jioopET
作者jioopET·2024-01-04 15:12
项目经理·证券公司

券商行业“云桌面+物理终端+文件共享中间站”全场景安全办公应用探索

字数 5763阅读 3747评论 8赞 5

摘要:

本文在详细论述云桌面主流建设架构的基础上,介绍其通过打造综合性办公终端体系,构建了物理终端+云桌面+文件共享中间站的全场景安全办公服务基础设施平台,从而满足员工在任意网络区域、任意场景使用任意智能设备高效、安全办公的诉求。这一创新的解决方案,不仅提供了强大的功能支持,同时也为读者在搭建自身的办公终端平台时,提供了宝贵的借鉴思路。

一、背景

随着5G、云计算、大数据、人工智能等新一代信息技术的飞速发展,特别是在后疫情时代,传统单一的终端部署模式已经无法满足不断涌现的各种新办公场景。因此,如何利用各种层出不穷的终端部署解决方案,在保证安全的前提下,优化企业现有的移动办公、远程办公、联合办公场景,提高工作效率和保障业务连续性已成为各大企业的共识。本文以某券商为例,介绍其如何通过打造综合性办公终端体系,为员工提供了全终端、全场景的安全办公服务基础设施平台,从而满足员工在任意网络区域、任意场景使用任意智能设备高效、安全办公的诉求。

二、主流办公终端部署模式的痛点与不足

PC部署模式。PC机作为传统的办公模式,拥有最广泛的用户接受度,但同时也存在一些明显的缺点。(1)数据安全难以得到保障。尽管市场上存在着丰富的安全软件和桌面管理软件,但由于产品选型、兼容性、安全性等一系列问题,给传统的安全管理带来了困难。此外,由于数据存储在本地,如果设备丢失或硬盘出现故障,可能会导致文件无法找回,给企业带来巨大的损失。(2)运维负担重。频繁的人员流动导致大量的设备接入企业网络,增加了设备管理的难度。尤其是面临各类系统问题与故障排除时,需要大量的桌面运维人员参与,给企业日常运营带来负担。(3)高密环境难部署。金融企业一般有多套网络,物理机部署模式,需要很多物理终端,导致员工办公环境过于紧凑。另外,由于写字楼楼层的用电功率有限,像软件开发和高频交易等高密集度的办公环境,需要大量部署高耗电量的PC终端设备,这在实际操作中无法实现。

移动端部署模式。随着智能移动终端的处理能力越来越强,各类移动办公场景也被广泛讨论,但是其固有缺陷也无法全面替代固定终端。(1)输入不便。移动设备的屏幕相对较小,键盘输入也不如电脑方便,这会增加输入错误的可能性。尤其是移动设备在处理复杂的业务,例如文档编辑、程序开发,运维操作等,不如电脑方便。(2)受限于网络连接。移动设备需要网络连接才能进行大部分操作,如果没有网络连接或无线AP接入受限,会影响工作效率。(3)隐私和安全问题。使用移动设备办公时,个人隐私和信息安全风险较大,如果没有很好的移动终端安全防护手段会导致黑客攻击或信息泄露。

云桌面部署模式。随着虚拟化技术的普及,云桌面部署模式逐渐被业内接受,许多金融机构已经建立了自己的云桌面系统并在不同场景中应用。除数据不落地,集中运维、集中管理等优势以外其缺点也逐步被人所发现。(1)用户往往难以接受新事物,对于桌面云的方式,用户可能会质疑其易用性和数据安全性,甚至会挑剔细节,导致桌面云项目难以推广。(2)运维压力:过去PC运维工作被分配给HelpDesk来处理,但现在这些任务集中到桌面云项目组,给云桌面运维人员带来较大的压力。(3)前期投入较大:与传统的PC相比,桌面云的前期投入成本较高,同时,承载桌面虚拟机的服务器及机柜租赁费用也是一笔不小的开支。因此,对于各类中小型机构来说,在前期投入时难以进行大规模部署。

