1.云桌面簡述和技術分析
1.1 簡述
計算機虛擬化包括了“服務器資源虛擬化”和“桌面系統虛擬化”兩個主要領域。“服務器資源虛擬化”是實現后端服務器和存儲設備的資源動態分配,從而最大程度提升硬件處理器能力和存儲能力的利用率,“桌面系統虛擬化”是指將計算機的桌面進行虛擬化,以達到桌面使用的安全性和靈活性。
“桌面系統虛擬化”依賴于“服務器資源虛擬化”,在數據中心進行資源虛擬化,生成獨立的桌面操作系統(虛擬機或者虛擬桌面),然后根據虛擬桌面協議發送給終端設備,供用戶操作使用。
目前, 桌面虛擬化通過與IAAS(infrastructure as a service)的結合,逐漸演變成云桌面(DAAS :Desktop As a Service),取得了較好的應用效果。
1.2 傳統桌面終端與云桌面對比
1.2.1 傳統桌面終端的不足
(1) 終端安全風險較高。
傳統桌面終端的操作方式主要由用戶直接控制終端的各項資源,如本地硬盤、USB端口、目錄、文件存放、網絡配置等等,終端用戶往往具有管理員權限,因此對于出現誤操作和重要數據文件傳輸失控時,缺乏有效的安全技術管理手段。
(2) 應用軟件部署效率低
傳統的軟件安裝往往需要本地部署,以管理員的權限進行安裝和配置,操作一般是直接通過終端,當大量部署企業標準化業務基礎軟件工具和應用的時候(如Office ERP OA),會是一項十分巨大和耗時的工作。
(3) 維護工作復雜
對傳統終端電腦的維護,包括硬件和軟件部分。其中,硬件故障的處理需要技術人員對電腦現場進行診斷。如果排除故障需要硬件更換,則必然涉及重新配置系統(例如驅動),甚至數據遷移的工作,同時影響到用戶關鍵業務工作的連續性(如:財務、生產管理等系統)。
(4) 硬件升級成本較高
一般桌面終端資產(筆記本電腦、臺式機)折舊按照三年計算,同時由于軟件系統不斷升級對硬件資源產生的新要求,使得每年桌面電腦的硬件購置是一項巨大的成本開銷。
1.2.2 云桌面的優勢
云桌面的出現將虛擬化和高速網絡通訊技術緊密結合到了一起,彌補了傳統桌面終端的應用與維護難題,減少了前述傳統桌面的不足與缺陷,虛擬化云桌面是傳統 PC 的替代之選,主要優勢體現在以下幾個方面:
(1) 可靠、節能且經濟實惠。由于虛擬云桌面機沒有散熱風扇和硬盤之類的移動部件,因此與 PC 相比, IT 可用性顯著提高,故障率降低,低功耗,有利于節能和降低成本。
(2) 兼容性強。除了傳統的辦公應用程序之外,云桌面還支持全屏視頻、多媒體演示、數字聽寫及其他要求特別苛刻的用途。
(3) 便于遠程管理與統一應用部署,增強了數據應用的安全性,簡化了運維工作。
(4) 未來的擴展性靈活,便于引入云計算或遷移到基于服務器的計算。
2.主流的虛擬化桌面技術綜述
當前的桌面虛擬化技術已經在硬件和軟件兩個方面取得了突破的發展,特別是“云終端”設備的出現,虛擬桌面的實施成本得到了極大的降低,一般而言,虛擬化桌面的實現主要是通過后端高處理性能服務器集群、海量存貯以及快速以太網幾項關鍵技術構成 (見圖1)。
圖1 虛擬化桌面
由于虛擬化桌面將用戶的處理請求大部分發往服務器層進行處理,數據存儲也都放在后端集中存貯設備,前端的客戶機(云桌面)僅僅需要處理通訊和即時渲染顯示,完成與用戶的交互操作,因此客戶機(云桌面)的硬件設計一般很低,并不用于大量專業工作站級的桌面用戶,可以比較廣泛地用于培訓、B/S應用系統、呼叫中心、辦公OA等管理領域。
3.企業信息化網絡需求面臨的安全挑戰
在互聯網時代,企業信息化管理規劃已經越來越緊密地將有線網、無線網、移動辦公、VPN訪問集成到公司的整體信息化應用中,可以用最高效的手段迅速獲取有用的數據,進行統計分析,為企業工作中的各項決策提供依據。
然而,越來越多的信息安全事件,包括網絡攻擊、數據泄露、病毒木馬等等,不斷威脅著信息系統的運行,也使得公司領導、網絡管理者在大規模推動企業信息化建設中不得不謹言慎行,如履薄冰。
在紛繁復雜,甚至日新月異的各種信息惡意威脅形勢下,如何對用戶使用計算機進行規范化管理是安全建設的重中之重,其復雜程度遠比對數據中心的服務器集群、路由器防火墻設備開展技術運維難的多,其中很重要的一個原因就是,用戶使用桌面系統終端(PC)是和個人技術水平、操作習慣密切相關。
傳統的桌面終端強化安全的手段包括:終端準入、域管理、用戶策略限制等等,隨著互聯網與企業網融合需求時代到來,這種方式暴露了一些業務需求方面的不足,例如如何滿足用戶同時訪問企業網與互聯網的不同需要,如何控制互聯網與企業網之間的數據交互等。
