Topik ini menjelaskan cara kerja fitur akses privat Secure Access Service Edge (SASE) dan membimbing Anda melalui proses konfigurasi. Ini membantu administrator memulai dengan fitur setelah mereka membeli SASE.
Pengenalan fitur akses privat
Fitur akses privat mendukung akses zero trust berbasis perangkat lunak sebagai layanan (SaaS) dengan mengadopsi pendekatan perimeter yang ditentukan perangkat lunak (SDP). Fitur ini memungkinkan Anda mengelola izin akses pengguna tanpa perlu mengekspos alamat IP publik atau merekonstruksi arsitektur jaringan yang ada. Dengan cara ini, Anda dapat menggunakan SASE untuk mengontrol akses pengguna.
Prosedur
Langkah 1: Buat IdP dan tambahkan pengguna
Penyedia identitas (IdP) digunakan untuk otentikasi identitas pengguna dalam suatu perusahaan. Anda dapat mengonfigurasi IdP pihak ketiga dan IdP yang dikelola sendiri di SASE. Jenis IdP yang didukung mencakup Lightweight Directory Access Protocol (LDAP), DingTalk, WeCom, Lark, Identity as a Service (IDaaS), dan kustom. Jika beberapa IdP digunakan dalam layanan Anda, Anda dapat mengonfigurasi beberapa IdP sekaligus di SASE, lalu mengelola pengguna dari IdP tersebut.
Dalam topik ini, IdP kustom digunakan sebagai contoh.
Masuk ke konsol SASE. Di panel navigasi sisi kiri, pilih .
Klik tab IdP Management, temukan IdP kustom, lalu klik Edit di kolom Aksi. Di panel Edit, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter tersebut.
Parameter
Deskripsi
Contoh
PC Logon Method
Nilai valid: Logon with Account and Password dan Password-free Logon.
Jika Anda memilih Logon with Account and Password, Anda dapat mengaktifkan Two-factor Authentication. Berikut adalah nilai yang valid:
OTP-based Authentication: Jika Anda memilih OTP-based Authentication, Anda harus memilih setidaknya satu mode kata sandi sekali pakai (OTP). Mode berikut didukung:
Izinkan Token pada Klien Seluler SASE: OTP bawaan SASE digunakan. Pengguna harus menginstal klien seluler SASE.
Izinkan Token pada Aplikasi Pihak Ketiga: Pastikan sinkronisasi waktu pada aplikasi OTP Anda bekerja seperti yang diharapkan. Aplikasi OTP umum, seperti Alibaba Cloud App, didukung.
Izinkan Token Milik Perusahaan: Jika Anda ingin menggunakan OTP yang dikelola sendiri oleh perusahaan Anda, hubungi dukungan teknis untuk melakukan konfigurasi yang diperlukan.
Verification Code-based Authentication: Jika Anda memilih Verification Code-based Authentication, Anda harus memilih setidaknya satu metode autentikasi. Metode berikut didukung:
Text Message Verification: Pastikan setiap pengguna di IdP memiliki nomor telepon.
Email Verification: Pastikan setiap pengguna di IdP memiliki alamat email.
Jika Anda memilih Password-free Logon, pengguna harus mengunduh dan masuk ke klien seluler SASE dan memindai kode respons cepat (QR) untuk autentikasi.
Masuk dengan Akun dan Kata Sandi
Mobile Device Logon Method
Nilai valid: Logon with Account and Password dan Fingerprint or Face Recognition.
Jika Anda memilih Fingerprint or Face Recognition, pengguna harus memasukkan nama pengguna dan kata sandi saat mereka masuk ke klien seluler SASE untuk pertama kalinya.
Masuk dengan Akun dan Kata Sandi
Pergi ke tab User Group Management dan klik Create User Group. Di panel Create User Group, konfigurasikan parameter untuk menambahkan pengguna ke grup pengguna dan klik OK.
Informasi pengguna mencakup nama pengguna, departemen, alamat email, dan nomor telepon pengguna.
