本文介绍如何结合办公安全平台SASE(Secure Access Service Edge),实现阿里云无影云电脑访问控制。
实现原理
企业可通过云企业网实现阿里云办公安全平台与无影云电脑的安全连接,结合零信任策略,精细化控制访问权限,确保仅授权用户经SASE App安全接入内网,实现无影云电脑资源的安全访问与风险管控。
前提条件
您已开通办公安全平台。如果您未开通办公安全平台,需购买并开通服务。具体操作,请参见购买服务。您也可以申请7天免费试用。具体操作,请参见申请免费试用。
您已安装并成功登录SASE App。如果您未安装SASE App,具体操作,请参见安装并登录SASE App。
您已开通无影云电脑企业版。
操作步骤
步骤一:创建VPC网络
SASE通过打通云企业网内的VPC网络连接,实现与无影云电脑的安全访问,您需要先创建一个VPC网络(例如:vpc-*******)。
前往专有网络控制台的创建专有网络页面。
配置专有网络:
地域:选择计划创建云资源的地域。例如:华北2(北京)。
IPv4网段:选择控制台提供的建议网段,或根据需要输入自定义网段。在多VPC互通等场景下,建议配置与已有VPC不重叠的网段来避免VPC互通时的网段冲突问题。为了避免网段冲突、保障网络的可扩展性,建议结合IPAM创建专有网络。
1、建议使用RFC1918中指定的私有IPv4地址作为VPC的网段,网络掩码使用16~28位。如10.0.0.0/16、172.16.0.0/16、192.168.0.0/16。
2、不能使用100.64.0.0/10、224.0.0.0/4、127.0.0.0/8或169.254.0.0/16网段作为VPC的IPv4网段。
配置交换机:
可用区:后续用于创建云资源的可用区。需根据所需资源在对应可用区的支持状态及库存情况(是否售罄)来选择可用区。
IPv4网段:选择控制台默认的网段,或根据需要调整网段范围。
添加更多交换机:为了避免应用受到单可用区故障的影响,建议创建分布在不同可用区的多个交换机。可以在创建专有网络的过程中,创建交换机;也可以后续在专有网络控制台-交换机中,添加更多交换机。
步骤二:创建云企业网和转发路由器
您需要创建云企业网和转发路由器并绑定VPC专有网络。
登录云企业网管理控制台。
在云企业网实例页面,单击创建云企业网实例。
在创建云企业网实例对话框,配置云企业网实例名称(例如:无影云电脑专用云企业网)然后单击确认。
说明长度为1~128个字符,不能以http://或https://开头。
单击创建网络实例连接。
在连接网络实例页面中,参考如下配置,其余配置保持默认。配置完成后,单击确认创建。
配置项
说明
示例值
实例类型
加载到云企业网中的网络实例类型,分别为:专有网络(VPC)、边界路由器(VBR)、云连接网(CCN)、跨地域连接、虚拟专用网 (VPN)。
专有网络(VPC)
地域
该地域信息就是专有网络、边界路由器所属的地域信息。
华北2(北京)
网络实例
可以加入云企业网的专有网络。选择已创建的专有网络(VPC)。
说明选择VPC后,您可以单击右侧的发起路由检查,检查VPC内是否存在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16的路由条目。若存在无法自动配置所有TR的路由,请您创建Attachment后自行配置VPC内路由条目。
vpc-*******
交换机
为实现多可用区容灾,请您至少选择两个可用区并配置交换机。
北京 可用区H、北京可用区G
步骤三:创建并迁移办公网络
为实现SASE通过云企业网与无影云电脑的网络互通,您需重新创建办公网络并将其接入云企业网。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角选择目标地域。
在办公网络页面,单击创建办公网络。
在创建办公网络面板中,参考如下内容进行配置。
配置项
说明
示例值
选择地域
无影云电脑所在地域。
华北2(北京)
办公网络名称
配置办公网络名称,并根据实际业务需求选择办公网络类型。支持的版本网络类型:
说明办公网络名称长度2~255个字符。必须以大小字母或中文开头,不能以 http:// 和 https:// 开头。可以包含中文、英文、数字、半角冒号 (:)、下划线 (_)或者连字符 (-)
