云桌面与数据安全整体方案

云桌面与数据安全整体方案云桌面与数据安全整体方案1云桌面总体架构方案2 of Y云桌面总体架构方案2 of Y2云桌面总体架构说明双中心双中心：两边数据中心都提供VDI连接，可以采用双活架构。全局全局访问访问：支持不同的物理办公地点的员工能够访问不同的数据中心的VDI。数据容灾数据容灾：不同数据中心的用户数据通过底层存储复制技术，双向拷贝到对端用于 存储中实现数据保护与恢复。负载负载均衡均衡：每个数据中心的服务器集群预留计算资源确保能够接管部分另一数据中 心的用户桌面（灾难场景）。本地冗余本地冗余：数据中心双活部署，两个数据中心都保留相应的资源进行故障切换。单 中心内部发生集群故障优先切换到本地其它集群。集中管理集中管理：每一个数据中心的vCenter支持管理不同的Cluster，每类桌面（办公、业 务）集群对应一个或多个Cluster。云桌面总体架构说明双中心：两边数据中心都提供VDI连接，可以3云桌面总体架构核心组件Horizon做桌面做桌面：VDI虚拟桌面由VMware Horizon View桌面组件实现，桌面底层的服务 器虚拟化由vSphere提供。最成熟的企业级服务器虚拟化和虚拟桌面产品组合。VxRail做核心做核心：硬件平台使用VxRail超融合解决方案，vSphere、vSAN、Horizon等软件都运行在此超融合平台。VMware唯一认证的超融合平台，软件版本与VMware同步发布，具备最佳的兼容性和管理维护便利性。NSX保安全保安全：VMware NSX软件提供VDI平台的网络防火墙，安全管控功能。唯一能实现 VM标签级别网络隔离和管控的解决方案Isilon安全共享安全共享：Isilon分布式文件存储做为虚拟桌面用户的个人主目录和共享文件存 储。横向扩展的文件系统，能够实现完全API调度存储管理，具有最高级安全管控水平。云桌面总体架构核心组件Horizon做桌面：VDI虚拟桌面由4VXRAIL 超融合业业界最广泛界最广泛的的 HCI 应应用装置用装置产产品品组组合合 由由 DellEMC 和和 VMware 独家提供独家提供 与与VMware同步同步发发布布软软件更新件更新一机全包、一一机全包、一键键升升级级、一站支持、一站支持VXRAIL 超融合业界最广泛的 HCI 应用装置产品组合 5VxRail 由 VMware vSAN 提供支持面向面向领领先虚先虚拟拟化生化生态态系系统统的最佳技的最佳技术术借助内核层集成和优化的 I/O 数据路径最大限度地 提高资源利用率为要求严苛的业务应用提 供企业级可用性通过软件定义的策略实现 可配置的弹性自动重新平衡存储，以便 与按每个虚拟机执行的服 务策略保持一致旨在提供优化的 VMware体验管理虚拟机而非存储借助现有工具简化存储和 计算的管理与 VMware 堆栈的完整互 操作性广泛的技术合作伙伴储备 和最完善的 HCIA 生态系 统vSANVxRail 由 VMware vSAN 提供支持借助内核层6内核中的 vSAN 让 VxRail 更高效vSphere存储虚拟机（按服务器）典型 HCI与 VSAN 配合使用 VxRailvSphere/vSAN存储虚拟机消耗资源 数据路径效率低下 必须附加管理粗放化存储管理2 倍 CPU 和 3 倍内存效率 本机 vMotion 和 DRS简单的单一管理窗格按虚拟机执行的管理和策略内核中的 vSAN 让 VxRail 更高效vSphere存7超融合系统设计方式的转变 超融合基础架构现在服务器SAN存储过去超融合系统设计方式的转变 超融合基础架构现在服务器SAN8超融合的软件囊括一切功能囊括一切功能数据效率数据效率 服服务务数数据据备备份份保保护护服服务监务监控控 与容灾保与容灾保护护云云 存存储储超融合的软件囊括一切功能数据效率 服务数据备份服务监控 与容9超融合的服务ESRS客户环境全球支持1单点支持包括硬件和软件2Dial home 双向 安全远程连接3聊天和基 web 的 服务选项超融合的服务ESRS客户环境全球支持12310VMWare Horizon架构图App Volumes ServervCOPs for ViewVMWare Horizon架构图App Volumes 11桌面和桌面和应应用虚用虚拟拟化：化：加加强强静静态态数据的安全性数据的安全性桌面和桌面和应应用虚用虚拟拟化可将操作系化可将操作系统统、应应用和数据置于数据中心用和数据置于数据中心虚拟桌面数据 