為此,互聯網與企業網的安全規劃,也成為一個重要的課題。在實際應用中國,出于工作需要,多數企業的公司網用戶(即:內網辦公用戶)通過桌面系統(PC或者筆記本),同時訪
問互聯網和公司內網(應用系統),所謂“一機雙網”。
但是,需要注意控制用戶同時訪問互聯網(外網)和公司網(內網),即“一機雙網”模式可能導致的風險,防止互聯網惡意軟件或者黑客利用桌面系統進行“跳板攻擊”,引起公司網(內網)資源數據信息泄露,或者系統損壞。
4.虛擬化桌面的解決之道—虛擬化雙網方案設計
4.1 兩種不同的安全防范方案
目前,為了防范風險,一些大型電力集團公司采用了“雙機雙網”、“物理隔離”的方式進行安全加固,其主要設計是借鑒電廠生產控制系統的“二次防護”原則,在集團本部數據中心的設計中,實現互聯網(外網)與公司網(內網)的物理隔離,利用堡壘機機制進行文件傳輸,同時配置了文件拷貝審計,終端準入,企業CA證書等強安全認證的方式,實現了較高安全級別的網絡訪問控制。
本文提出一種與上述“雙機雙網”不同的解決方案,即“虛擬化桌面”與“虛擬化雙網”技術,此方案的原則是采用虛擬化桌面技術的一些核心因素,利用虛擬環境隔離互聯網與公司網的不同訪問需求,滿足用戶工作中對網絡應用的需求。
對于“一機雙網”帶來的網絡安全風險,“虛擬化雙網”的設計不同于采用“物理隔離”,“雙機雙網”的解決方案,而是側重于解決用戶網絡操作體驗便利性與網絡訪問控制的安全性,即可以在同一臺電腦(桌面系統)上,用戶仍可以訪問互聯網和公司網,但又完全不同于傳統的“一機雙網”模式,取得了對雙網安全的一個平衡策略。
4.2 虛擬化桌面與虛擬化雙網方案
虛擬化雙網實際上是利用虛擬化環境隔離出兩個不同的桌面環境用于不同的網絡訪問需求,即互聯網和公司內網,從而解決“一機雙網”帶來的終端風險見圖2。
圖2 虛擬化雙網方案
可以看到,這種典型的企業桌面網絡設計中,用戶同時訪問公司網應用和互聯網數據(藍色箭頭部分),互聯網風險存在每個桌面終端以及互聯網出口,前者的問題治理十分復雜,相對而言,二者互聯網出口的防火墻、路由器訪問控制策略可以很好的解決,見圖3。
圖3 采用“虛擬化雙網”技術設計之后的示意圖
這種設計下,用戶采用虛擬桌面系統,虛擬桌面通過后端的“云桌面服務器”訪問公司網的應用(綠色顏色),而另一虛擬環境訪問互聯網(橙色部分),由于在用戶終端層已經完全實現了“環境隔離”,其效果類似“物理隔離”,因此用戶的操作風險、技術水平,將不再是互聯網安全的風險源,而在后臺“云桌面服務器”層統一加強互聯網風險控制,其效果將非常便于技術管理,從而到達整體風險降低于安全提升的效果。
4.3 虛擬化桌面(終端)的設計原則
除了對“虛擬化雙網”進行設計之外,用戶終端的選擇(虛擬化桌面)可以有兩種不同的考慮:
(1) 方案一,選擇專用云終端設備或者客戶端軟件
這個方案的優點是云終端的成本低廉,可維護性好,能耗、占用空間小,用戶使用終端登錄后臺兩個不同的虛擬化桌面,(一個用于公司網安全訪問,一個用于互聯網訪問),不足之處,對后臺資源占用較大,網絡依賴程度高。
(2) 方案二,采用中檔PC機作為虛擬桌面宿主系統
這種設計的考慮是保留一臺本地處理功能較強的電腦(例如臺式機),然后運行宿主系統,例如Win XP\Win7,然后安裝虛擬化客戶端,如VMWare運行后端虛擬機,在網絡策略和路由器網段劃分上,限定只有通過云桌面服務系統可以訪問公司網應用,而用戶的宿主系統只能訪問互聯網網段,這樣用戶使用本地系統 Windows訪問互聯網,而虛擬桌面訪問公司網。
這個設計的優點是綜合了虛擬化處理和本地計算能力,分散了互聯網訪問的負載到本地機,而云桌面服務系統可以更集中地部署重要的內網訪問應用,同時具有獨立宿主功能的PC機要在處理多媒體等方面優于云終端,適用范圍更大,在云桌面網絡出現問題的情況下,本地桌面系統仍可獨立進行工作,臨時進行一些工作處理,例如報告編制等,待云系統修復后和恢復數據,相比之下,方案一的云終端缺乏這方面的優勢。
5.結語
在筆者所在的企業中,采用了方案二的設計,用聯想一體機作為虛擬桌面終端,實現了“虛擬化雙網”的應用,效果十分理想。在當前網絡安全已經成為企業信息化建設重點工作的形勢下,采用虛擬化技術解決網絡的安全訪問與控制,不失為一項具有前景的發展技術,本文希望通過對所經歷的實踐的介紹和分析,為類似的應用提供一個拋磚引玉的參考。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:計算機虛擬化桌面與雙網設計的技術應用
相關文章
