目前,桌面虚拟化技术已经在各行业得到广泛的推广应用,展现出其独有的优势。于是,市场中各类桌面虚拟化技术蜂拥而起,让业界难辨其价值所在。如何认识桌面虚拟化?怎样为单位选择恰当的虚拟化技术?成为单位信息化部门越来越需要面对的问题。下面笔者从桌面虚拟化技术本身入手,针对军工行业桌面虚拟化技术应用做个简单分析。
一、桌面虚拟化技术分析
桌面虚拟化概念始于本世纪初期,从概念到解决方案,再到技术形成是在短短的几年内就完成的。桌面虚拟化技术的前身是从不同的技术领域产生、发展直至成熟。远程桌面和桌面操作系统虚拟化就是桌面虚拟化的前身。经历了几代的发展目前的桌面虚拟化开始更关注实际应用价值,从而分离出VDI和VOI两个发展方向。
VDI模式最早为Vmware提出,它是基于早期的RDP协议和瘦客户机逐步演变而来,也是国外Vmware等国外虚拟化厂家长期鼓吹的模式。VDI旨在为智能分布式计算带来出色的响应能力和定制化的用户体验,并通过基于服务器的模式提供管理和安全优势。它能够为整个桌面映像提供集中化的管理,但这一模式也存在着其固有的问题。主要表现为:因其利用硬件仿真及瘦协议,使得视频、Adobe Flash、IP 语音(VoIP)以及其它计算或图形密集型应用不适用于该模式,而且VDI 需要持久的网络连接,因此不适于要求离线移动性的场合。此外,其基于服务器的模式对服务器的配置有极高的要求,这些问题的存在不能不让众多的用户重新考虑部署VDI的实际意义及成本。正因为如此,桌面虚拟化厂商开始考虑另一条道路,即VOI架构的桌面虚拟化。VOI架构桌面虚拟化的诞生天生就是为了补充VDI的不足,VOI 即(Virtual OS Infrastructure)构架的实现,从桌面应用交付提升到了OS(操作系统)的标准化与即时分发,与传统的VDI 设计不同之处在于终端对本机系统资源的充分利用不再依靠于GPU 虚拟化与CPU 虚拟化技术,而是直接在I/O 层实现对物理存储介质的数据重定向,以达到虚拟化的操作系统完全工作于本机物理硬件之上,从驱动程序、应用程序到各种设备均不存在远程端口映射关系,而是直接的内部址。因此杜绝于VDI 目前所存在的服务器与网络消耗大,以及软硬件兼容性问题。
二、军工行业桌面虚拟化应用
随着国防信息化的快速发展,军工企业开始应用多种新技术,这其中就包括目前发展迅猛的桌面虚拟化技术。军工企业及国防科研单位,信息安全及保密至关重要,但涉密网内众多安全产品和软件的应用加大了涉密信息系统的复杂性。在虚拟化技术尤其是桌面虚拟化技术迅速发展的背景下,如何实现军工涉密网利用桌面虚拟化替代原有传统终端,提升军工企业信息化管理和运维水平,并保证军工企业业务连续性及信息数据的安全是一个巨大的挑战。
在运维与安全方面桌面虚拟化具有先天的优势,桌面虚拟化集中化管理的特点使得终端运维和安全问题几乎完全集中到服务端。特别要指出的是,VDI模式的桌面虚拟化完全改变了传统终端的运行和管理模式,这既是优势同时也带来另外的问题。这种革命性的变化使传统的安全管理、测评和检查制度无从落脚。如何在当前的信息化安全管理制度下充分发挥新兴的信息化技术优势,更好地保障军工涉密行业信息系统安全并实现简化的运维,成为越来越多的桌面虚拟化厂商及信息安全从业者思考的问题。
VOI是一种基于客户端的桌面虚拟化,VOI的设计者不仅仅看到了VDI在当前现实环境中遇到的各类应用问题,也很现实的考虑到了桌面虚拟化生存发展的制度环境,在创新和继承中找到适合自身存在发展的位置。VOI桌面虚拟化技术特点概况来讲主要为以下几方面:
1.高性能
VOI模式桌面虚拟化充分利用前端设备硬件资源,而不再是利用服务器仿真终端硬件资源,这使得虚拟化平台具备了良好的性能。完全可支撑图像及计算密集型应用,也可流畅运行高清视频,这对于任何任务型工作人员来讲都是首要关注的一方面。
良好的性能使桌面虚拟化技术的推广和应用具备了更坚实的基础。这一特点绝不仅仅是涉密单位关注的重点。
2.集中管理
集中交付、集中管理是利用虚拟化技术简化运维的基本手段,VOI继承了这一特点,不同的是VOI更彻底的从操作系统层进行了接管,为不同的终端交付不同的操作系统及应用,这使得终端具备了独立的特性。集中的平台发布,集中的策略管理,使得终端运维实现了零接触管理。
