项目背景
安恒信息是国内著名的安全设备研发制造厂商,经过长时间的业务发展,安恒信息的发展规模已经达到3000人左右,安恒信息目前的PC研发办公环境已经不能够很好地满足业务发展需要,当前采用PC作为研发的办公环境主要存在以下几个方面的问题:
1.数据可靠性较低
在传统PC研发环境下,用户的研发应用软件以及研发数据大都直接保存在电脑本地硬盘,研发工程师很少会对研发电脑做操作系统备份或数据备份。
2.数据泄露风险相对高
传统PC办公环境存在着一些数据泄露的风险,例如:U盘等外设拷贝;员工离职恶意删除或带走文件;手机拍照等各类方式。
3.业务灵活性差
随着安恒信息的快速发展,研发及办公人员流动性较大,给新员工分配新的办公电脑,并部署各类研发软件以及应用环境复杂,通常有2天/每台PC的准备时间,不仅给IT部门带来了很大的工作压力。同时耽误了该新员工进入正式工作状态的效率。当某些员工离职时,还可能存在恶意删除研发数据等极端现象的发生,给公司造成不必要的麻烦与损失。
4.无法实现移动办公
近两年,安恒信息的研发业务也扩展到了上海、北京、成都、南京、合肥等多个地区,传统的PC无法实现安全的移动办公要求,业务部门会经常组建新的研发小组,而传统的IT架构无法跟上业务发展的需要。
另外,受到“新冠疫情”的影响,移动办公,跨区域线上协同办公的需求愈发强烈,安恒信息的基础办公环境改造刻不容缓。
项目目标
根据以上安恒信息目前的IT现状,提出”云桌面+云应用”(也叫虚拟桌面+虚拟应用)建设规划方案,通过该方案的建设达到以下项目建设目标。
研发环境和办公环境统一由虚拟桌面作为替代和改造,业务应用的计算、存储都由数据中心的服务器和企业级高端存储支撑,不仅做好虚拟桌面的高可用高安全高可靠策略,同时对企业级存储做好统一的数据快照、数据备份等保护策略,避免传统PC硬盘故障导致数据丢失的问题。
虚拟桌面按照不同的业务部门,不同的研发小组与企业的规章制度相结合设定好各类的安全管控策略。例如:USB外设管控策略,桌面水印策略,数据上传下载等管控策略等。保障企业研发与办公环境的使用安全与合规。
通过虚拟桌面的改造,可以按照不同部门,不同研发小组创建多种桌面模板。从而实现新员工入职,大学生实习,校企学术交流等各类场景办公桌面的快速部署与下发,满足各类员工的使用需求,降低企业流程成本提高企业运营效率。
通过虚拟桌面改造可以实现跨区域、多区域协同办公研发,以及在疫情期间,紧急的研发任务工作可以安全有效的在家中完成。
项目建设
1.虚拟桌面平台架构
在安恒信息的“虚拟桌面+虚拟应用”建设项目中,我司经过了长期的需求调研、精细化的测试适配以及长达1年的研发环境试用后,再结合我司云桌面架构师在浙江大型制造型企业IT建设经验,提出以下完整建设方案。
总体架构图
安恒信息虚拟桌面+虚拟应用建设方案总体如上图所示,分为三大区域,分别是内网区域,外网区域,和互联网分值机构区域。
2.内网区域建设规划
内网区域是安恒信息的最为核心的研发与行政部门,可以按照不同的部门,不同的小组,不同的行政安全要求规划不同的桌面资源池与桌面模板。存储作为企业IT建设的重中之重,我司方案采用HPE 高端存储Nimble HF 60产品。在数据中心网络,我司规划方案按照标准的3网隔离方式规划,也就是业务网、管理网、存储网分离,业务网采用双端口10GB 网络与两台业务网接入交换机交叉互联,存储网采用双16GB FC网络与存储网交换机互联,管理网也采用单独的双千兆电口网连接,以上网络规划架构确保整个平台不存在网络单点故障。
在安全方面,未来可以规划1台citrix netscaler云桌面安全接入网关,该网关可以防御zero day攻击,支持SSL加密 SSl加速等功能,能够有效防范SSL 阻断攻击/SSL中间人攻击,该网关配合citrix HDX桌面连接协议可以提升SSL安全性的同时,提供动态与静态的内容缓存功能,提升桌面的使用体验。
3.外网区域建设规划
外网区域规划与内网区域类似,按照不同的部门,不同的小组,不同的行政安全要求规划不同的桌面资源池与桌面模板。网络采用三网隔离的方案,存储采用HPE中高端存储。
在安全方面,未来也可以规划一套citrix netscaler来保证桌面接入的安全。与内网环境不同,外网区域环境更为复杂,不仅要对办公大楼的外网区域用户提供安全的桌面环境。同时,在分支机构的研发员工通过互联网或者运营商专网连接到主数据中心中来,Citrix netscaler 配合citrix HDX远程桌面连接协议可以实现对外网只开放唯一IP地址的唯一443加密端口,保障桌面连接的安全性。众所周知,网络IP地址与网络端口号开放的越多,所存在的网络漏洞以及黑客可攻击的方式种类就越多。Citrix HDX协议与Netscaler配合可以将互联网桌面连接安全风险下降到最低。