在传统的桌面方案中网络隔离方面大多使用物理隔离(如隔离卡方案、双PC模式)以及逻辑隔离(如基于ACL/VLAN的网络策略)来实现网络的隔离。
此外也可以借此如网络准入操作简称NAC的方式来实现网络的逻辑隔离NAC的方式支持多种模式
-
基于802.1x(与网络交换机联动当发现用户终端不符合安全策略时将用户终端隔离到特定VLAN)。
-
基于网关模式的NAC(如×××模式当NAC设备放在用户需要访问的服务器的前端如公司内网门户用户访问后端服务时客户的流量因为需要经过NAC设备所以可以强制用户的设备做安全检查)。
-
基于DHCP的NAC这种方式比较容易跳过只要机器不使用DHCP指定IP地址DHCP 的NAC即不能工作。
目前桌面虚拟化技术路线上主要包括集中式的VDI模式以及分布式的桌面模式如Horizon Flex,可以理解为VDI@PC模式。这两种技术其实都可以实现桌面的网络隔离。
××××××在集中式的VDI中用户设备通过远程桌面协议如VMware Blast,PCoIP,RDP,ICA等访问到数据中心端的虚拟桌面本身在网络协议层面上就已经实现了隔离。很多单用户多桌面的环境中一个用户可能需要同时访问如办公、开发、互联网等多个网络的桌面那么在数据中心后端实现网络的隔离就可以满足网安全的要求。目前的数据中心端的网络隔离主要包括物理隔离主要在政府、金融等有强制的法规要求的行业即部署多套网络、多套网络设备等以及通过逻辑网络隔离 同一套物理网络但是基于交换机的VLAN/ACL或者网络虚拟化技术如VMware NSX来逻辑隔离网络。
在分布式的VDI@PC模式中本地虚拟桌面的运算方式与集中式的VDI有很大的不同在VDI@PC模式中所有的计算均在用户PC上完成与VMware Workstation技术类似得益于近年来笔记本性能的提升特别是SSD的普及在用户端的笔记本上运行虚拟机已经不是问题。如笔者使用的笔记本为Apple Macbook AirCPU为Intel i5 1.4GHz,内存为8GSSD为128G在这样的笔记本上可以同时运行多个虚拟机而不影响我的操作体验。
在分布式的VDI@PC模式中因为所有的计算、存储都在本地设备上实现在网络连接上也如此。Horizon Flex可以实现数据的安全策略管理如USB禁用、复制粘贴板禁用等其实在网络上除了大家熟悉的桥接、NAT、Host模式之外也可以借助×××的功能来实现网络的隔离。
通过数据安全策略、虚拟机加密、网络隔离策略三方面的配合使用VDI@PC模式在安全性可以满足大部分客户的需求当然我也发现一些已经用了VDI而且已经稳定使用多年的客户对于VDI@PC模式存在偏见和质疑的不过我相信时间可以解决这个问题。
关于更多关于虚拟桌面网络隔离技术的介绍大家可以点击原文进行下载我制作的35页的PPT。转发到朋友圈并截图发送到订阅号的朋友可以得到无限制的PPT版本。为了加粉我也是挺拼的
本文来自微信订阅号"最终用户云计算"微信号是 “CHINAEUC”写文章需要查各种资料、还要有灵感并不容易。如果觉得文章有用希望您帮忙转发到您的朋友圈。点击文章标题下方的小字“最终用户计算”即可完成关注。 回复“Dir”可以查看过往文章。
×××平台出租