Langkah 2: Buat aplikasi kantor
Aplikasi kantor perusahaan merujuk pada sumber daya TI seperti aplikasi, server, atau basis data internal-facing yang digunakan oleh pengguna di tempat kerja. Pengguna tidak perlu mengonfigurasi alamat IP publik untuk aplikasi kantor. Jika pengguna ingin mengakses aplikasi atau sumber daya dalam LAN dari perangkat kantor, pengguna hanya perlu menginstal klien SASE di perangkat tersebut dan melewati verifikasi identitas dan keamanan yang diperlukan.
Di panel navigasi sisi kiri, pilih .
Di bagian Custom Tags halaman Office Application, klik Add. Lalu, masukkan nama tag dan klik OK.
Anda dapat membuat hingga 100 tag kustom.
Klik Add Application dan konfigurasikan parameter berdasarkan deskripsi dan langkah-langkah berikut:
Jika server Domain Name System (DNS) yang menggunakan blok CIDR internal diterapkan untuk layanan Anda, Anda dapat melakukan operasi berikut untuk mengonfigurasi layanan DNS: Klik Internal DNS Configuration. Di kotak dialog DNS Address, konfigurasikan parameter di bagian Default DNS Service dan Other DNS Services. Layanan DNS yang Anda konfigurasikan di bagian Layanan DNS Default digunakan sebagai layanan DNS utama untuk perusahaan Anda dan dikirimkan ke klien SASE. Di bagian ini, Anda dapat menentukan hingga dua server DNS. Anda juga dapat mengonfigurasi layanan DNS kustom di bagian Layanan DNS Lainnya. Pengguna dapat memilih layanan DNS utama atau layanan DNS kustom di klien SASE berdasarkan kebutuhan bisnis mereka.
Jika Anda tidak mengonfigurasi layanan DNS, SASE secara otomatis menggunakan Alibaba Cloud DNS untuk resolusi berdasarkan blok CIDR internal. Jika Alibaba Cloud DNS PrivateZone diterapkan untuk layanan Anda, Alibaba Cloud DNS PrivateZone diprioritaskan untuk resolusi.
Di tab Manual Configuration, konfigurasikan parameter di langkah Basic Configurations. Tabel berikut menjelaskan parameter tersebut.
Parameter
Deskripsi
Contoh
Application Name
Nama aplikasi kantor.
Nama harus terdiri dari 1 hingga 128 karakter dan dapat berisi huruf, angka, tanda hubung (-), garis bawah (_), dan titik (.).
Aplikasi_manajemen_kehadiran
Description
Deskripsi aplikasi kantor.
Alamat manajemen kehadiran pengguna
Tag
Tag kustom aplikasi kantor. Anda dapat mengelompokkan, menanyakan, dan mengelola aplikasi berdasarkan tag.
Sistem OA
Status
Status aplikasi kantor. Nilai valid:
Enable: Aplikasi kantor tersedia.
Disable: Aplikasi kantor tidak tersedia.
Aktifkan
Klik Next dan konfigurasikan parameter di langkah Alamat Aplikasi. Tabel berikut menjelaskan parameter tersebut.
Parameter
Deskripsi
Contoh
Application Address
Alamat internal aplikasi kantor. Anda dapat memasukkan alamat IP, blok CIDR, nama domain tepat, dan nama domain wildcard untuk aplikasi kantor. Anda dapat memasukkan beberapa alamat internal untuk aplikasi kantor berdasarkan kebutuhan bisnis Anda.
10.10.XX.XX
Port
Nomor port atau rentang port aplikasi kantor.
80-200
Protocol
Tipe protokol aplikasi kantor. Nilai valid: All Protocols, TCP, dan UDP.
Semua Protokol
Langkah 3: Aktifkan koneksi jaringan
Sebelum mengaktifkan koneksi jaringan, pastikan Anda sudah familiar dengan penyebaran layanan Anda untuk memilih rencana koneksi optimal.
