云桌面与数据安全整体方案

云桌面与数据安全整体方案云桌面与数据安全整体方案1云桌面总体架构方案2

of

Y云桌面总体架构方案2ofY2云桌面总体架构说明双中心：两边数据中心都提供VDI连接，可以采用双活架构。全局访问：支持不同的物理办公地点的员工能够访问不同的数据中心的VDI。数据容灾：不同数据中心的用户数据通过底层存储复制技术，双向拷贝到对端用于存储中实现数据保护与恢复。负载均衡：每个数据中心的服务器集群预留计算资源确保能够接管部分另一数据中心的用户桌面（灾难场景）。本地冗余：数据中心双活部署，两个数据中心都保留相应的资源进行故障切换。单中心内部发生集群故障优先切换到本地其它集群。集中管理：每一个数据中心的vCenter支持管理不同的Cluster，每类桌面（办公、业务）集群对应一个或多个Cluster。云桌面总体架构说明双中心：两边数据中心都提供VDI连接，可以3云桌面总体架构核心组件Horizon做桌面：VDI虚拟桌面由VMware

Horizon

View桌面组件实现，桌面底层的服务器虚拟化由vSphere提供。最成熟的企业级服务器虚拟化和虚拟桌面产品组合。VxRail做核心：硬件平台使用VxRail超融合解决方案，vSphere、vSAN、Horizon等软件都运行在此超融合平台。VMware唯一认证的超融合平台，软件版本与VMware同步发布，具备最佳的兼容性和管理维护便利性。NSX保安全：VMware

NSX软件提供VDI平台的网络防火墙，安全管控功能。唯一能实现VM标签级别网络隔离和管控的解决方案Isilon安全共享：Isilon分布式文件存储做为虚拟桌面用户的个人主目录和共享文件存储。横向扩展的文件系统，能够实现完全API调度存储管理，具有最高级安全管控水平。云桌面总体架构核心组件Horizon做桌面：VDI虚拟桌面由4VXRAIL

超融合业界最广泛的

HCI

应用装置产品组合由

DellEMC

和

VMware

独家提供与VMware同步发布软件更新一机全包、一键升级、一站支持VXRAIL超融合业界最广泛的HCI应用装置产品组合5VxRail

由

VMware

vSAN

提供支持面向领先虚拟化生态系统的最佳技术借助内核层集成和优化的I/O

数据路径最大限度地提高资源利用率为要求严苛的业务应用提供企业级可用性通过软件定义的策略实现可配置的弹性自动重新平衡存储，以便与按每个虚拟机执行的服务策略保持一致旨在提供优化的

VMware体验管理虚拟机而非存储借助现有工具简化存储和计算的管理与

VMware

堆栈的完整互操作性广泛的技术合作伙伴储备和最完善的

HCIA

生态系统vSANVxRail由VMwarevSAN提供支持借助内核层6内核中的

vSAN

让

VxRail

更高效vSphere存储虚拟机（按服务器）典型

HCI 与

VSAN

配合使用

VxRailvSphere/

vSAN存储虚拟机消耗资源数据路径效率低下必须附加管理粗放化存储管理2

倍

CPU

和

3

倍内存效率本机

vMotion

和

DRS简单的单一管理窗格按虚拟机执行的管理和策略内核中的vSAN让VxRail更高效vSphere存7超融合系统设计方式的转变

—

超融合基础架构现在服务器SAN存储过去超融合系统设计方式的转变—超融合基础架构现在服务器SAN8超融合的软件囊括一切功能数据效率服务数据备份保护服务监控与容灾保护云存储超融合的软件囊括一切功能数据效率服务数据备份服务监控与容9超融合的服务ESRS客户环境全球支持1单点支持包括硬件和软件2Dialhome

双向安全远程连接3聊天和基

web

的服务选项超融合的服务ESRS客户环境全球支持12310VMWare

Horizon架构图App

VolumesServervCOPs

forViewVMWareHorizon架构图AppVolumes11桌面和应用虚拟化：加强静态数据的安全性桌面和应用虚拟化可将操作系统、应用和数据置于数据中心虚拟桌面数据中心因设备造成的数据丢失（设备遗失、失窃、损坏）设备上安装的敏感应用遭受未经授权的访问分支机构基础架构占用空间（文件/打印/电子邮件服务等）减少有助于高效、集中备份集中修补以应对漏洞威胁企业级存储其他用户服务器WWW12桌面和应用虚拟化：加强静态数据的安全性桌面和应用虚拟化可您的数据中心

=

更大的受攻击面用户行为零日威胁不安全的Internet

网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击向东向西虚拟桌面数据中心SAP、Oracle、Exchange

等企业级存储其他用户WWWVDI

无法解决的问题：桌面虚拟化带来了新的安全注意事项：13暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流您的数据中心=更大的受攻击面用户行为零日威胁不安全的桌面保护

VDI

环境中的东西向流量侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量难以实施需要大量的物理基础架构管理复杂集中式虚拟桌面共享服务14DMZ数据库区远程工作员工区工程区开发区财务区公司区PCI

区管理区保护VDI环境中的东西向流量侧重于合规性和风险缓解的组织这很复杂！共享服务DMZ数据库区

远程工作员工区工程区开发区财务区公司区Internet内部网络PCI

区管理区集中式虚拟桌面15这很复杂！共享服务DMZ数据库区远程工作员工区工程为每个桌面构建“一体式网络”消除网络间的串扰最小的受攻击面

–

防范威胁扩散集中定义策略，并在虚拟机创建时即自动添加到其中永久跟随桌面，无论它位于何处NSX

微分段：应对东西向挑战16为每个桌面构建“一体式网络”NSX微分段：应对东西向挑VMware

NSX

with

Horizon：优势快速和轻松的VDI

网络连接只需简单点击几下，即可跨所有虚拟桌面创建、更改和管理安全策略自动化的策略调配设置策略一次，即可动态跟随用户，与底层网络无关可延展的基于角色安全性从端点到桌面的全面安全性，基于用户角色，可保护操作系统、电子邮件、浏览器等NSX

with

Horizon

提供快速、简单和可延展的安全性，可在以下方面提供保护：零日威胁用户行为不安全的网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击17VMwareNSXwithHorizon：优势快速和轻VMware

NSX

安全策略展示保密将默认的策略“Any”to“Any”设置为Block，默认隔离任何虚拟机间的东西向通讯。同时打开NDP和DHCP服务端口，端口开启功能简单易操作。18VMwareNSX安全策略展示保密将默认的策略“Any”VMware

NSX

安全策略展示可以方便的根据IP地址，VM标签制定通讯控制策略，针对不同的端口服务进行访问控制，轻松实现数据的单向访问，单向拷贝等精细化管控功能。VMwareNSX安全策略展示可以方便的根据IP地址，V19VMware

NSX

安全策略展示还可以自定义VM组，将不同功能部门的桌