三 构建综合性终端办公体系实践

面对不断涌现的新的办公场景,没有一种终端部署模式能够适用于所有情况。终端办公模式的构建核心在于员工如何能够安全地登录各类系统并高效地处理各类数据。企业应该对终端部署模式进行全面的考虑,构建一套完整的体系,在提高数据安全性的同时,利用新技术满足各类办公场景的需求,提高办公效率。通过构建云桌面+物理终端+文件共享站的方式,可以打造员工安全高效的办公服务平台。

1、云桌面

(1)部署模式-超融合部署
超融合架构的具体方案部署:(1)资源池设计:在超融合一体机(x86与ARM均可)上安装虚拟化、分布式存储软件,将服务器池化管理。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。(2)桌面虚拟化:虚拟桌面管理软件提供高性能且可靠的桌面投送。桌面支持Windows10、银河麒麟桌面OS和UOS。办公软件支持WPS、永中Office等软件。桌面虚拟化以服务器虚拟化为基础,允许多个用户桌面以虚拟机的形式独立运行,同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将VDI彼此隔离,同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
图一:超融合部署架构

图一:超融合部署架构

(2)部署模式-存算分离
存算分离架构的具体方案部署:(1)计算资源池设计:采用虚拟化技术将硬件资源的虚拟化。通过统一的接口,对这些虚拟资源进行集中调度和管理,从而降低业务的运行成本,保证系统的安全性和可靠性。每套虚拟化池主要部署主备管理节点VRM组成。一对VRM对应一个物理集群。一个物理集群中可以把多台服务器划分成一个资源集群;(2)桌面虚拟化与超融合架构方案一致:提供桌面管理与投送软件。为用户提供Web登录界面,虚拟桌面生命周期管理,虚拟桌面登录管理,虚拟机的策略管理等功能;(3)存储池设计:计算、存储分层解耦,计算存储可按需采用不同厂家产品异构部署。
图二:存算分离部署架构

图二:存算分离部署架构

(3)超融合与存算分离架构方案对比
为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标,目前云桌面的部署方案业界主流成熟的方案主要以存算分离架构部署和超融合架构部署,两种部署方案各有利弊,现将部署模式对比如下。(1)管理成本:超融合架构软硬件绑定,统一管理,资源发放简单(2)建设成本:超融合架构只需要购买服务器设备,不再需要单独购买存储设备,该架构提供计算、存储融合服务,有效降低存储设备购买成本。(3)部署模式:存算分离架构服务器+存储分离部署灵活,后续计算和存储扩容灵活,超融合存算强绑定,后续扩容强绑定。(4)容灾架构:存算分离支持双活容灾及两地三中心部署,超融合只提供集群拉远模式。(5)增持特性:存算分离模式有相应的存储增持特性,而超融合架构只有简单的存储特性。
表1 两种部署架构对比

表1 两种部署架构对比

两类架构都有各自适用的场景。存算分离架构适合对性能要求极高的场景因为桌面云是算力密集型的产品,通过超融合架构能够灵活扩容,且满足基础的存储性能需求,因此桌面云场景推荐使用超融合产品架构。我司的桌面云节点数约4000-5000且已应用多年,评估下来适合采用超融合架构,采用华为DCS轻量数据中心解决方案,包括FusionCompute虚拟化软件、超融合基础设施FusionCube和云桌面终端产品CT3200等。

(4)云桌面使用情况反馈
经过多年实践及经验,我们总结出了三个云桌面的使用发展趋势:(1)软件化:随着无线网络的应用普及,移动办公的需求逐渐增加,越来越多的员工,习惯通过在笔记本电脑上安装云桌面客户端登录云桌面,而非传统的硬件终端接入方式。这样办公在不受场地限制的情况下,即在公司无线信号覆盖范围内,员工都可以通过安装在笔记本电脑中的云桌面客户端软件接入公司内网进行办公。(2)功能化:员工对云桌面的需求逐渐倾向于特定的功能,而非传统的办公电脑。特别是年轻一代的员工,他们更倾向于使用笔记本电脑或移动设备进行办公。为了满足这些设备无法完成的工作需求,例如数据查询、软件开发和系统测试等,员工会申请功能明确的云桌面。(3)信创化:目前国内各大厂商纷纷推出搭载国产化操作系统和全国产硬件的云桌面,云桌面功能化的属性在国产化操作系统推广过程中有一定的优势,员工可以同时通过同一台登录终端登录国产化操作系统和非国产化操作系统完成不同的工作要求。

