tambahkan aplikasi kantor enterprise ke SASE - Secure Access Service Edge

Sebelum pengguna dapat mengakses aplikasi kantor melalui jaringan pribadi SASE, tambahkan alamat IP atau titik akhir aplikasi tersebut ke SASE. Setelah ditambahkan, pengguna terhubung melalui client SASE atau browser, tergantung pada mode akses yang Anda konfigurasikan.

Prasyarat

Sebelum memulai, pastikan Anda memiliki:

Akses ke Konsol SASE
Alamat IP, Blok CIDR, atau Nama domain aplikasi kantor
(Opsional) Sertifikat SSL, jika Anda berencana menggunakan Browser-based Access dengan proxy CNAME (dikonfigurasi selama penyiapan)

Jenis aplikasi yang didukung

SASE mendukung dua kategori aplikasi kantor:

Aplikasi pribadi — Aplikasi yang hanya dapat diakses melalui Alamat IP pribadi atau Titik akhir pribadi. Ini merupakan sumber daya TI internal seperti layanan internal, server, dan database, yang hanya dapat diakses oleh pengguna tertentu.
Aplikasi publik dengan daftar putih IP — Aplikasi yang dapat diakses melalui Alamat IP publik atau Titik akhir publik, di mana perusahaan telah mengonfigurasi daftar izin IP untuk membatasi akses hanya ke Blok CIDR tertentu. Contohnya, grup keamanan Elastic Compute Service (ECS) atau kebijakan kontrol akses Cloud Firewall yang hanya mengizinkan akses dari Blok CIDR yang ditentukan.

Cara kerja resolusi nama domain

Ketika pengguna akses pribadi mengirim permintaan resolusi nama domain, SASE melakukan resolusi dalam urutan berikut:

Alibaba Cloud DNS PrivateZone — SASE pertama-tama memeriksa apakah nama domain tersebut diselesaikan oleh PrivateZone. Jika terdapat catatan yang cocok, SASE mengembalikan hasilnya.
Catatan
Jika Alibaba Cloud DNS PrivateZone diterapkan di jaringan Anda, SASE secara otomatis menyinkronkan Rekaman DNS-nya. Tidak diperlukan konfigurasi tambahan di Konsol SASE. Untuk detailnya, lihat Apa itu Private DNS?.
Layanan DNS kustom — Jika PrivateZone tidak mengembalikan hasil, SASE memeriksa apakah layanan DNS kustom telah dikonfigurasi:
- Jika Anda belum mengganti layanan DNS pada client SASE, maka digunakan layanan DNS default.
- Jika Anda telah beralih ke layanan DNS tertentu pada client SASE, maka digunakan layanan DNS tertentu tersebut.
DNS default instans ECS — Jika tidak ada layanan DNS kustom yang dikonfigurasi, permintaan dialihkan ke layanan DNS default instans ECS.

Tambahkan aplikasi kantor

Saat Anda menambahkan aplikasi, SASE secara otomatis membuat kebijakan yang menolak semua akses berdasarkan prinsip keamanan zero-trust. Setelah menambahkan aplikasi, konfigurasikan kebijakan akses untuk memberikan izin kepada pengguna. Lihat Konfigurasikan kebijakan zero trust.

Konfigurasi manual

Masuk ke Konsol SASE.
Di panel navigasi sebelah kiri, pilih Private Access > Application Management.
Pada halaman Office Application, klik Add Application.

Pada tab Manual Configuration, konfigurasikan pengaturan dasar.

Parameter	Description
Application Name	Nama untuk aplikasi. Harus terdiri dari 2–100 karakter dan dapat berisi huruf, angka, tanda hubung (-), garis bawah (_), serta titik (.).
Tag	Tag untuk mengklasifikasikan, mencari, dan mengelola aplikasi. Gunakan tag kustom atau tag default.
Status	Aktifkan atau nonaktifkan aplikasi.
Access Mode	Client-based Access: Memerlukan client SASE. Mendukung aplikasi Lapisan 4 dan Lapisan 7, serta kebijakan deteksi dan kontrol keamanan terminal. Browser-based Access: Tidak memerlukan client. Berfungsi untuk aplikasi web yang diakses melalui browser. Kebijakan deteksi dan kontrol keamanan terminal tidak didukung.

Klik Next dan konfigurasikan alamat aplikasi. Parameter bervariasi tergantung mode akses.

Client-based Access

Parameter	Deskripsi
Application Address	Alamat yang digunakan SASE untuk mengakses aplikasi. Format yang didukung: alamat IP (misalnya, `10.10.XX.XX`), Blok CIDR (misalnya, `10.0.0.0/8`, `172.16.0.0/12`, `192.168.0.0/24`), nama domain spesifik (misalnya, `www.aliyun.com`), atau Nama domain wildcard (misalnya, `*.aliyun.com` — SASE mencocokkan subdomain berdasarkan Port yang Anda tentukan).
Port	Port atau range port yang digunakan oleh aplikasi. Untuk rentang port berurutan, masukkan nilai awal dan akhir (misalnya, 80 hingga 8080). Untuk port tidak berurutan, masukkan setiap port secara terpisah (misalnya, 80 dan 8080). Untuk satu port, masukkan nilai yang sama untuk awal dan akhir (misalnya, 80 hingga 80).
Protocol	TCP atau UDP.
Advanced Settings > Web Application Access Reinforcement	Kebijakan keamanan opsional untuk aplikasi web: Security Verification memeriksa header permintaan Host untuk mencegah bypass berbahaya. Access Tracing menambahkan informasi pengguna ke Header HTTP untuk keperluan audit — sistem bisnis Anda harus mengurai header permintaan yang ditambahkan: `X-Csas-Client-IP` (alamat IP perangkat), `X-Csas-Username` (username), dan `X-Csas-Device-Tag` (ID unik perangkat).

