启明星辰“应用虚拟化”产品为四川移动4A运维平台添砖加瓦

作为云计算的基础支撑,虚拟化技术主要包含服务器虚拟化、应用虚拟化、桌面虚拟化、网络虚拟化,在电信行业中,由于用户对业务系统连续性和稳定性的要求非常高,对于虚拟化技术往往报以谨慎的态度,在实际使用中更多的是在云端使用应用虚拟化技术。下面我们来看看在四川移动中运维平台中应用虚拟化的使用。

随着四川移动业务系统的迅速发展,各种支撑系统和用户数量的不断增加,信息安全问题愈见突出,原有的管理措施已不能满足目前及未来业务发展的要求。主要表现在以下方面:

  • 企业网中有大量的网络设备、主机系统和应用系统,分别属于不同的业务系统。并且由相应的系统管理员负责维护和管理。当维护人员同时对多个系统进行维护时,工作复杂度会成倍增加。
  • 应用系统的增多,使用户经常需要在各个系统之间切换,切换时都需要输入用户名和口令进行登录。给用户的工作带来不便,影响了工作效率。用户为便于记忆口令会采用较简单的口令或将多个支撑系统的口令设置成相同的,危害到系统的安全性。
  • 不但各个系统单独审计,即使同一系统中的每个网络设备,每个主机系统,每个业务系统及每个数据库系统都要分别进行审计,缺乏集中统一的系统访问审计。无法对所有系统进行综合分析,不能及时发现违规行为。

启明星辰公司集自身在运营商行业积累的多年安全建设经验,整合自有的多个安全产品,形成了一套完整的4A运维平台解决方案。以各种资源(应用及系统)的集中访问控制和审计为目标,统一了用户账号(Account)管理、认证(Authentication)管理、授权(Authorization)管理和安全审计(Audit)四要素,涉及的系统包括BOSS、BI、OA、MIS等各个业务系统、网络设备、主机和数据库系统等。

在4A运维平台方案的设计过程中,由于在客户环境中存在着命令行、Web访问、C/S访问等多种访问方式,如何将运维人员对各种系统的访问行为进行归一化管理并且保证数据传输速度,成为了必须要解决的难题。

经过我司研发人员的努力和研究,最终研发了基于“应用虚拟化技术”的天玥堡垒主机来克服这个问题。

应用虚拟化技术是源于微软的远程桌面技术(RDP)演变而来,与RDP不同的是应用虚拟化提供为用户提供了B/S的访问方式,使得用户能够在本地并不安装任何应用的条件下,能够跨平台、跨操作系统、跨浏览器远程使用服务器上的各种应用。这种技术是将目标机上运行界面传输到用户实际的 操作机屏幕上,并将键盘,鼠标等一系列的外设输入,传输到目标机,实现交互。

堡垒主机的产品原理如下图所示:

 

 

其核心进程为常用协议的代理,目前支持的代理如下:

  • Telnet代理
  •  SSH代理
  •  FTP代理
  • SFTP/SCP代理
  • RDP代理
  • VNC代理
  • 应用发布代理

四川移动的多个运维节点均部署了天玥堡垒主机。在系统中,给每一个维护人员建立唯一的自然人账号,配置要管辖的主机资源,建立主机的资源账号,根据业务需要,配置访问控制策略,每个人能以什么身份访问主机,建立自然人与主机账号的对应关系。

用户要登录某台需要运维的主机或设备,首先通过Web方式登录到天玥系统,天玥根据登录用户的权限,提供该用户所能访问的主机与网络设备的列表;用户选择要维护的主机,根据用户在该网元设备上的帐号权限,完成后续的登录过程;用户方可使用该网元设备。用户在目标设备上的所有操作命令以及命令输出均由天玥来进行记录。

同时,堡垒主机可实时监视网络系统的运行状态,记录网络事件,发现安全隐患,并对网络活动的相关信息进行存储、分析和审计回放。

堡垒主机是采用“旁路部署、逻辑串行”方式接入网络,通过路由策略来限制天玥成为用户访问网络资源的唯一入口。在网络中的部署示意图如下:

基于应用虚拟化技术的天玥堡垒主机,为用户实现了以下价值:

  • 结合4A运维平台,为企业搭建了集成多种应用集中管理的平台;
  • 应用虚拟化基于B/S方式实现,符合IT发展趋势,安装使用简单;
  • 无需修改应用即可将C/S应用架构转化成为B/S应用架构;
  • 简化企业应用系统的安装、部署、维护过程;
  • 提供了跨设备、跨系统、跨网络的协同运维能力;

笔者相信,随着云计算的日趋成熟,服务器虚拟化、存储虚拟化等技术将会得到大量应用,由此而构建出办公云、运维云、增值业务云等多种属性的云;而应用虚拟化、桌面虚拟化将持续为云端用户提供更好的交付和用户体验。