2、物理终端部署-安全工作空间(沙箱)

通过部署零信任沙箱产品和建立零信任网络接入体系建立物理终端及移动设备的安全工作空间。终端安全工作空间(“沙箱”技术)旨在建立柔性的数据安全边界,其由终端侧的沙箱客户端为企业数据在终端设备上开辟隔离出一块安全可信的数据存储与使用环境,企业数据在其中可以被受控使用,若终端无法连接内部安全网关则沙箱客户端无法使用。既实现了“数据可用,不可拿”的效果又实现了数据防泄漏,在终端可用性和安全性方面给出了更好的技术实现方案。

通过内核级隔离,存储于沙箱容器中的数据无法被容器外的应用读取到、沙箱容器内部的应用如对磁盘进行写操作也会被沙箱容器重定向至沙箱容器专用的加密虚拟磁盘内进行保存通过整体的安全隔离保证企业数据在任意终端上不可被沙箱外的非授权应用读取到。通过在终端上严格的数据隔离,传统的复制/黏贴、截屏/录屏、蓝牙以及较新型的NFC近场通信、进程间通信、共享内存等手段均无法获取到沙箱容器内的企业数据保证企业数据在物理终端和移动设备上的存储安全。

图三 沙箱容器数据保护模型

图三 沙箱容器数据保护模型

此外为了应对权限与员工账号强关联无法判断根据终端、网络、应用等环境状态控制访问权限的现状,基于软件定义边界的模型打造高性能接入隧道,实现了对远程接入时安全隧道的双向认证以及基于用户身份、设备风险情况、网络环境等多种客观环境构建自适应安全体系,对员工接入设备、网络风险进行持续性评估适时调整用户可访问的系统资源保证应用的访问安全。通过高性能隧道建设在网络接入层保障企业应用的安全访问,结合终端层企业沙箱、原数据中心安全基础设施构建了完整的“云-管-端”一体化远程安全办公平台在符合ZTNA(Zero Trust Network Access)标准的前提下额外构建了终端企业数据保护能力,保障员工远程办公场景下的企业数据安全。

图四 “云-管-端”一体化数据保护模型

图四 “云-管-端”一体化数据保护模型

3、文件共享中间站

为了解决员工远程办公时利用各种终端设备安全、高效访问员工个人数据,采用新一代文件流转技技术打造安全文件共享文件站。共享文件站分别为VDI、PC和智能移动设备提供专用客户端大大提高员工使用体验。

VDI所有计算和数据均位于内网区域,安全文件流转网关客户端在VDI自动登陆后客户端自动在VDI挂载对应盘符的同时接管VDI常用的文件存储目录,例如Windows桌面的文档、下载、桌面;员工日常使用中对于文件的保存均通过文件网关同步至公司存储中,实现了类似Apple iCloud和微软OneDrive的效果。信创设备、PC机以及个人设备使用的沙箱客户端均整合数据共享文件站保障员工从任意设备上登录均可以按需获取个人办公数据实现员工办公数据全终端安全漫游。

同时共享文件站设计有非常灵活的备份机制,可配置副本数量以及历史副本数,可以轻易做到文件级的数据恢复大大减轻员工数据恢复的复杂度和工作量。通过共享文件站的建设,成功将VDI内的数据和用户实例进行解耦,在VDI进行快照备份时无须对员工数据进行备份大大减少了快照压力。
图五-1000用户每用户500GB容量备份对比

图五-1000用户每用户500GB容量备份对比

员工通过管理存储于共享文件站的个人文件、数据的读写权限、分发范围、生存周期等权限;文件所有人配置分发范围后文件的接收人也不可超范围共享该文件。通过对源文件分发范围的管理,保障公司内的数据均可进行源头控制,保障数据不可被超范围使用。通过共享文件站的建设,保障员工在任意时间任意地点安全、便捷地获取、使用、存储办公数据。

