全和業務持續性。但由于涉密網的特殊性。在現階段部署桌面虛擬化免不了會有這樣那樣的一些問題。但如果根據企業自身的業務特點進行全面考量,以我為主,合理選擇,完全可以找到并應用一個合適的解決方案。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:桌面虛擬化在涉密網內的應用研究
相關文章