Penyebaran Sumber Daya Bisnis | Solusi | Persyaratan Lingkungan |
Sumber daya bisnis ditempatkan di Alibaba Cloud. | Anda dapat menggunakan fitur pengaturan jaringan untuk mengaktifkan koneksi jaringan antara sumber daya bisnis di VPC Alibaba Cloud dan klien SASE. Anda dapat mengakses halaman konsol SASE dan mengaktifkan Koneksi Jaringan untuk VPC di mana server Anda ditempatkan. | Persyaratan komputer:
|
Sumber daya bisnis ditempatkan di luar Alibaba Cloud dan virtual border routers (VBR) milik Alibaba Cloud, instance Cloud Connect Network (CCN), dan gateway VPN digunakan untuk sumber daya bisnis tersebut. Sebagai contoh, sumber daya bisnis ditempatkan di Amazon Web Services (AWS) atau Tencent Cloud. | Anda dapat menggunakan Express Connect, Smart Access Gateway (SAG), and IPsec-VPN milik Alibaba Cloud untuk mengizinkan akses dari klien SASE ke sumber daya bisnis di luar Alibaba Cloud. Anda dapat mengakses tab konsol SASE, mengonfigurasi VPC back-to-origin, dan mengaktifkan Koneksi Jaringan untuk konektor Anda. | Persyaratan komputer:
|
Sumber daya bisnis ditempatkan di luar Alibaba Cloud. | SASE menyediakan fitur konektor. Anda dapat menerapkan konektor untuk mengizinkan akses dari klien SASE ke sumber daya bisnis yang ditempatkan di luar Alibaba Cloud. Solusi ini memungkinkan pengguna mengakses sumber daya bisnis tanpa perlu menggunakan layanan jaringan lainnya. Anda dapat mengakses tab konsol SASE, membuat konektor, lalu menjalankan perintah untuk menerapkan konektor. Pastikan konektor diaktifkan. | Persyaratan komputer:
Persyaratan pada server tempat Anda dapat menerapkan konektor:
|
Topik ini menjelaskan cara mengaktifkan koneksi jaringan untuk layanan di luar Alibaba Cloud.
Di panel navigasi sisi kiri, pilih .
Di halaman Network Settings, klik tab Services Outside Alibaba Cloud.
Buat konektor dan asosiasikan dengan aplikasi.
Di tab Connectors, klik Add Connector.
Anda dapat menambahkan hingga lima konektor.
Di panel Add Connector, konfigurasikan parameter berdasarkan kebutuhan bisnis Anda. Lalu, klik OK.
Parameter
Deskripsi
Contoh
Region
Wilayah konektor. Untuk memastikan kinerja akses, kami sarankan Anda memilih wilayah yang paling dekat dengan server Anda.
Singapura
Instance Name
Nama konektor.
Konektor akses privat perusahaan
Instance Switch
Menentukan apakah akan mengaktifkan konektor. Anda dapat menggunakan konektor untuk mengakses aplikasi terkait dari klien SASE hanya jika Saklar Instansi disetel ke Enabled.
PentingJika Saklar Instansi disetel ke Disabled, Anda tidak dapat menggunakan konektor untuk mengakses aplikasi kantor Anda dari klien SASE. Lanjutkan dengan hati-hati.
Diaktifkan
Instal dan terapkan konektor.
Sebelum menerapkan konektor, Anda dapat memperoleh perintah yang digunakan untuk menerapkan konektor di panel Deploy. Untuk membuka panel, klik Deploy di kolom Actions.
Masuk ke server atau mesin virtual tempat Anda ingin menerapkan konektor sebagai pengguna root dan jalankan perintah berikut untuk mengunduh konektor:
wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.shJalankan perintah berikut untuk memodifikasi izin:
chmod a+x /tmp/install_connector.shJalankan perintah berikut untuk menginstal konektor:
sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****CatatanDalam perintah tersebut, 163710033944**** adalah ID akun Alibaba Cloud Anda, 1404F395-6456D8CE-B02D4B20-0DFB**** adalah lisensi yang dibuat oleh SASE, dan connector-97861d0d3b91**** adalah ID konektor.
