Elastic Desktop Service (EDS) Enterprise menyediakan bandwidth publik untuk akses jaringan pengguna dan menerapkan langkah-langkah keamanan guna melindungi komputer cloud dari ancaman eksternal maupun internal. Untuk membantu Anda mengelola perilaku jaringan, EDS Enterprise menyediakan kebijakan grup keamanan dan kontrol nama domain guna mengatur akses jaringan pengguna.
01 Akses jaringan
1.1 Kebijakan grup keamanan
Elastic Desktop Service (EDS) Enterprise menyediakan kebijakan kontrol grup keamanan bagi administrator untuk mengelola izin akses jaringan komputer cloud dalam organisasi mereka. Kebijakan kontrol grup keamanan terdiri atas serangkaian aturan grup keamanan. Mirip dengan aturan grup keamanan Elastic Compute Service, Anda dapat mengatur arah aturan (inbound atau outbound), aksi (Allow atau Deny), prioritas, jenis protokol, range port, objek otorisasi (alamat IP atau Blok CIDR), serta deskripsi. Dengan menggabungkan aturan yang memiliki cakupan dan prioritas berbeda, administrator dapat menerapkan pendekatan daftar putih, hanya mengizinkan akses dari sumber tertentu.
Anda dapat menambahkan aturan kontrol grup keamanan inbound atau outbound untuk lebih mengontrol lalu lintas komputer cloud Anda. Berikut adalah contoh konfigurasi aturan kontrol grup keamanan:
Skenario 1
Secara default, semua akses outbound dari komputer cloud diizinkan. Anda dapat menambahkan aturan outbound berikut untuk hanya mengizinkan akses ke alamat IP tertentu:
Aturan 1: Tolak semua akses outbound. Contoh:
Direction
Policy
Priority
Protocol type
Port range
Authorization object
Outbound
Deny
2
All
-1/-1
0.0.0.0/0
Aturan 2: Izinkan akses ke alamat IP tertentu. Prioritas aturan ini harus lebih tinggi daripada Aturan 1. Contoh:
Direction
Policy
Priority
Protocol type
Port range
Authorization object
Outbound
Allow
1
Select the applicable protocol type.
Set an appropriate port range.
The IP address to allow access to, for example: 192.168.1.1/32.
Skenario 2
Dalam lingkungan VPC, Anda dapat menambahkan aturan inbound untuk mengizinkan akses dari alamat IP tertentu ke komputer cloud. Contoh:
Direction | Policy | Priority | Protocol type | Port range | Authorization object |
Inbound | Allow | 1 | Select the applicable protocol type. | Set an appropriate port range. | The IP address to allow access from, for example: 192.168.1.1/32. |
Skenario 3
Asumsikan Komputer Cloud A dikaitkan dengan Kebijakan A, dan Komputer Cloud B dikaitkan dengan Kebijakan B. Dalam lingkungan VPC, Komputer Cloud A dan Komputer Cloud B tidak dapat saling berkomunikasi karena semua akses inbound ditolak secara default. Anda dapat menambahkan aturan inbound berikut ke Kebijakan A dan Kebijakan B untuk mengaktifkan komunikasi jaringan di antara keduanya:
Pada Kebijakan A, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud B. Contoh:
Direction
Policy
Priority
Protocol type
Port range
Authorization object
Inbound
Allow
1
Select the applicable protocol type.
Set an appropriate port range.
IP address of Cloud Computer B.
Pada Kebijakan B, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud A. Contoh:
Direction
Policy
Priority
Protocol type
Port range
Authorization object
Inbound
Allow
1
Select the applicable protocol type.
Set an appropriate port range.
IP address of Cloud Computer A.
|
1.2 Kontrol nama domain
Elastic Desktop Service (EDS) Enterprise menyediakan kebijakan kontrol nama domain yang memungkinkan administrator mengelola akses jaringan komputer cloud berdasarkan nama domain. Berbeda dengan kebijakan kontrol grup keamanan, kontrol nama domain menggunakan aturan DNS untuk mengelola akses berdasarkan nama domain. Untuk setiap aturan, Anda mengonfigurasi nama domain dan aksi (Allow atau Deny). Fitur ini juga mendukung karakter wildcard (*), yang secara signifikan menyederhanakan proses pengelolaan akses ke situs web dan layanan tertentu.
Sebagai contoh, untuk menerapkan kontrol akses detail halus terhadap domain yang tercantum dalam tabel berikut, Anda dapat mengonfigurasi aturan DNS seperti yang ditunjukkan.
Domain | Example | Access policy | Description |
Second-level domain |
| Allow | When the cloud computer accesses |
Third-level domain |
| Deny | When the cloud computer accesses |
| Allow | When the cloud computer accesses | |
Fourth-level domain |
| Deny | When the cloud computer accesses |
| Allow | When the cloud computer accesses | |
| Allow |
|
02 Batas jaringan
2.1 Interkomunikasi jaringan kantor
Komputer cloud berjalan dalam grup keamanan yang dibuat secara otomatis bersama jaringan kantor (sebelumnya ruang kerja). Komputer tersebut tidak memiliki alamat IP yang menghadap ke publik atau port terbuka. Grup keamanan memblokir seluruh lalu lintas eksternal kecuali koneksi protokol ASP dari streaming gateway. Desain ini memastikan bahwa serangan jaringan eksternal tidak dapat mencapai komputer cloud. Mekanisme keamanan dasar Elastic Desktop Service (EDS) Enterprise ini tidak dapat dimodifikasi.
Secara default, grup keamanan juga mencegah komunikasi antar komputer cloud. Hal ini mencegah pengguna jahat menyerang komputer cloud lain dan menghentikan penyebaran infeksi dari komputer cloud yang telah dikompromikan ke komputer lain di jaringan internal. Administrator dapat mengaktifkan akses jaringan antar komputer cloud dalam jaringan kantor mereka sesuai kebutuhan bisnis. Jika Anda mengaktifkan akses ini, Anda dapat menggunakan kebijakan kontrol jaringan tambahan untuk mengurangi risiko keamanan terkait.
|