3.合规性
合规基线是VOI在合规性方面的一个开拓,VOI通过系统、应用的集中交付,终端的集中安全加固以及安全策略集中应用,实现军工及涉密单位安全基线的搭建。安全基线的建立使得军工涉密单位合规性的实现变得简单快捷,且可保证合规的全面和完整性。另外,VOI架构下保持终端独立的特点,完全满足目前军工涉密单位的等级和分级各类检测要求,VOI的应用不会冲击目前涉密行业的安保制度,反而有助于各项制度的快速、全面落实。
4.成本控制
目前对虚拟化在成本控制方面的情况有多种分析,有人认为桌面虚拟化(VDI)不仅不能实现有效的成本控制反而会造成投入的大幅提高,也有人认为在经过大规模长期应用后桌面虚拟化才会展现其在成本控制方面的效果。但实际上在应用了VOI架构桌面虚拟化后,其在成本控制方面的效果非常明显。
首先,VOI在终端硬件方面可支持绝大多数现有的计算机硬件,因此其在终端方面具有很好的利旧及多选择性,这使得用户可在终端硬件采购方面大幅缩减投入。
其次,VOI对服务器的要求极低,与VDI比较甚至只需要其服务器投入的十分之一。另外,VOI对网络基础架构无需改变,在不理想的网络状况下仍然可以运行且支持离线应用。
三、军工涉密网络桌面虚拟化部署
基于VOI架构的和信桌面虚拟化产品,能够利用VOI虚拟化技术特点更好的满足涉密网对信息安全的高要求,特别是对以下几方面的产品的部署上:
1.身份认证、审计系统、准入控制
安全性增强系统均需要同虚拟系统进行端口与介质兼容,VOI桌面虚拟化产品直接在I/O 层实现对物理介质的数据重定向,以达到虚拟化的操作系统完全工作于本机物理硬件之上。从驱动程序、应用程序到各种设备均不存在远程端口映射关系,而是直接的内部址,杜绝了VDI 目前所存在的服务器消耗大及软硬件兼容性问题。传统基于VDI架构的桌面虚拟化由于其采用硬件仿真技术,无法对各类别安全外设做到完美的硬件兼容,而基于VOI架构的桌面虚拟化,是基于服务端的远程虚拟OS、APPS、UserProfiles的按需交付,利用本地资源来实现可支持各种计算机外设,以适应复杂的应用环境及未来的应用扩展。考虑到以后审计系统的应用扩展问题,必须要求虚拟系统能够兼容审计系统的客户端程序,如此涉及到虚拟系统的底层程序更改问题,相对国内厂商的定制开发,国外虚拟化厂商绝不会为某个客户进行底层程序的更改。
2.系统更新及防病毒软件
杀毒软件经常会出现病毒库没有及时升级,或系统更新失败导致崩溃蓝屏等问题,致使安全检查无法通过。通过使用基于VOI桌面虚拟化系统,能够极大简化管理员对于病毒库更新、系统补丁更新等操作,节省大部分管理时间与成本。
3.设计软件
设计部门需要使用诸如CAD、PRO/E等工程设计软件,基于VDI架构的桌面虚拟化因其利用硬件仿真及瘦协议,使得视频、Adobe Flash、以及其它计算或图形密集型应用不适用于该模式,而基于本地硬件资源的VOI桌面虚拟,能够很好的利用本地显卡、CPU、内存等资源以处理计算及图形密集型应用。
4.数据存储、备份
数据选择存储于网络数据中心,本地虚拟系统启动后,会为登录系统的域账户自动挂载所属虚拟数据盘,确保本地不留密,数据要隔离的保密标准,通过使用和信VOI虚拟个人磁盘模块,可以实现个人数据无论是在网络数据中心还是传输过程都得到安全保障。
基于VOI桌面虚拟化的出现,可有效的解决终端系统、应用和数据等复杂的安全规范、安全保护以及运维管理等难题。桌面虚拟化在涉密网部署首先要与原有各安全系统兼容,如身份认证、审计、防病毒软件、安全打印等软硬件,同时要实现细致的个性化配置如对注册表、系统日志等内容的个性保留,以满足涉密行业安全相关规范。
VOI桌面虚拟化可完全适应军工涉密行业的各类苛刻需求,在不改变原有IT架构的前提,充分发挥虚拟化技术的优势。既可帮助军工行业快速、简捷的实现终端合规性,保障军工行业业务连续性及涉密信息安全性,也可大幅度简化终端运维,大幅缩减军工行业信息化成本。
桌面虚拟化技术利用创新改变着传统IT模式,然而模式的变革需要在现实的基础上逐步完成,VOI选择了在创新与继承中不断平衡,利用创新技术、理念更好的把握现实需求。