Citrix集中运维监控解决方案

Citrix集中运维监控解决方案GaryPeng电信行业售前工程师gary.peng@citrix.com目录运维监控业务场景分析12Citrix集中运维监控方案3Citrix运维监控成功案例运维监控业务场景分析网管运维场景五花八门的接入方式人员流动大多厂家维护中心DCN短信彩信WAP华为中兴DCN能耗大，空间小•接入方式•本地接入•携带电脑本地接入•电脑带进机房操作•通过堡垒机操作•安全操作中心操作•远程接入•VPN，电话拨号•掌握系统账号口令•维护人员•内部人员•第三方人员•代维人员•厂家人员•开发人员•维护工具•厂家专用•维护人员习惯的•管控手段•网络准入控制•防信息泄露网管运维之安全问题5公司员工IT资源出差员工远程第三方维护人员现场的第三方维护人员维护通道明文传输维护操作内容无人知晓敏感信息容易拷贝到维护终端口令被多人知道维护接入途径五花八门•数据可控，数据不落到维护终端上•口令不知，维护人员无需知道维护对象的口令•操作可见，重要维护操作的实时监控•事后可查，可对操作进行录屏，事后查找和录像回放•权限细分，维护人员只能使用必要的维护工具进行维护•统一接入，必须通过维护管理平台接入维护•集中管理，集中管理维护工具，集中部署升级•安全认证，支持双因素认证和动态短信认证•系统开放，可以与网管平台和安全管控平台集成网管维护关键需求网管监控场景•各专业系统网管终端，一人需要使用多台终端•监控大厅空间有限，监控终端后移到机房•KVM远程访问，KVM切换查看本地和远程多台终端画面•区域分为监控大厅、投诉区、会议室•每坐席配一个本地终端，可以看到N个远程终端的画面，并自由切换画面和对远程终端进行操作•监控大厅的值班长可看到核心、数据、传输网的所有远程终端•KVM问题•应用规模太大，采用分级结构•模拟KVM方式上下级级联存在通道数限制的问题•业务问题•网络监控是按专业划分的•某专业发生故障，该专业的终端太少，其他专业终端空闲网管监控存在问题•采用虚拟化方案替换KVM方案•1个坐席用户一个本地终端，本地终端个性化要求较高•1个坐席用户能非同时看到远程N个终端的画面，并且可在各个画面间快速切换•N个坐席能同时看到远程1个终端的画面，可轮流获取对于PC画面的控制操作权•超级用户（监控值班长）能看到所有的监控坐席的远程画面•多个本地显示器可同时看同一个远程终端的画面•N个终端的画面可以在1个终端画面上平铺显示，并投影到大屏幕上网管监控需求Citrix集中运维监控方案共享桌面/应用可扩展价格低廉VDI个人VDI物理3D工作负载和PC远程接入流OS实验室和学校Windows应用和数据FlexCast同一架构下的多种桌面交付技术Citrix两种主流的桌面虚拟化方案Windows2008XenDesktop服务器服务器Windows2003/2008XenAppAppAppAppDesktop客户端(瘦终端/PC/手机/平板)虚拟桌面应用发布服务器CitrixXenServer虚拟机XP/Win7App虚拟机XP/Win7App虚拟机XP/Win7App并发用户数维护复杂度投资系统隔离性外设兼容性适用场景应用发布高低低低低无需个性化安装软件的场景，可屏幕录像，适用于网管运维虚拟桌面低高高高高适用于有复杂外设需求、个性化软件安装、程序开发场景，适用于网管监控XenApp和XenDesktop的业界领导地位所有后台应用系统部署在数据中心服务器所有应用客户端在交付平台上运行终端仅接受交付平台上应用运行的屏幕画面Citrix桌面虚拟化方案原理—“数据可控”，“集中管理”应用服务器后台应用系统数据中心桌面/终端登录应用交付平台访问应用桌面虚拟化：在后台服务器上安装Windows桌面系统，用户登录虚拟交付平台使用后台服务器上的Windows桌面。应用虚拟化：将后台服务器上安装的应用系统客户端在虚拟交付平台上发布，用户登录平台访问后台应用时，应用系统客户端运行在平台上，而不是运行在用户的本地终端上。