基础办公网络:如果您想试用无影云电脑,或者业务场景上只需要少量(不超过50台)的云电脑,建议您使用基础办公网络,以避免不必要的配置,简化操作流程。
高级办公网络:您可以根据业务场景,指定办公网络的地域、名称、IPv4网段和接入方式等。如果业务场景需要的云电脑数量较大(超过50台),或基础办公网络无法满足业务需求的情况,您可以选择高级办公网络。
办公网络名称:office_network
办公网络类型:高级办公网络
IPv4网段
在办公网络中创建云电脑时,系统将自动从办公网络VPC包含的网段中分配一个IP地址作为云电脑的IP地址。VPC网段内的IP地址数量决定其可容纳的云电脑最大数量,请合理规划网段,详细信息,请参见规划网段。
默认情况下,您可以将办公网络VPC设置为以下IPv4网段及其子网段:
192.168.0.0/16
10.0.0.0/12
172.16.0.0/12
192.168.0.0/16
云电脑连接方式
决定云电脑终端用户可以通过哪种方式连接办公网络内的云电脑。支持的选项包括:
互联网:只允许通过互联网连接(默认选项)。如需选用此方式,则运行云电脑的本地设备必须能够访问互联网。
企业专网(VPC):只允许通过专有网络VPC连接。如需选用此方式,则需要将办公网络加入云企业网 CEN(Cloud Enterprise Network)实例,同时选择高速通道(Express Connect)(专线)、智能接入网关 SAG(Smart Access Gateway)或者VPN 网关(VPN Gateway)等产品来打通本地网络和云上网络。详细信息,请参见加入与解绑云企业网、如何选择私网类产品?。
互联网和企业专网(VPC):同时支持上述两种方式。
企业专网(VPC)
云企业网
若选择企业专网(VPC)连接方式,则选择加入,并配置您创建的云企业网实例ID,然后单击右侧校验。
云企业网:加入
云企业网实例ID:您创建的云企业网实例ID
待云企业网校验成功后,单击下一步:配置账号系统,选择便捷账号,并单击完成创建。
说明若校验失败,您可以参考错误提示信息调整后重新进行校验。
在左侧导航栏,选择。
单击目标云电脑实例操作列的更多,并单击迁移办公网络。
说明迁移办公网络前,请确认云电脑已关机。
在迁移办公网络对话框中,选择您创建的办公网络(office_network),并单击确认迁移。
步骤四:配置身份源并添加用户
身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以一次性配置多种身份源信息(即多身份源),以便于您以不同的身份源使用SASE服务。
本文为了快速验证功能,以自定义身份源为例为您介绍。
步骤五:配置用户组并开启认证
配置零信任策略时,需要指定该策略生效的用户组。
步骤六:网络打通
打通SASE与堡垒机所在的业务VPC之间的网络连接。
登录办公安全平台控制台。
在左侧导航栏,选择。
在网络配置页面的页签,查看SASE同步的网络资源。
参数名称
说明
CEN实例ID/名称
当前管理账号和已添加的成员账号下的所有CEN资源。
所属账号
CEN实例所归属的账号信息,可以是当前管理账号,也可以是成员账号。
回源地址
SASE网关与CEN回源的地址。
对于已关联CEN的VPC内的堡垒机资源会自动添加放行回源地址的安全组策略。对于已在CEN关联的VBR、SAG等资源,如果已存在ACL策略,需要对回源地址放行。
在目标CEN实例(无影云电脑专用云企业网)的VPC(vpc-*******)中,开启网络打通开关。
为了确保通过私网正常使用云电脑,您需要根据如下内容配置自定义网段。
网段类型
说明
示例值
无影云专用网络
无影云电脑办公网络的网段。
192.168.0.0/16
管控链路地域网段
私网连接时管控链路地域网段。您可以根据无影云电脑实例所在地域进行配置。详细信息,请参见私网连接时管控链路地域域名的对应关系。
100.100.0.0/16
100.103.0.0/16
步骤七:创建内网应用
在使用SASE内网访问之前,您需要将无影云电脑办公应用的IP地址或域名地址配置到SASE办公应用中。只有已配置的办公应用,企业员工才能通过SASE App进行访问。
登录办公安全平台控制台。
在左侧导航栏,选择。
单击添加应用,在添加应用面板的手动配置页签中,参考如下内容进行配置。
配置项
说明
示例值
应用名称
应用的名称。
