内网安全运维最佳实践

本文介绍如何通过堡垒机实现纯内网环境下的安全运维。

背景信息

随着用户业务安全需求的提升,业务的纯内网访问成为企业中关键的安全要求,运维人员无论在公司还是出差办公、居家办公等远程运维场景下,如何限制仅能使用内网进行运维访问,保障运维安全成为关键问题。

解决方案

为满足用户纯内网环境下的安全运维访问需求,堡垒机提供支持公网和私网访问域名的限制开关,通过关闭公网访问域名运维地址,仅放开内网域名运维地址,实现用户在通过堡垒机运维时,仅能通过内网接入堡垒机进行运维,无法通过外网接入堡垒机进行运维。

堡垒机内网运维场景支持多种形式的内网接入。

  • 运维人员在公司时,如果公司已有专线与堡垒机实现内网连通,堡垒机配置仅开放内网域名访问后,运维人员可通过公司的专线直接访问堡垒机进行内网运维。

  • 运维人员出差或居家等远程办公场景下,可通过关闭堡垒机公网访问域名,仅放开内网访问域名,并使用办公安全平台SASE(Secure Access Service Edge)或SSL-VPN连通堡垒机业务,实现内网安全运维。

image

步骤一:关闭堡垒机公网访问域名,仅放开内网访问域名

  1. 登录堡垒机控制台
  2. 在顶部菜单栏,选择堡垒机所在的地域。

  3. 在堡垒机实例列表,定位到目标实例,关闭公网右侧开关。

    image

步骤二:连接内网运维访问

场景一:公司内网直接运维

如果公司已有专线与堡垒机实现内网连通,在终端连接公司内网后,即可使用运维客户端通过堡垒机内网域名地址进行内网运维访问。具体操作,请参见运维概述

场景二:使用SASE连接堡垒机进行运维

SASE基于阿里云BGP网络,提供低延时、高安全的内网运维通道,并结合办公数据防泄漏、终端安全管理等保障办公安全。

前提条件

  • 已获取堡垒机所在VPC实例ID。

    您可以登录堡垒机控制台,在网络设置面板,查看目标堡垒机实例对应的VPC实例ID和交换机实例ID。

  • 已获取堡垒机内网运维地址以及端口。

    您可以登录堡垒机控制台,定位到目标堡垒机实例获取堡垒机内网运维地址以及端口。

    说明 堡垒机提供固定的域名模式运维地址,同时使用动态IP以确保安全不易被攻击。运维地址解析出的IP可能会发生变化,请您使用堡垒机分配的域名地址进行运维,避免因IP变化而无法运维。
  • 已购买办公安全平台SASE。具体操作,请参见购买办公安全平台

操作步骤

  1. 在SASE控制台,打通堡垒机所在VPC与SASE终端用户之间的网络。具体操作,请参见阿里云业务

  2. 在SASE控制台,添加堡垒机应用,配置内网连接堡垒机业务。具体操作,请参见管理应用

  3. 在SASE控制台,配置零信任策略,使运维用户允许访问堡垒机业务。具体操作,请参见配置零信任策略

    完成配置,并在终端连接SASE后,即可使用运维客户端通过堡垒机内网域名地址进行内网运维访问。具体操作,请参见运维概述

场景:使用SSL-VPN连接堡垒机进行运维

下面以阿里云SSL-VPN为例,为您介绍使用SSL-VPN访问内网操作步骤。

前提条件

  • 已获取堡垒机所在VPC实例ID以及交换机实例ID。

    您可以登录堡垒机控制台,查看目标堡垒机实例对应的VPC实例ID和交换机实例ID。

  • 已获取堡垒机网段信息。

    您可以通过登录专有网络控制台交换机控制台,通过堡垒机所在VPC实例ID或交换机实例ID,获取网段信息。

  • 已购买SSL-VPN。更多信息,请参见SSL-VPN计费说明

操作步骤

  1. 在SSL-VPN策略设置中,配置堡垒机VPC和交换机所在网段。具体操作,请参见SSL-VPN入门概述

  2. 通过SSL-VPN客户端访问堡垒机进行内网资产运维。

    完成配置,并在终端连接SSL-VPN后,即可使用运维客户端通过堡垒机内网域名地址进行内网运维访问。具体操作,请参见运维概述