Jalankan perintah berikut untuk memulai konektor:
sudo systemctl start aliyun_sase_connector
Langkah 4: Buat kebijakan zero trust
Kebijakan zero trust membantu Anda mengelola akses ke aplikasi dan sumber daya dari pengguna dan mitra perusahaan. Proses pembuatan kebijakan zero trust adalah untuk membedakan izin sumber daya kelompok pengguna perusahaan dari izin aplikasi kantor. SASE menyediakan kebijakan bawaan yang melarang semua akses. Anda harus mengonfigurasi kebijakan izin untuk mengalokasikan sumber daya yang berbeda ke kelompok pengguna yangberbeda.
Di panel navigasi sisi kiri, pilih .
Di halaman Zero Trust Policies, klik Create Policy.
Di panel Create Policy, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter tersebut.
Anda dapat membuat beberapa kebijakan zero trust berdasarkan kebutuhan bisnis Anda. Jumlah kebijakan tidak terbatas.
Parameter
Deskripsi
Contoh
Nama Kebijakan
Nama kebijakan zero trust.
Nama harus terdiri dari 2 hingga 100 karakter dan dapat berisi huruf, angka, tanda hubung (-), dan garis bawah (_).
Kebijakan izin untuk aplikasi manajemen kehadiran
Deskripsi
Deskripsi kebijakan zero trust.
Semua pengguna dapat mengakses aplikasi manajemen kehadiran
Prioritas
Prioritas kebijakan zero trust. Nilai 1 menunjukkan prioritas tertinggi. Saat Anda membuat kebijakan, nilai maksimum untuk prioritas kebijakan baru ditentukan oleh hasil perhitungan berikut: Jumlah kebijakan zero trust dalam akun + 1. Sebagai contoh, Anda memiliki 17 kebijakan zero trust dalam akun Anda. Saat Anda membuat kebijakan, prioritas kebijakan baru berkisar antara 1 hingga 18. Angka 18 diperoleh dengan menggunakan rumus berikut: 17 + 1 = 18.
Jika ada konflik kebijakan, kebijakan dengan prioritas lebih tinggi akan berlaku.
1
Tindakan
Izin akses kebijakan. Nilai valid:
Allow Access: Kebijakan mengizinkan akses ke aplikasi yang ditentukan dari pengguna atau terminal.
Access Denied: Kebijakan menolak akses ke aplikasi yang ditentukan dari pengguna atau terminal.
Izinkan Akses
Pengguna yang Berlaku
Kelompok pengguna yang berlaku untuk kebijakan tersebut. Kebijakan zero trust berlaku untuk terminal kelompok pengguna yang ditentukan. Jika permintaan akses mengenai kebijakan, SASE menentukan apakah akan mengizinkan atau menolak permintaan tersebut.
Untuk menambahkan kelompok pengguna, klik Tambah. Di tab Kelompok Pengguna, pilih kelompok pengguna yang ingin Anda tambahkan. Jika kelompok pengguna yang ada tidak dapat memenuhi kebutuhan Anda, Anda dapat membuat kelompok pengguna di tab Kelompok Pengguna Kustom. Untuk informasi lebih lanjut, lihat Konfigurasikan kelompok pengguna.
Semua pengguna perusahaan
Aplikasi yang Dipilih
Aplikasi yang berlaku untuk kebijakan tersebut.
Untuk menambahkan aplikasi, klik Tambah. Di tab Tag, pilih tag untuk menambahkan aplikasi yang memiliki tag tersebut. Anda juga dapat memilih aplikasi di tab Aplikasi.
Aplikasi manajemen kehadiran
Batasan Keamanan
Template batasan keamanan yang memenuhi persyaratan keamanan Anda.
-
Status Kebijakan
Status kebijakan. Anda dapat mengaktifkan atau menonaktifkan kebijakan.
Diaktifkan
Langkah 5: Verifikasi hasil konfigurasi
Buka klien SASE, masukkan pengenal autentikasi perusahaan Anda dan klik OK.
Di halaman Settings konsol SASE, Anda dapat mengonfigurasi Enterprise Authentication Identifier.
Masuk ke klien SASE menggunakan nama pengguna dan kata sandi awal yang dikirimkan ke nomor telepon atau email Anda.
Klik Connect.
Akses aplikasi manajemen kehadiran.
Jika Anda dapat mengakses aplikasi tersebut, konfigurasi berhasil.