《2008客户解决方案案例分析》由会员分享,可在线阅读,更多相关《2008客户解决方案案例分析(5页珍藏版)》请在金锄头文库上搜索。
1、Windows Server 2008 客户解决方案案例分析客户解决方案案例分析 养老金管理公司推进 IT 安全性, 应用安全的 HTTP 协议替代虚拟专用网络 (VPN) “通过部署 Windows Server 2008 的终端服务,我们公司网络变得更加安全,不会再有未受 管理客户访问我们的公司网络。 ” Immanuel Noorman,PGGM 信息通信技术架构师 总部位于荷兰宰斯特(Zeist)的 PGGM 公司管 理着超过 900 亿欧元(约合 1300 亿美元)的各类资 产。数年来,PGGM 的公司员工惯于使用虚拟专用 网络,从远程站点访问企业 IT 资源,但 VPN 在提供 方
2、便的同时也引入了安全隐患。感染了病毒的工作 站可能轻易感染整个公司网络,如果将敏感数据下 载到不受管理的工作站上,则可能导致这些数据的 泄露。2007 年,PGGM 使用由 Windows Server 2008 操作系统终端服务支持的、基于 Web 的解决方案, 来替代其旧的 VPN 解决方案,该解决方案允许工作 站使用 HTTPS 协议连接位于企业防火墙之后的数据 和应用程序。这一解决方案为 PGGM 带来了收益, 推动了企业的 IT 安全性和雇员的生产能力,简化了 系统管理,并使得员工能够更为方便地访问他们所 需要的资源。 案例案例状况状况 PGGM 为超过两百万在职或退休的荷兰医疗保健
3、和社会工作部门的雇员, 提供退休金保 障。该公司拥有大概 900 亿欧元(约合 1300 亿美元)的受管理资产,这些资产分布于全球 资本市场、固定收益保险、实际不动产、私人资本以及商品等。公司在荷兰包括总部 Zeist 在内的四个工作点雇佣了大约 1000 名员工。 大多数员工的办公地点是在 PGGM 公司办公室,但仍然有超过 50 名的雇员由于管理者 公司外部的资产等原因, 长时间在荷兰等非公司所在地的办公室工作, 这些移动的员工依赖 于移动电脑和虚拟专用网络(VPN)来访问 PGGM 公司的网络资源。另外大约有 150 名雇员 从家里或者其他地方使用 VPN, 访问他们在办公室内的桌面电脑
4、, 此外大约还有十个第三方 公司使用 VPN 来访问退休金信息。 管理员的主要工作就是保护这些移动工作人员使用的移动电脑, 确保他们拥有最新的防解决方案概述解决方案概述 国家或地区:国家或地区:荷兰 所属行业:所属行业:金融服务 客户信息:客户信息:总部位于荷兰的宰斯 特(Zeist) ,PGGM 为超过两百万 人员提供养老金服务,该公司拥 有超过 1000 名雇员。 业务现状:业务现状:远程雇员通过企业虚 拟专用网络来访问 PGGM 公司的 网络,由于不受管理的桌面带来 的安全风险,PGGM 希望能够部 署更为安全的远程网络访问解决 方案。 解 决 方 案 :解 决 方 案 : PGGM 通
5、 过 基 于 Windows Server 2008 的解决方案 来替代其之前应用的虚拟专用网 络, 该解决方案提供了基于HTTPS 的、对 PGGM 网络的直接访问, 同时帮助组织不安全的客户端连 接到企业网络。 收益:收益:病毒和防火墙防护。尽管如此,这些雇员们所使用的工作站是未受管理的,他们从家里或者 其它远程地点使用 VPN 访问公司资源时,管理员由于缺乏系统控制权限,无法了解这些计 算机上是否安装有防病毒和防火墙程序, 更无法确保它们是否最新的。 一个受感染的系统在 使用 VPN 连接到企业内部网络时,它可能会将病毒或蠕虫快速传播到整个企业网络当中。 数据集中性是另外一个受关注的话题