四、高效办公场景分享

运维研发团队致力于高效开发并确保稳定运行。以运维研发团队所提供的服务为例,证券行业的运维研发团队相较于其他行业面临着更高的稳定性要求。同时,由于需要应对大量的开发和测试任务,他们对办公效率也有着极高的期望。在综合性办公终端体系建成后,桌面云可以根据不同的应用场景,为同一员工分配各种不同的VDI(运维桌面、开发测试桌面、生产桌面等)。员工只需通过切换即可满足不同场景的办公需求,从而极大地提高个人办公效率。此外,针对各类VDI不同的使用场景,对VDI进行安全分级,根据信息安全等级结合企业特性分为红、黄、绿三种等级安全区域。生产网桌面云区属于红区,办公桌面云区和研发桌面云区属于黄区,接入区属于绿区。同时对不同区域进行安全隔离,不同安全分区之间采用物理或防火墙逻辑隔离方式,接入区被独立划分出来,并通过防火墙进行隔离。通过防火墙策略限制绿区仅能访问VDI,而不能访问任何其他企业系统。各场景VDI之间通过文件共享站实现安全的数据交换。

图六:VDI按场景使用

图六:VDI按场景使用

证券研究团队,高效保障数据协同。作为券商的核心团队,他们负责对目标企业进行调研分析并出具企业分析报告等业务。由于这些报告对标的企业的股价有很大影响,因此具有极高的机密性和重要性。为了在保证工作保密的基础上进行大量协同工作,研究团队需要实现多个设备间的数据同步与协同。无论是使用企业的标准设备、VDI还是个人设备,都可以对指定数据进行合规处理。这些数据始终在软件定义的柔性边界内,在网络上始终处于零信任网络边界内,在终端设备上始终处于终端安全工作空间内。这保障了核心数据的安全性,同时实现了个人办公协同效率的大幅提升,使得随时随地放心使用数据成为可能。另一方面,围绕研究团队的项目组可以构建一个数据协同群组,实现多人多设备对同一组数据的实时协同。项目组每个成员均在各自的终端安全工作空间内进行数据操作,原数据通过数据虚拟化技术统一汇聚归并至中间件平台上。协同过程安全灵活,数据可用性高,整个协同过程可追溯,可回滚。从而实现了多人统一的高效安全协同。

五、总结与展望

随着移动办公和信创设备的普及,传统办公模式已无法满足新场景和模式的需求。综合性办公终端体系为员工提供全终端、全场景的安全办公服务基础设施平台,满足员工在任意网络区域、任意场景使用任意智能设备高效、安全办公的诉求。未来,一体化办公终端平台将整合人工智能技术,实现更加智能化、精细化地全局效果。