交付平台发布后台应用客户端服务器虚拟化：在物理服务器上部署Hypervisor，将物理服务器划分成多个逻辑服务器，并实现更好的韵味管理。网络优化：对广域网传输进行加速优化，实现最佳的传输体验和安全专利ICA协议:高效管理的远程桌面传输协议Page15…桌面云选用业界最成熟的ICA协议，数据在送往虚拟通道前进行了压缩处理，不但能有效节省带宽达到30%以上，而且比传统PC连接速度更快！每个虚拟通道可以单独激活或关闭，对业务发放进行管理。虚拟通道支持应用控制管理，如流媒体应用，文件共享等。基于ICA协议的虚拟通道相互独立的端口映射可单独关闭和激活连接速度更快、安全性更高、管理性更强、支持更多外设PasswordManager实现“口令不知”WindowsWebHost…一次主登录SmartCardBiometricTokenOptional…多个应用自动二次登录•“会话重影”实时监控•对远程维护和关键操作进行实时监控•双人操作，避免误操作“会话重影”实现“操作可见”SmartAuditor录像操作实现“事后可查”监控可疑操作为法务提供录像证据应用出错快速分析屏幕录像数字签名保证录像安全File文件大小-高负荷交互051015202530应用录像(8Hrs)文件大小(MB)WebDesktopAWebDesktopBWordExcelInternetExplorerPowerPointSmartAuditor减少存储空间27MB•极少的资源占用，录屏过程中CPU占用1%-2%•SmartAuditor是对ICA协议里的显示通道进行记录，压缩后的变化量或GDI指令NetScaler实现“统一接入”，远程安全接入CitrixNetScaler/AccessGateway™是唯一能够提供应用程序级别访问控制的远程访问安全网关解决方案，更安全更快速智能访问控制SmartAccess最佳性能和扩展性易于部署和使用•NetScaler内置支持RSA/Safeword双因素认证•配合短信网关，NetScaler可实现动态短信认证安全接入认证跨两个安全区域（DMZ）的安全接入方案策略评估•Pre-AuthScans•SessionPolicyExpression•SessionProfileClientSecurityCheck结合安全访问网关的SmartAccess，“权限细分”AuthenticationWISSOTransactionSmartAccesscriteria•PolicyName•VServerNameXenAppfiltersbySmartAccesscriteria•PublishedApps•XenAppPoliciesXenAppApplicationandPolicyResults细粒度的会话控制策略，多种过滤条件•USB设备会话策略•语音会话策略•使用界面会话策略•文件重定向策略•多媒体会话策略•端口映射会话策略•图形会话策略•打印资源会话策略•会话带宽策略近百个桌面会话管理策略，丰富了管理手段，有效控制用户桌面行为，如用户不能拷贝文件、总带宽不能超过规定值等。•支持多种虚拟化平台•支持各种终端设备•标准协议和管理平台支持(SNMP/SCCOM/Tivoli/HPOV)•提供全面的API/SDK开发接口•XenAppManagementSDK(MFCOM)•XenApp6.5MobileApplicationSDK•HealthMonitoringandRecoverySDK•XenApp6PowerShellSDK•SimulationAPISDK产品开放，易于集成•WebInterfaceSDK•ICAClientObjectSDK•VirtualChannelSDK•NetScalerOS9.1API•AccessGatewayEndpointAnalysisSDKThepowertosay“yes”tonewdevices任何设备，任何时间，任何地点使用平板电脑进行远程维护监控哇，可以用平板电脑进行维护监控啦！