6、,为了能够从远程地点工作,雇员们从 PGGM 网 络下载数据到他们的工作站,但是,如果雇员防火墙或者防病毒服务存在问题的话,那么从 PGGM 网络下载的敏感数据就可能被泄露。 VPN 还有另外一个挑战。 为了从远程站点连接到企业网络, 雇员的工作站必须要安装一 个 VPN 客户端。安装这样的客户端需要一定的时间,而且还可能需要管理员的技术支持与 帮助。另外,如果一个雇员碰巧在偏远的位置,而又没有 VPN 客户端访问他们的系统,那 么他们无法访问企业网络。而且,管理员需要帮助员工维护他们的远程系统,以维持它们的 更新,例如微软 Office Word 2003 和自行开发的业务程序等,这些通过
7、VPN 访问并不容易的 生产性应用程序。 尽管 PGGM 已经多年使用 VPN,没有出现什么大问题,但企业的 IT 专家们还是在不断 寻求更简单和更安全的方式来实现远程访问。2007 年 1 月,PGGM 了解到 Windows Server 2008 操作系统中的终端服务,能够解决 PGGM 遇到的所有远程访问问题, “Windows Server 2008 中的终端服务解决方案一下子就引起了我们的注意” ,PGGM 信息通信技术架构师 Immanuel Noorman 解释道, “它允许用户从任何远程地点连接到 PGGM 的网络,同时能够 避免由不受管理的客户端所带来的风险。 ” 解决方案
8、解决方案 终端服务可以让用户使用远程桌面协议(RDP)和 Https 连接远程到特定的网络资源, 如位于企业网络环境当中的工作站等。 终端服务管理员可以指定远程用户可以访问的网络资 源,管理员还可以使用 Windows Server 2008 为远程客户端定义网络访问保护(NAP)健康 策略,只有符合健康策略的工作站才能够访问特定的资源。 任何已授权并与 Internet 连接的设备,只要它运行了远程桌面连接 6.0,那么终端服务 就能够与之通信。远程桌面连接 6.0 是一个 Windows XP SP2 和 Windows Vista 操作系统中嵌 入的插件。当连接创建以后,远端的员工就已经
9、在使用 PGGM 网络内的计算机进行工作, 而不需要通过 VPN 将数据下载到本地进行工作。 2007 年 6 月,PGGM 决定在企业网络环境中部署 Windows Server 2008 终端服务,并聘 请了微软服务部门的顾问协助部署。一位来自 PGGM 的架构师和一位来自微软服务部的顾 问,他们为终端服务网关的部署确定了构想和范围。2007 年 8 月,该团队设计了解决方案 的基础架构,并在五台具有英特尔双核处理器的 HP ProLiant BL480c 刀片服务器上搭建了实 验环境。 这五台服务器都运行了 Windows Server 2008 企业版 32 位操作系统, 并且配置了终
10、端服 务角色,用以管理不同的服务。比如,其中的两台运行终端服务网关服务,远程用户通过它 可以连接位于 PGGM 网络环境中的资源。 微软 Internet Security and Acceleration (ISA) Server 2006 企业版这些网关发布到 Internet,同时实现网络负载平衡。 另外两台服务器运行终端服务远程应用程序,这些系统安装了桌面应用程序,如微软 Office 专业版 2003 以及 Adobe Acrobat,远程用户将会使用这些应用程序。当一位远程雇员 创建了一个基于 HTTPS 的连接以后,他就能够运行一个应用程序,如安装于终端服务器上 的 Micros
11、oft Word,尽管应用程序与在本地运行没有区别,但它们实际上是在位于 PGGM 网 络环境中的终端服务器上运行的。 剩下的一台服务器运行了终端服务器认证服务, 该系统为连接到终端服务器的设备和用 户, 管理终端服务客户端访问认证。 此外, 终端服务认证服务也适用于负载平衡的会话管理。 2007 年 9 月, 该团队部署为 40 个首批用户部署这个新环境, 其中包括部分 IT 人员。“我 们在使用 Windows Server 2008 终端服务规划和部署我们的终端服务业务环境的过程中,没 有遇到任何大的挑战,进行的非常顺利” ,Noorman 介绍说。 在接下来的数月时间里, PGGM 期