长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
无影云电脑
状态
应用的启用或禁用状态。
启用
访问模式
选择您需要配置的访问方式。
APP访问:需要安装SASE App才能访问办公应用,支持访问四层、七层应用,满足员工办公与运维的需求,同时支持丰富的终端安全检测与管控策略。
浏览器访问:无需安装SASE App,使用浏览器即可访问企业的Web办公应用,此模式不支持终端安全检测及管控策略。
APP访问
单击下一步,配置需要访问的无影云电脑相关的应用地址、端口和协议,然后单击确定。
配置项
说明
示例值
应用名称
配置内网应用名称。
无影云电脑
应用地址
访问无影云电脑的应用地址。其中包括无影云电脑专有网络的IP和私网网关地址,通过内网访问无影云电脑时还需要配置对应地域的管控链路域名。详细信息,请参见私网连接时管控链路地域域名的对应关系。
无影云实例相关
192.168.0.0/16(专有网络IP)
gw-cn-beijing-******-.wuyinggw.com
(私网网关地址)
管控链路地域相关
ecd-vpc.cn-beijing.aliyuncs.com
wyota-vpc.cn-beijing.aliyuncs.com
appstream-center-vpc.cn-beijing.aliyuncs.com
端口
配置访问端口号。
1-65535
协议
配置访问协议。
全部协议
状态
配置策略开启状态。
已启用
步骤八:配置零信任策略
通过配置零信任策略,确保仅授权用户可通过内网应用访问无影云电脑,实现细粒度访问控制与安全加固。
登录办公安全平台控制台。
在左侧导航栏,选择。
在零信任策略页签中,单击添加策略。
在新增策略面板,根据如下内容进行配置,其他配置项保持默认,然后单击确定。
配置项
说明
示例值
策略名称
添加零信任策略的名称。
长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。
无影云电脑策略
动作
设置策略的访问权限。取值:
允许访问:表示该条策略是允许用户或者终端访问指定应用。
禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。
允许访问
生效用户
设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。
单击添加,在用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见用户组管理。
选择允许访问的生效用户组
已选应用
设置策略生效用户组允许访问的应用。
单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。
选择创建的内网应用(无影云电脑)
步骤九:配置无影云电脑策略
云电脑策略可用于统一管控云电脑在使用过程中的数据安全、访问控制、使用体验及协作效率。无影云电脑默认提供一条不可修改或删除的基础策略。为满足企业个性化管理需求,您可创建自定义策略,并结合网络访问安全组进行精细化控制,例如配置仅允许SASE回源地址访问云电脑,实现更安全的接入防护。
登录无影云电脑企业版控制台。
在左侧导航栏,选择。然后单击创建策略。
在创建策略页面左侧导航栏中,选择。
在中,单击添加安全组规则。
在添加安全组规则对话框中,根据如下内容配置访问规则。
说明企业专网环境下,云电脑默认拒绝所有入方向的访问,您可以通过将SASE回源地址设置安全组入方向规则为允许来放行符合要求的访问请求。
规则方向
授权
优先级
协议类型
端口范围
授权对象
入方向
允许
1
自定义TCP
1-65535
172.16.0.241
172.16.128.241
配置完成后,单击确定。
在左侧导航栏,选择。
单击目标云电脑实例操作列的更多,并单击更改策略。
在更改策略面板中,单击更改策略,在弹出的对话框中选择已创建的自定义策略,然后单击确定。
步骤十:验证及查看审计
打开已安装的SASEApp。
使用创建的账号密码进行登录。
在左侧导航栏中,选择网络,单击连接内网,等待内网连接成功。
登录无影云电脑客户端。单击客户端右上角的网络接入配置。
在网络接入配置对话框中,选择企业专网,并单击确定。
输入专有网络ID,并通过账号密码或短信登录。
登录成功后,您可以在SASE控制台的页签中,查看内网应用访问记录。