云桌面与数据安全整体方案

1、云桌面与数据安全整体方案云桌面总体架构方案2 of Y云桌面总体架构说明双中心：两边数据中心都提供VDI连接，可以采用双活架构。全局访问：支持不同的物理办公地点的员工能够访问不同的数据中心的VDI。数据容灾：不同数据中心的用户数据通过底层存储复制技术，双向拷贝到对端用于 存储中实现数据保护与恢复。负载均衡：每个数据中心的服务器集群预留计算资源确保能够接管部分另一数据中 心的用户桌面（灾难场景）。本地冗余：数据中心双活部署，两个数据中心都保留相应的资源进行故障切换。单 中心内部发生集群故障优先切换到本地其它集群。集中管理：每一个数据中心的vCenter支持管理不同的Cluster，每类桌面（办公

2、、业 务）集群对应一个或多个Cluster。云桌面总体架构核心组件Horizon做桌面：VDI虚拟桌面由VMware Horizon View桌面组件实现，桌面底层的服务 器虚拟化由vSphere提供。最成熟的企业级服务器虚拟化和虚拟桌面产品组合。VxRail做核心：硬件平台使用VxRail超融合解决方案，vSphere、vSAN、Horizon等软件都运行在此超融合平台。VMware唯一认证的超融合平台，软件版本与VMware同步发布， 具备最佳的兼容性和管理维护便利性。NSX保安全：VMware NSX软件提供VDI平台的网络防火墙，安全管控功能。唯一能实现 VM标签级别网络隔离和管控的解

3、决方案Isilon安全共享：Isilon分布式文件存储做为虚拟桌面用户的个人主目录和共享文件存 储。横向扩展的文件系统，能够实现完全API调度存储管理，具有最高级安全管控水平。VXRAIL 超融合业界最广泛的 HCI 应用装置产品组合 由 DellEMC 和 VMware 独家提供 与VMware同步发布软件更新一机全包、一键升级、一站支持VxRail 由 VMware vSAN 提供支持面向领先虚拟化生态系统的最佳技术借助内核层集成和优化的 I/O 数据路径最大限度地 提高资源利用率为要求严苛的业务应用提 供企业级可用性通过软件定义的策略实现 可配置的弹性自动重新平衡存储，以便 与按每个虚拟

4、机执行的服 务策略保持一致旨在提供优化的 VMware体验管理虚拟机而非存储借助现有工具简化存储和 计算的管理与 VMware 堆栈的完整互 操作性广泛的技术合作伙伴储备 和最完善的 HCIA 生态系 统vSAN内核中的 vSAN 让 VxRail 更高效vSphere存储虚拟机（按服务器）典型 HCI与 VSAN 配合使用 VxRailvSphere / vSAN存储虚拟机消耗资源 数据路径效率低下 必须附加管理粗放化存储管理2 倍 CPU 和 3 倍内存效率 本机 vMotion 和 DRS简单的单一管理窗格按虚拟机执行的管理和策略超融合系统设计方式的转变 超融合基础架构现在服务器SAN存

5、储过去超融合的软件囊括一切功能数据效率 服务数据备份保护服务监控 与容灾保护云 存储超融合的服务ESRS客户环境全球支持1单点支持包括硬件和软件2Dial home 双向 安全远程连接3聊天和基 web 的 服务选项VMWare Horizon架构图App Volumes ServervCOPs for View桌面和应用虚拟化： 加强静态数据的安全性桌面和应用虚拟化可将操作系统、 应用和数据置于数据中心虚拟桌面数据 中心因设备造成的数据丢失（设备遗失、失窃、损坏）设备上安装的敏感应用遭 受未经授权的访问分支机构基础架构占用空 间（文件/打印/电子邮件 服务等）减少有助于高效、集中备份集中修补

6、以应对漏洞 威胁企业级 存储其他用户服务器WWW12您的数据中心 = 更大的受攻击面用户行为零日威胁不安全的Internet 网站桌面到桌面的黑 客攻击桌面到服务器的 黑客攻击向东向西虚拟桌面数据 中心SAP、Oracle、 Exchange 等企业级 存储其他用户WWWVDI 无法解决的问题：桌面虚拟化带来了新的安全注意事项：13暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流保护 VDI 环境中的东西向流量侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量难以实施需要大量的物理基础架构管理复杂集中式虚拟 桌面共享服务14DMZ数据库区远程工作 员工区工程区

7、开发区财务区公司区PCI 区管理区这很复杂！共享 服务DMZ数据 库区 远程工作 员工区工程区开发区财务区公司区Internet内部网络PCI 区管理区集中式虚拟 桌面15为每个桌面构建“一体式网络”消除网络间的串扰最小的受攻击面 防范威胁扩散集中定义策略，并在虚拟机创建时即自动添加到其中永久跟随桌面，无论它位于何处NSX 微分段： 应对东西向挑战16VMware NSX with Horizon：优势快速和轻松的VDI 网络连接只需简单点击几下，即 可跨所有虚拟桌面创建、 更改和管理安全策略自动化的 策略调配设置策略一次，即可动态跟 随用户，与底层网络无关可延展的 基于角色安全性从端点到桌面的全面安全性， 基于用户角色，可保护操作 系统、电子邮件、浏览器等NSX with Horizon 提供快速、简单和可延展的安全性，可在以下方面提供保护：零日威胁用户行为不安全的网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击17VMware NSX 安全策略展示保密将默认的策略“Any”to“Any”设置为Block，默认隔离任何虚拟机间的东西向通讯。 同时打开NDP和DHCP服务端口，端口开启功能简单易操作。18VMware NSX 安全策略展示可以方便的根据IP地址，VM标签制定通讯控制策略，针对不同的端口服务进行访问控制， 轻松实现数据的单向访问，单