12、望能够为所有工作在远程地点的员工部署新的解决方 案。 此外, 该公司将在下一年的早些时候, 将更多的服务器计算机迁移到Windows Server 2008 平台。相关的计划还包括部署微软 SoftGrid 应用程序虚拟化和微软 Office 专业版 2007 等应 用。 SoftGrid 应用程序虚拟化与终端服务器协同工作使 得所有员工能够集中访问应用程序。最终,员工们不 再需要在他们的工作站上安装、运行应用程序,而只 需要从中央存储库访问虚拟化的应用程序。 收益收益 通过部署基于 Windows Server 2008 的终端服务, PGGM 增强了企业 IT 安全性,提高了员工生产性,增
13、 强了资源访问能力,简化了系统管理。 增强企业增强企业 IT 安全性安全性 虚拟专用网络(VPN)带来了多种安全风险。未受管理的桌面可能影响网络,而且存储 于 PGGM 外部网络的数据是不安全的。现在,与健康策略不匹配的工作站能够立即识别, 并且阻止其访问网络。另外,远程员工直接在 PGGM 内部网络上工作,敏感数据始终处于 企业防火墙的防护之下。 “通过部署 Windows Server 2008 终端服务,我们的网络变得更加安全了” ,Noorman 解释道, “不会再有未受管理的客户端访问我们的网络。这意味着我们不必再为过去 VPN 连 接所带来的间谍软件和病毒承担风险” 。 提高员工生
14、产性提高员工生产性 在这一解决方案实施之前,员工们必须使用 VPN 下载、上传文档。现在,由于远程员 工们在 PGGM 内部网络上使用应用程序和数据,所以他们不需要等待文件传输,也不需要 担心哪些文档是最新的。如果员工想要使用不同的计算机来访问 PGGM 网络,他们无需要 安装 VPN 客户端就可以进行工作。因此,员工们能够随时随地获取他们所需要的信息。 “由于我们部署了 Windows Server 2008 终端服 务网关,我们能够更灵活地连接到 PGGM 网络” , Noorman 解释说, “员工们不需要在桌面上安装 VPN 客户端,只需要他们的计算机上安装有远程桌面协议, 就可以创建
15、连接。而且由于大多数计算机已经安装有 远程桌面协议, 这与安装 VPN 客户端相比根本不算什 么。这意味着可以花费更少的时间以创建远程用户, 而且远程员工能够更容易地访问他们的桌面以开展 日常工作” 。 “通过应用基于 Windows Server 2008 的终端服 务,我们的员工现在变得更有生产能力” ,Noorman 继续介绍说, “他们可以从任何连接到 Internet 的计算机,开展他们的日常工作。而在原来,我们依赖于 VPN 连接,员工们能够访通过使用 Windows Server 2008 当 中的终端服务, 我们的员工现在 更有生产能力, 他们可以从任何 有连接到 Intern
16、et 的计算机的地 方开展他们的工作。 Immanuel Noorman,PGGM 信息 通信技术架构师 我们没有在计划和部署运行在 Windows Server 2008 上的终端服 务前期环境时遇到任何大的挑 战,整个过程进行的非常顺利。 Immanuel Noorman,PGGM 信息 通信技术架构师 问的应用程序受到限制。现在通过 RDP,员工们就可以远程进行他们需要的工作” 。 增强资源访问增强资源访问 PGGM 终端服务为基础业务应用程序提供了一个中央存储库。 因此员工们能够从任何何 事的远程地点访问他们的办公环境。 在未来的计划中,PGGMSoftGrid 部署应用程序虚拟化之后,将扩展这一虚拟化模式。 由此,位于 PGGM 网络内外的员工,都能集中访问应用程序虚拟化副本,而无需在他们的 硬盘上运行。集中式的应用程序副本能够确保所有的员工使用最新的软件。 简化系统管理简化系统管理 Windows Server 2008 淘汰或最小化了很多系统管理员需要手动完成的任务,他们将不 再需要帮助员工安装 VPN 客户端,或者维
