本文介绍如何通过堡垒机实现纯内网环境下的安全运维。
背景信息
随着用户业务安全需求的提升,业务的纯内网访问成为企业中关键的安全要求,运维人员无论在公司还是出差办公、居家办公等远程运维场景下,如何限制仅能使用内网进行运维访问,保障运维安全成为关键问题。
解决方案
为满足用户纯内网环境下的安全运维访问需求,堡垒机提供支持公网和私网访问域名的限制开关,通过关闭公网访问域名运维地址,仅放开内网域名运维地址,实现用户在通过堡垒机运维时,仅能通过内网接入堡垒机进行运维,无法通过外网接入堡垒机进行运维。
堡垒机内网运维场景支持多种形式的内网接入。
运维人员在公司时,如果公司已有专线与堡垒机实现内网连通,堡垒机配置仅开放内网域名访问后,运维人员可通过公司的专线直接访问堡垒机进行内网运维。
运维人员出差或居家等远程办公场景下,可通过关闭堡垒机公网访问域名,仅放开内网访问域名,并使用办公安全平台SASE(Secure Access Service Edge)或SSL-VPN连通堡垒机业务,实现内网安全运维。
步骤一:关闭堡垒机公网访问域名,仅放开内网访问域名
- 登录堡垒机控制台。
在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,关闭公网右侧开关。
步骤二:连接内网运维访问
场景一:公司内网直接运维
如果公司已有专线与堡垒机实现内网连通,在终端连接公司内网后,即可使用运维客户端通过堡垒机内网域名地址进行内网运维访问。具体操作,请参见运维概述。
场景二:使用SASE连接堡垒机进行运维
SASE基于阿里云BGP网络,提供低延时、高安全的内网运维通道,并结合办公数据防泄漏、终端安全管理等保障办公安全。
前提条件
操作步骤
场景三:使用SSL-VPN连接堡垒机进行运维
下面以阿里云SSL-VPN为例,为您介绍使用SSL-VPN访问内网操作步骤。
前提条件
已获取堡垒机所在VPC实例ID以及交换机实例ID。
您可以登录堡垒机控制台,查看目标堡垒机实例对应的VPC实例ID和交换机实例ID。
已获取堡垒机网段信息。
已购买SSL-VPN。更多信息,请参见SSL-VPN计费说明。
操作步骤
在SSL-VPN策略设置中,配置堡垒机VPC和交换机所在网段。具体操作,请参见SSL-VPN入门概述。
通过SSL-VPN客户端访问堡垒机进行内网资产运维。
完成配置,并在终端连接SSL-VPN后,即可使用运维客户端通过堡垒机内网域名地址进行内网运维访问。具体操作,请参见运维概述。