在傳統的桌面方案中網絡隔離方面大多使用實體隔離(如隔離卡方案、雙PC模式)以及邏輯隔離(如基于ACL/VLAN的網絡政策)來實作網絡的隔離。
此外也可以借此如網絡準入操作簡稱NAC的方式來實作網絡的邏輯隔離NAC的方式支援多種模式
基于802.1x(與網絡交換機關聯當發現使用者終端不符合安全政策時将使用者終端隔離到特定VLAN)。
基于網關模式的NAC(如×××模式當NAC裝置放在使用者需要通路的伺服器的前端如公司内網門戶使用者通路後端服務時客戶的流量因為需要經過NAC裝置是以可以強制使用者的裝置做安全檢查)。
基于DHCP的NAC這種方式比較容易跳過隻要機器不使用DHCP指定IP位址DHCP 的NAC即不能工作。
目前桌面虛拟化技術路線上主要包括集中式的VDI模式以及分布式的桌面模式如Horizon Flex,可以了解為VDI@PC模式。這兩種技術其實都可以實作桌面的網絡隔離。
××××××
在集中式的VDI中使用者裝置通過遠端桌面協定如VMware Blast,PCoIP,RDP,ICA等通路到資料中心端的虛拟桌面本身在網絡協定層面上就已經實作了隔離。很多單使用者多桌面的環境中一個使用者可能需要同時通路如辦公、開發、網際網路等多個網絡的桌面那麼在資料中心後端實作網絡的隔離就可以滿足網安全的要求。目前的資料中心端的網絡隔離主要包括實體隔離主要在政府、金融等有強制的法規要求的行業即部署多套網絡、多套網絡裝置等以及通過邏輯網絡隔離 同一套實體網絡但是基于交換機的VLAN/ACL或者網絡虛拟化技術如VMware NSX來邏輯隔離網絡。
在分布式的VDI@PC模式中本地虛拟桌面的運算方式與集中式的VDI有很大的不同在VDI@PC模式中所有的計算均在使用者PC上完成與VMware Workstation技術類似得益于近年來筆記本性能的提升特别是SSD的普及在使用者端的筆記本上運作虛拟機已經不是問題。如筆者使用的筆記本為Apple Macbook AirCPU為Intel i5 1.4GHz,記憶體為8GSSD為128G在這樣的筆記本上可以同時運作多個虛拟機而不影響我的操作體驗。
在分布式的VDI@PC模式中因為所有的計算、存儲都在本地裝置上實作在網絡連接配接上也如此。Horizon Flex可以實作資料的安全政策管理如USB禁用、複制粘貼闆禁用等其實在網絡上除了大家熟悉的橋接、NAT、Host模式之外也可以借助×××的功能來實作網絡的隔離。
通過資料安全政策、虛拟機加密、網絡隔離政策三方面的配合使用VDI@PC模式在安全性可以滿足大部分客戶的需求當然我也發現一些已經用了VDI而且已經穩定使用多年的客戶對于VDI@PC模式存在偏見和質疑的不過我相信時間可以解決這個問題。
關于更多關于虛拟桌面網絡隔離技術的介紹大家可以點選原文進行下載下傳我制作的35頁的PPT。轉發到朋友圈并截圖發送到訂閱号的朋友可以得到無限制的PPT版本。為了加粉我也是挺拼的
本文來自微信訂閱号"最終使用者雲計算"微信号是 “CHINAEUC”寫文章需要查各種資料、還要有靈感并不容易。如果覺得文章有用希望您幫忙轉發到您的朋友圈。點選文章标題下方的小字“最終使用者計算”即可完成關注。 回複“Dir”可以檢視過往文章。
×××平台出租