协作专家:
1、史达 某证券 系统架构师
2、王朝阳 某证券 数据中心系统支持部负责人
3、李卓 某证券 云平台负责人
4、刘达 某证券 容器云架构师

顾问专家:
王洋 某大型基金公司 系统架构师

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

5

添加新评论8 条评论

pilihuopilihuo基础运维工程师江苏金旺智能科技有限公司
2024-03-30 14:44
文章从多个方面阐述了这种模式的优势,包括提高办公灵活性、降低IT运维成本、保障数据安全等,为券企业的数字化转型提供了新的思路。
whitewindmindwhitewindmind系统工程师浙商证券
2024-01-08 12:06
云桌面+文件中间站方案结合,相较传统台式机,具有非常大的优势。云桌面能够提供灵活性,用户可以随时随地访问其工作环境,有助于提高工作效率;文件中间站则提供了便捷的文件管理和共享机制,方便团队协作,符合未来办公的发展趋势
jordan_huangjordan_huang数据库架构师国金证券
2024-01-08 11:16
文章从多个方面阐述了这种模式的优势,包括提高办公灵活性、降低IT运维成本、保障数据安全等,为券商行业的数字化转型提供了新的思路。
MumingMuming软件开发工程师街道办
2024-01-05 18:59
文章从办公终端的不足与痛点切入,分析了构建综合性终端办公体系的核心要素,通过深入浅出的分析给出了更适用于自身实际需求的云桌面超融合部署方案,并结合物理终端-安全工作空间解决方案,在保证安全合规的前提下,有效的解决了企业员工在多种场景下的办公需求,提升的云办公的用户体验,结合采用新一代文件流转技技术打造的安全文件共享文件站,使多种办公接入方式有机的融合为一体,这不仅有利于应对多种复杂环境下云办公诉求,更能够有效提高个人办公效率。在当前国产替代和信创背景下,文中所提到的建设方案,具有广泛的借鉴意义。
lizzzlizzz系统架构师国金证券
2024-01-05 09:22
文章介绍了证券公司桌面云架构的典型案例,为行业内的桌面上云提供了全方面的介绍,通过计算、存储、网络和安全,结合证券公司办公桌面环境的场景和需求,做了升入浅出的技术分析和场景分享;方案中通过使用超融合技术来构建高效的IT架构,满足不同业务场景的需求,提高业务效率和安全性;在证券行业内加速数字化转型和业务创新的大环境下,通过超融合技术,证券公司可以快速构建私有云资源池,支持多种业务场景的需求,如生产与容灾加固、开发测试、容器云、桌面云等。方案中的存算分离模式能够更加灵活的进行存储和计算资源的配置;在网路和安全方面,云桌面和零信任技术深度结合,提供了端到端的安全管控,提升了数据流转的安全性,对于证券公司来说,有助于减少客户数据泄露的风险,并确保公司数据的安全性,满足证券公司风险控制和合规要求;
wykkxwykkx系统架构师某基金公司
2024-01-04 20:33
本文优点: 本文内容逻辑通畅,结构清晰,深入浅出,从行文的框架和细节的内容可见作者对行业痛点的理解切实到到位,可见是真正有实战经验的,并非理论派。通过通读本文,确实对于没有相关项目建设经验或者建设经验不足的读者能够带来较大帮助,是一篇比较难得的上品。 建议优化: 基于作者丰富的实战经验,建议更多的增加一些在“云桌面+物理终端+文件共享中间站”实践中的一些坑,例如对于有GPU需求的场景,应该如何建设VDI的资源池;信创场景下交易类软件的适配性问题如何解决,信创场景下交易类软件的适配性问题如何解决,信创场景下wps对于excel中脚本的兼容性问题如何优化等,如果能能够再增加一段是针对各种“坑”的发现与解决,那么相信该文章能够给读者带来更大的收益~
royalwzyroyalwzy技术经理海通证券股份有限公司
2024-01-04 16:35
通过打造综合性办公终端体系,为员工提供了全终端、全场景的安全办公服务基础设施平台,从而满足员工在任意网络区域、任意场景使用任意智能设备高效、安全办公的诉求。很好的行业经验。
护柳使者护柳使者业务经理申万宏源证券
2024-01-04 15:43
文中对云桌面的三个使用发展趋势软件化、功能化、信创化总结的非常精准。尤其是对于信创化,目前诸多金融企业已经着手使用信创CPU底座+信创桌面云+信创桌面(统信、麒麟等)替换原非信创Intel底座+VMware/Citrix桌面云+Windows桌面的解决方案,结合员工的信创登录终端,从而实现全面且彻底的企业云桌面信创化。 但信创桌面的生态建设、架构安全防护一直相对薄弱,信创终端的软件主要分为通用性软件和定制化软件,但在当前贫瘠的信创生态下,真正能拿来即用且完全满足使用需求的通用性软件很少,大多数软件需要定制化开发或基于商业通用性软件进行二次开发。为解决此方面问题,个人认为应该1.企业内或行业内成立专职的信创终端公关团队:产品经理团队、研发团队、测试团队和运营团队,行程技术闭环;2.从工具链角度如办公工具、研发用具、辅助工具、数据库管理工具、远程连接工具、设计工具对信创终端软件进行攻关适配;3.应扩大信创云桌面应用场景和范围而不止局限于技术团队,应充分调研行政、人力、财务、法律等部门的办公需求,制定专项解决方案,做到信创终端的真替真用;4.填补信创终端安全防护软件的空白,例如如何实现入网检测、威胁检测、自动化处置等。
Ctrl+Enter 发表

本文隶属于专栏

最佳实践
不同的领域,都有先行者,实践者,用他们的最佳实践来加速更多企业的建设项目落地。

相关文章

相关问题

相关资料

X社区推广