为运维监控提供端到端的安全保障•仅传输键盘、鼠标、打印等信息及屏幕变化信息，不传输业务数据传输协议ICA的安全性•记录用户操作的实时状态“录像”，以便于审计和监管审计操作录像•安全访问网关Netscaler提供集成的SSLVPN方案和SmartAccess智能的访问和行为控制安全的应用访问•可实现细粒度的访问策略控制，各虚拟通道开关•单向文件拷贝策略化控制•集成应用单点登录的功能，方便用户账号的管理应用的单点登录•集成动态短信密码、智能卡、RSASecurID等用户认证机制，可实现与用户账号密码的集成认证双因子用户认证•采用虚拟化方案解决KVM问题•应用发布+VDI•某些终端处理性能高（如GIS图形处理能力）•采用RemotePC交付技术•部分设备自带终端与设备紧耦合•采用RemotePC交付技术•坐席能够看到多个专业网管并快速切换•定制多桌面连接程序，同时打开多个虚拟桌面网管监控典型问题解决方案Citrix运维监控成功案例•XX移动安全操作中心SOC案例•XX移动安全管控平台4A案例•XX公司全球远程维护系统案例•信息泄漏的安全风险•终端直接接入各应用系统，容易导致信息泄漏的安全风险•缺乏审计和录像，当出现安全事件时无法追溯源头•缺乏集中管理•缺乏权限集中管理，无法对所属应用权限进行细化•缺乏应用集中管理，无法统一发布，灵活性差•缺乏审计、录像集中管理，无法快速定位事件XX移动网络运维管理接入的业务挑战•采用CitrixXenApp应用发布技术，把OA、Portal、业务需求平台、BOSS等应用集中发布给用户使用•用户终端只需要安装一个插件就可以通过各种智能终端远程访问内网的办公系统和应用•通过应用发布的方式，用户访问的OA、Portal、业务需求平台、BOSS等应用都运行在服务器端，用户把本地键盘和鼠标信息传送到服务器上，服务器上得到响应后把应用的画面通过高效率的加速协议呈现到用户面前解决方案•10台物理服务器•安装XenServer•36台XenAPPVM(4vCPU,8GBRam)•2台AD及文件服务器VM方案拓扑图客户端接入应用，所有的操作、数据全部集中在公司内网的后台服务器上，在用户的PC上不保留任何内部应用的信息，用户看到的只是运行在后台服务器上的应用的影像变化界面，并对用户操作进行审计及录像，从根本上保护了数据信息的安全实现效果一:有效防范信息泄漏安全风险实现效果二:统一管理•维护接入集中管理•权限集中管理•应用集中管理•审计和录像集中管理所有的操作都是可控，可追溯的，既达到安全管控的要求，也令管理、操作更有效率网络设备C/S应用系统主机系统数据库安全设备字符网关CitrixXenApp图形网关B/S应用系统本地维护用户远程维护用户Netscaler安全网关Telnet/SSHFTP/SFTPB/SC/S访问日志采集认证请求认证反馈授权集中认证服务器日常维护区4A安全管控平台核心生产区唯一主帐号强身份认证唯一通路集中审计SmartAuditorXX移动安全管控平台•CitrixNetscaler作为互联网安全接入网关•CitrixXenApp构建图形网关功能，实现B/S,C/S应用的安全访问和审计•采用SmartAuditor进行用户操作审计，大大节省审计存储空间实现单点登录和短信密码认证内网连接区域VPN接入区域VPN认证区域4A平台VPN帐号推送LDAP短信网关公网Xenapp主帐号同步VPN帐号鉴权CitrixSSLVPNAD域/LDAP主帐号RSA认证服务器XenappXenapp内网连接区XenappXenappXenappVPN帐号鉴权透传认证透传认证公网网管网单点登录单点登录CitrixSSLVPN网管网外部互联区4ADMZ区VPN接入区域集中认证CASP(统建VPN)集中认证CASP(网维VPN)VPN用户SSLVPNXenAppCASPAD域/LDAP4Aportal1、用户输入