本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
办公安全平台SASE(Secure Access Service Edge)支持打通云原生应用资源,提供对其公网访问地址的查看与管理能力。为提升安全性,建议在业务允许的情况下关闭公网访问,限制应用仅可通过VPC内网访问。本文档介绍如何关闭云原生应用的公网访问。
场景示例
某企业在业务中使用阿里云RDS数据库,并开通公网访问地址,为了防止RDS应用公网地址暴露,此时该企业需要通过SASE配置应用内网访问权限,并关闭云原生公网访问功能。
前提条件
您已购买办公安全平台。
您已完成授权SASE访问云资源。
配置内网访问
内网访问基于软件定义边界(SDP)技术,提供SaaS化的零信任网络访问能力,在无需暴露公网地址或改造现有网络架构的前提下,通过SASE解决方案实现企业员工安全访问云上资源,并精准管控访问权限。
步骤一:配置身份源
身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以一次性配置多种身份源信息(即多身份源),以便于您以不同的身份源使用SASE服务。
本文为了快速验证功能,以自定义身份源为例为您介绍。
步骤二:配置用户组
配置策略时,需要指定该策略生效的用户组。
在左侧导航栏,选择。
在用户组管理页签中,单击添加用户组。
在添加用户组面板中,配置用户组的组织架构、账户名称、邮箱、手机号等信息。并单击确定。具体操作,请参见用户组管理。
步骤三:开启网络打通开关
在左侧导航栏,选择。
在网络配置页面的页签,查看SASE同步的网络资源。
在指定CEN实例或者CEN实例关联的某个VPC实例右侧。开启网络打通开关。
在网络打通对话框中选择打通全部云应用或自定义打通云应用。
打通全部云应用:开启后,会自动打通所有云应用,非云应用可通过配置ACL规则实现打通。并且之后在该VPC下创建的云应用也会默认打通。
说明当前仅支持云数据库的部分云原生应用。具体支持的云应用类型,您可以在页签中,查看应用类型。
自定义打通云应用:
选择自定义打通云应用并单击确定。
在自定义打通云应用面板中,选择需要打通的云数据库实例,并单击确定。
步骤四:创建零信任策略
在左侧导航栏,选择。
在零信任策略页签中,单击添加策略。
在新增策略面板中,配置生效用户允许访问RDS应用,并单击确定。
步骤五:验证配置是否成功
打开您已安装的SASE App。
输入企业认证标识,然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面,获取企业认证标识。
使用邮箱或者手机接收到的初始账号名称和密码进行登录。
单击连接内网。
访问RDS应用,如果能够成功访问,表示您已配置成功。
关闭云原生应用公网访问
在左侧导航栏,选择。
在页签中,查看支持关闭公网访问的应用类型和已经执行应用打通操作的实例列表。
对于存在公网暴露风险的实例,可以单击操作列的关闭公网。
在关闭公网访问对话框中选择需要关闭访问的公网访问地址,并单击确定。
警告关闭后,将拒绝所有公网访问,收敛访问入口以提升安全性,此操作不可逆。仍可通过SASE访问应用,请确保所有云应用均已配置并启用零信任策略。
通过公网地址访问云应用,如果无法成功访问,表示您已配置成功。