云桌面与数据安全整体方案

保密
18
VMware NSX 安全策略展示
可以方便的根据IP地址，VM标签制定通讯控制策略，针对不同的端口服务进行访问控制， 轻松实现数据的单向访问，单向拷贝等精细化管控功能。
VMware NSX 安全策略展示
还可以自定义VM组，将不同功能部门的桌面VM用Group归类管理，方便安全策略的部署管理。
桌面到桌面的黑 客攻击
桌面到服务器的 黑客攻击
13
保护 VDI 环境中的东西向流量
侧重于合规性和风险缓解的组织将实施 安全区以保护数据中心内的东西向流量
• 难以实施 • 需要大量的物理基础架构 • 管理复杂
PCI 区
远程工作 员工区
DMZ
共享服务 数据库区
管理区
公司区 开发区 工程区 财务区
集中式虚拟 桌面
14
这很复杂！
Internet
DMZ
集中式虚拟 桌面
公司区Leabharlann 共享 服务开发区远程工作 员工区
数据 库区
工程区
PCI 区
管理区
财务区
内部网络
15
NSX 微分段： 应对东西向挑战
• 为每个桌面构建“一体式网络” • 消除网络间的串扰 • 最小的受攻击面 – 防范威胁扩散 • 集中定义策略，并在虚拟机创建时即自动添加到其
云桌面与数据安全整体方案
云桌面总体架构方案
2 ofY
云桌面总体架构说明
• 双中心：两边数据中心都提供VDI连接，可以采用双活架构。 • 全局访问：支持不同的物理办公地点的员工能够访问不同的数据中心的VDI。 • 数据容灾：不同数据中心的用户数据通过底层存储复制技术，双向拷贝到对端用于
存储中实现数据保护与恢复。
NSX with Horizon 提供快速、简单和可延展的安全性，可在以下方面提供保护：
用户行为
零日威胁
不安全的网站
桌面到桌面的黑客攻击
桌面到服务器的黑客攻击
17
VMware NSX 安全策略展示
将默认的策略“Any”to“Any”设置为Block，默认隔离任何虚拟机间的东西向通讯 。 同时打开NDP和DHCP服务端口，端口开启功能简单易操作。
服务监控 与容灾保护
云 存储
超融合的服务
1
单点支持 包括硬件和软件
2
Dial home 双向 安全远程连接
3
聊天和基 web 的 服务选项
客户环境
ESRS
全球支持
VMWare Horizon架构图
App Volumes Server
vCOPs for View
桌面和应用虚拟化： 加强静态数据的安全性
面向领先虚拟化生态系统的最佳技术
• 旨在提供优化的 VMware 体验
• 管理虚拟机而非存储 • 借助现有工具简化存储和
计算的管理 • 与 VMware 堆栈的完整互
操作性 • 广泛的技术合作伙伴储备
和最完善的 HCIA 生态系 统
vSAN
• 借助内核层集成和优化的 I/O 数据路径最大限度地 提高资源利用率
储。横向扩展的文件系统，能够实现完全API调度存储管理，具有最高级安全管控水平。
VXRAIL 超融合
业界最广泛的 HCI 应用装置产品组合 由 DellEMC 和 VMware 独家提供 与VMware同步发布软件更新 一机全包、一键升级、一站支持
VxRail 由 VMware vSAN 提供支持
都运行在此超融合平台。VMware唯一认证的超融合平台，软件版本与VMware同步发布， 具备最佳的兼容性和管理维护便利性。
• NSX保安全：VMware NSX软件提供VDI平台的网络防火墙，安全管控功能。唯一能实现
VM标签级别网络隔离和管控的解决方案
• Isilon安全共享：Isilon分布式文件存储做为虚拟桌面用户的个人主目录和共享文件存
中 • 永久跟随桌面，无论它位于何处
16
VMware NSX with Horizon：优势
快速和轻松的 VDI 网络连接
自动化的 策略调配
可延展的 基 于角色安全性
只需简单点击几下，即 可跨所有虚拟桌面创建、
更改和管理安全策略
设置策略一次，即可动态跟 随用户，与底层网络无关
从端点到桌面的全面安全性， 基于用户角色，可保护操作 系统、电子邮件、浏览器等
务）集群对应一个或多个Cluster。
云桌面总体架构核心组件
• Horizon做桌面：VDI虚拟桌面由VMware Horizon View桌面组件实现，桌面底层的服务
器虚拟化由vSphere提供。最成熟的企业级服务器虚拟化和虚拟桌面产品组合。
• VxRail做核心：硬件平台使用VxRail超融合解决方案，vSphere、vSAN、Horizon等软件
安全的共享存储是VDI关键组件
API存储管理，将存储管理纳入自动化流程
P A G E 43
THANKS
您的数据中心 = 更大的受攻击面
桌面虚拟化带来了新的安全注意事项：
• 暴露了数据中心内的巨大攻击面 • 用户和基础架构间具有多个“东西向”流
WWW
向东
向西
SAP、Oracle、 Exchange 等
数据 中心
其他用户
虚拟桌面
企业级 存储
VDI 无法解决的问题：
用户行为
零日威胁
不安全的 Internet 网站
存储虚拟机消耗资源 数据路径效率低下 必须附加管理 粗放化存储管理
2 倍 CPU 和 3 倍内存效率 本机 vMotion 和 DRS 简单的单一管理窗格 按虚拟机执行的管理和策略
系统设计方式的转变 — 超融合基础架构
超融合
服务器
SAN
存储
过去
现在
超融合的软件
囊括一切功能
数据效率 服务
数据备份 保护
桌面和应用虚拟化可将操作系统、 应用和数据置于数据中心
WWW
数据 中心
其他用户
虚拟桌面
服务器
企业级 存储
因设备造成的数据丢失 （设备遗失、失窃、损坏）
设备上安装的敏感应用遭 受未经授权的访问
分支机构基础架构占用空 间（文件/打印/电子邮件 服务等）减少
有助于高效、集中备份
集中修补以应对漏洞 威胁
12
• 为要求严苛的业务应用提 供企业级可用性
• 通过软件定义的策略实现 可配置的弹性
• 自动重新平衡存储，以便 与按每个虚拟机执行的服 务策略保持一致
内核中的 vSAN 让 VxRail 更高效
典型 HCI
与 VSAN 配合使用 VxRail
存储虚拟机
（按服务器）
vSphere
vSphere / vSAN
• 负载均衡：每个数据中心的服务器集群预留计算资源确保能够接管部分另一数据中
心的用户桌面（灾难场景）。
• 本地冗余：数据中心双活部署，两个数据中心都保留相应的资源进行故障切换。单
中心内部发生集群故障优先切换到本地其它集群。
• 集中管理：每一个数据中心的vCenter支持管理不同的Cluster，每类桌面（办公、业