中心因设备造成的数据丢失（设备遗失、失窃、损坏）设备上安装的敏感应用遭 受未经授权的访问分支机构基础架构占用空 间（文件/打印/电子邮件 服务等）减少有助于高效、集中备份集中修补以应对漏洞 威胁企业级 存储其他用户服务器WWW12桌面和应用虚拟化：加强静态数据的安全性桌面和应用虚拟化可您的数据中您的数据中心心 =更大的受攻更大的受攻击击面面用户行为零日威胁不安全的Internet 网站桌面到桌面的黑 客攻击桌面到服务器的 黑客攻击向东向西虚拟桌面数据 中心SAP、Oracle、Exchange 等企业级 存储其他用户WWWVDI 无法解决的无法解决的问题问题：桌面虚桌面虚拟拟化化带带来了新的安全注意事来了新的安全注意事项项：13暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流您的数据中心=更大的受攻击面用户行为零日威胁不安全的桌面保保护护 VDI 环环境中的境中的东东西向流量西向流量侧重于合规性和风险缓解的组织将实施安全区以保安全区以保护护数据中心内的数据中心内的东东西向流量西向流量难难以以实实施施需要大量的物理基需要大量的物理基础础架构架构管理复管理复杂杂集中式虚集中式虚拟拟 桌面桌面共享服共享服务务14DMZ数据数据库库区区远远程工作程工作 员员工区工区工程区工程区开开发发区区财务财务区区公司区公司区PCI 区区管理区管理区保护 VDI 环境中的东西向流量侧重于合规性和风险缓解的组织这这很复很复杂杂！共享 服务DMZ数据 库区 远程工作 员工区工程区开发区财务区公司区Internet内部网内部网络络PCI 区管理区集中式虚集中式虚拟拟 桌面桌面15这很复杂！共享 服务DMZ数据 库区 远程工作 员工区工程为每个桌面构建“一体式网一体式网络络”消除网络间的串串扰扰最小的受攻最小的受攻击击面面 防范威胁扩散集中定集中定义义策略策略，并在虚拟机创建时即自动添加到其中永久跟随桌面永久跟随桌面，无论它位于何处NSX 微分段：微分段：应对东应对东西向挑西向挑战战16为每个桌面构建“一体式网络”NSX 微分段：应对东西向挑VMware NSX with Horizon：优势优势快速和快速和轻轻松的松的VDI 网网络连络连接接只需简单点击几下，即 可跨所有虚拟桌面创建、更改和管理安全策略自自动动化的化的 策略策略调调配配设置策略一次，即可动态跟 随用户，与底层网络无关可延展的可延展的 基基于角色安全性于角色安全性从端点到桌面的全面安全性，基于用户角色，可保护操作 系统、电子邮件、浏览器等NSX with Horizon 提供快速、简单和可延展的安全性，可在以下方面提供保护：零日威胁用户行为不安全的网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击17VMware NSX with Horizon：优势快速和轻VMware NSX 安全策略展示安全策略展示保密将默将默认认的策略的策略“Any”to“Any”设设置置为为Block，默，默认认隔离任何虚隔离任何虚拟拟机机间间的的东东西向通西向通讯讯。同同时时打开打开NDP和和DHCP服服务务端口，端口开启功能端口，端口开启功能简单简单易操作。易操作。18VMware NSX 安全策略展示保密将默认的策略“Any”VMware NSX 安全策略展示安全策略展示可以方便的根据可以方便的根据IP地址，地址，VM标签标签制定通制定通讯讯控制策略，控制策略，针对针对不同的端口服不同的端口服务进务进行行访问访问控制，控制，轻轻松松实现实现数据的数据的单单向向访问访问，单单向拷向拷贝贝等精等精细细化管控功能。化管控功能。VMware NSX 安全策略展示可以方便的根据IP地址，V19VMware NSX 安全策略展示安全策略展示还还可以自定可以自定义义VM组组，将不同功能部，将不同功能部门门的桌面的桌面VM用用Group归类归类管理，方便安全策略的部署管理。管理，方便安全策略的部署管理。VMware NSX 安全策略展示还可以自定义VM组，将不同20安全的共享存安全的共享存储储是是VDIVDI关关键组键组件件API存存储储管理，将存管理，将存储储管理管理纳纳入自入自动动化流程化流程安全的共享存储是VDI关键组件API存储管理，将存储管理纳入21PAGE43THANKSP A G E 43THANKS22