办公安全平台SASE(Secure Access Service Edge)支持打通云原生应用资源,提供对其公网访问地址的查看与管理能力。为提升安全性,建议在业务允许的情况下关闭公网访问,限制应用仅可通过VPC内网访问。本文档介绍如何通过内网访问云原生应用及关闭公网访问。
前提条件
您已购买办公安全平台。
您已完成授权SASE访问云资源。
配置云原生应用内网访问
内网访问基于软件定义边界(SDP)技术,提供SaaS化的零信任网络访问能力,在无需暴露公网地址或改造现有网络架构的前提下,通过SASE解决方案实现企业员工安全访问云上资源,并精准管控访问权限。
步骤一:配置身份源
身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以配置多个身份源信息,并开启身份认证状态,以便于您以不同的身份源使用SASE服务。
本文为了快速验证功能,以自定义身份源为例为您介绍。
步骤二:配置用户组
配置策略时,需要指定该策略生效的用户组。
在左侧导航栏,选择。
在用户组管理页签中,单击添加用户组。
在添加用户组面板中,配置用户组的组织架构、账户名称、邮箱、手机号等信息。并单击确定。具体操作,请参见用户组管理。
步骤三:开启网络打通开关
在左侧导航栏,选择。
在网络配置页面的页签,查看SASE同步的网络资源。
在指定CEN实例或者CEN实例关联的某个VPC实例右侧。开启网络打通开关。
在网络打通对话框中选择打通全部云应用或自定义打通云应用。
打通全部云应用:开启后,会自动打通所有云应用,非云应用可通过配置ACL规则实现打通。并且之后在该VPC下创建的云应用也会默认打通。
说明当前仅支持部分云原生应用。具体支持的云应用类型,您可以在页签中,查看应用类型。
自定义打通云应用:
选择自定义打通云应用并单击确定。
在自定义打通云应用面板中,选择需要打通的云原生应用,并单击确定。
步骤四:创建内网应用
在使用SASE内网访问之前,您需要将企业办公应用的IP地址或域名地址配置到SASE办公应用中。只有已配置的办公应用,企业员工才能通过SASE App进行访问。
登录办公安全平台控制台。
在左侧导航栏,选择。
单击添加应用,在添加应用面板的手动配置页签中,参考如下内容进行配置。
配置项
说明
示例值
应用名称
应用的名称。
长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
云原生应用
状态
应用的启用或禁用状态。
启用
访问模式
选择您需要配置的访问方式。
APP访问:需要安装SASE App才能访问办公应用,支持访问四层、七层应用,满足员工办公与运维的需求,同时支持丰富的终端安全检测与管控策略。
浏览器访问:无需安装SASE App,使用浏览器即可访问企业的Web办公应用,此模式不支持终端安全检测及管控策略。
APP访问
单击下一步,配置需要访问应用的应用地址、端口和协议,然后单击确定。
如果应用有对访问进行溯源的需求,可以开启web应用访问加固功能,勾选访问溯源并选择需要添加HTTP header中的字段名称,之后在业务端进行提取。
步骤五:创建零信任策略
在左侧导航栏,选择。
在零信任策略页签中,单击添加策略。
在新增策略面板中,配置生效用户允许访问云原生应用,并单击确定。
步骤六:验证配置是否成功
打开您已安装的SASE App。
输入企业认证标识,然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面,获取企业认证标识。
使用邮箱或者手机接收到的初始账号名称和密码进行登录。
单击连接内网。
访问内网应用,如果能够成功访问,表示您已配置成功。
关闭云原生应用公网访问
在左侧导航栏,选择。
在页签中,查看支持关闭公网访问的应用类型和已经执行应用打通操作的实例列表。
对于存在公网暴露风险的实例,可以单击操作列的未关闭。
在关闭公网访问对话框中选择需要关闭访问的公网访问地址,并单击确定。
重要关闭后,将拒绝所有公网访问,收敛访问入口以提升安全性,此操作不可逆。仍可通过SASE访问应用,请确保所有云应用均已配置并启用零信任策略。
通过公网地址访问云应用,如果无法成功访问,表示您已配置成功。