Browser-based Access

Parameter	Deskripsi
Application Address	Alamat yang digunakan SASE untuk mengakses aplikasi. Format yang didukung: alamat IP (misalnya, `10.10.XX.XX`) atau nama domain spesifik (misalnya, `www.aliyun.com`). Blok CIDR dan Nama domain wildcard tidak didukung.
Port	Satu nomor port, dengan nilai awal dan akhir yang sama (misalnya, 80 hingga 80).
Protocol	HTTP atau HTTPS.
Proxy Domain Name (SaaS Proxy Gateway)	Konfigurasikan gerbang proxy menggunakan salah satu dari dua metode: Domain Name Mapping — SASE membuat nama domain baru yang dipetakan ke alamat aplikasi asli; pengguna mengakses aplikasi melalui nama domain baru tersebut. CNAME — Konfigurasikan Rekaman CNAME untuk mengarahkan alamat aplikasi asli ke gerbang zero-trust SASE, yang memastikan pengalaman pengguna yang lancar. Dengan CNAME, konfigurasikan juga: Custom Proxy Domain Name (Rekaman CNAME yang mengarah ke nama domain titik akses SASE), Internal DNS Server (Server DNS yang digunakan untuk menyelesaikan nama domain internal), dan SSL Certificate (Sertifikat untuk domain proxy).
Browser Access Settings	Metode penulisan ulang domain untuk akses browser: HTML-based Internal Domain Rewriting — Menggunakan teknik Penulisan ulang URL HTML untuk memetakan nama domain. Konfigurasikan Address Before Rewriting dan Address After Rewriting. JavaScript-based Internal Request Rewriting — Menggunakan teknik Penulisan ulang URL JavaScript. Konfigurasikan Address Before Rewriting dan Address After Rewriting. Anonymous Access — Mengizinkan permintaan dari alamat IP, Blok CIDR, dan jalur permintaan tertentu tanpa otentikasi.
Advanced Settings	Tulis ulang header dan parameter kueri untuk kontrol yang lebih rinci: Headers Rewrite — Secara dinamis menambahkan, mengonfigurasi, atau menghapus parameter dalam header permintaan dan respons. Query Parameter Rewriting — Secara dinamis menambahkan, mengonfigurasi, atau menghapus parameter kueri.

Klik OK.

Aplikasi akan muncul dalam daftar aplikasi.

Impor batch

Gunakan impor batch untuk menambahkan beberapa aplikasi sekaligus.

Masuk ke Konsol SASE.
Di panel navigasi sebelah kiri, pilih Private Access > Application Management.
Pada halaman Office Application, klik Add Application, lalu pilih tab Batch Import.
Pilih Access Mode — Client-based Access atau Browser-based Access — lalu ikuti langkah-langkah yang sesuai:
- Client-based Access: Klik Layer 4 Download Template, isi templat tersebut, lalu klik Upload Local File untuk mengunggahnya.
- Browser-based Access: Klik Layer 7 Download Template, isi templat tersebut, lalu klik Upload Local File untuk mengunggahnya.
Catatan
Hanya file XLSX yang didukung. Ukuran maksimum file: 100 MB.

Konfigurasikan layanan DNS kustom

Konfigurasikan server DNS kustom untuk mengontrol cara penyelesaian nama domain internal bagi pengguna akses pribadi.

Pada tab Office Application di halaman Application Management, klik Internal DNS Configuration.
Pada kotak dialog DNS Address, konfigurasikan Default DNS Service dan Other DNS Service. Anda dapat menentukan beberapa alamat IP server untuk setiap layanan DNS. Jika resolusi gagal pada satu server, permintaan akan diteruskan ke server berikutnya dalam daftar.

Tambahkan aplikasi ke daftar putih akses pribadi

Jika lalu lintas jaringan untuk aplikasi tertentu tidak perlu diaudit oleh SASE, tambahkan alamatnya ke daftar putih akses pribadi. Lalu lintas jaringan ke alamat yang masuk daftar putih tidak diaudit oleh SASE.

Sebagai contoh, jika Anda telah mendaftarkan Nama domain wildcard *.abc.com di Application Management tetapi subdomain 123.abc.com menangani lalu lintas internal tepercaya yang tidak memerlukan audit, tambahkan 123.abc.com ke daftar putih.

Untuk mengonfigurasi daftar putih, lihat Konfigurasikan daftar putih akses pribadi. Anda dapat menambahkan alamat IP, Blok CIDR, nama domain spesifik, atau Nama domain wildcard.

Edit atau hapus aplikasi kantor

Pada halaman Office Application, temukan aplikasi yang ingin Anda ubah:

Edit: Klik Details di kolom Actions untuk melihat atau mengedit konfigurasi aplikasi di panel Details.
Delete: Klik Delete di kolom Actions untuk menghapus aplikasi.
Penting
Setelah aplikasi kantor dihapus, pengguna tidak dapat lagi mengakses aplikasi tersebut. Lakukan dengan hati-hati.

Langkah berikutnya

Konfigurasikan kebijakan zero trust — Buat kebijakan kontrol akses untuk mengizinkan pengguna tertentu mengakses aplikasi yang telah Anda tambahkan.
Konfigurasikan zona kantor tepercaya — Jika pengguna bekerja dari lokasi dan jaringan kantor tepercaya serta lalu lintas jaringan ke aplikasi tidak perlu diaudit, konfigurasikan zona kantor tepercaya untuk melewati inspeksi pada jaringan tersebut.