Topik ini menjelaskan kebijakan terkait keamanan di WUYING Workspace.
Informasi latar belakang
Kebijakan terkait keamanan untuk desktop cloud mencakup hal-hal berikut:
Kontrol logon pengguna: mengatur metode logon dan daftar putih alamat IP untuk akses desktop cloud.
Keamanan tampilan: fitur anti-screenshot dan watermark.
Kontrol clipboard: pengaturan granularitas dan izin salin.
Keamanan data: transfer file, transfer file melalui klien web, serta kontrol kecepatan transfer penuh.
Akses jaringan: kontrol security group dan kontrol akses nama domain.
Audit perekaman layar.
Manajemen citra: pengaturan ulang citra desktop cloud.
Snapshot yang ditentukan end user.
Kontrol logon pengguna
Skenario
Kebijakan Logon Method Control membatasi jenis WUYING Terminal yang dapat digunakan oleh end user untuk menghubungkan ke desktop cloud.
Misalnya, untuk memastikan keamanan informasi perusahaan, administrator dapat mengonfigurasi kebijakan agar hanya mengizinkan koneksi ke desktop cloud dari Windows client, macOS client, dan .
Kebijakan Cloud Desktop Access IP Whitelist membatasi rentang alamat IP WUYING Terminal yang dapat digunakan untuk menghubungkan ke desktop cloud.
Misalnya, untuk memastikan keamanan informasi perusahaan, administrator dapat menambahkan blok CIDR WUYING Terminal di kantor ke daftar putih. Hal ini memastikan bahwa karyawan hanya dapat menghubungkan ke desktop cloud dari WUYING Terminal di kantor, bukan dari lokasi lain.
Konfigurasi
Item konfigurasi | Deskripsi |
Logon Method Control | Membatasi jenis WUYING Terminal yang dapat digunakan oleh end user. Opsi yang tersedia meliputi:
Semua opsi dipilih secara default. Hapus centang pada jenis terminal sesuai kebutuhan. |
Cloud Desktop Access IP Whitelist | Menentukan rentang alamat IP WUYING Terminal yang dapat menghubungkan ke desktop cloud. Klik Add IP Address Range. Di kotak dialog Add IP CIDR Block, masukkan Source CIDR Block yang diizinkan, lalu klik OK. Rentang alamat IP harus dalam format CIDR. Contohnya, |
Keamanan tampilan
Skenario
Fitur Anti-screenshot mencegah kebocoran data akibat tangkapan layar atau perekaman layar.
Misalnya, untuk mencegah penggunaan gambar desain tanpa izin, sebuah perusahaan desain arsitektur mengaktifkan kebijakan anti-screenshot untuk desktop cloud-nya. Hal ini mencegah pengguna menggunakan alat screenshot pada perangkat lokal untuk menangkap atau merekam layar desktop cloud.
Fitur Watermark membantu mencegah kebocoran data sekaligus menyediakan jejak audit.
Misalnya, sebuah perusahaan periklanan mengaktifkan watermark untuk desktop cloud-nya. Jika seorang karyawan mengambil tangkapan layar file internal di desktop cloud, tangkapan tersebut akan berisi watermark yang ditentukan administrator. Ini secara efektif mencegah kebocoran file internal. Jika terjadi kebocoran data, watermark tersebut juga dapat menjadi jejak audit penting.
Cakupan penerapan
Item konfigurasi | Versi citra minimum | Klien dan versi minimum |
Anti-screenshot | Tidak ada persyaratan | Windows client dan macOS client V5.2 |
Invisible watermark strength | 1.8.0 | Tidak ada persyaratan |
Anti-photo for invisible watermark | 1.8.0 | Any client V6.7 |
Konfigurasi
Item konfigurasi | Deskripsi |
Anti-screenshot | Fitur anti-screenshot digunakan untuk pencegahan kebocoran data. Setelah Anda mengaktifkan fitur ini, end user tidak dapat menggunakan alat screenshot pada perangkat lokal mereka untuk menangkap atau merekam layar desktop cloud. Catatan
|
Watermark | Fitur watermark digunakan untuk pencegahan kebocoran data. Fitur ini memiliki peran pencegahan sekaligus audit. Visible watermarkVisible watermark terlihat oleh mata telanjang. Anda dapat mengatur konten dan gaya tampilan watermark tersebut.
Saat konfigurasi, Anda dapat melihat pratinjau gaya tampilan visible watermark di area pratinjau di bawah. Invisible watermarkInvisible watermark tidak terlihat oleh mata telanjang. Algoritma invisible watermark default yang disediakan oleh WUYING Workspace mengenkripsi informasi watermark berdasarkan identitas Akun Alibaba Cloud yang berbeda untuk mencegah perubahan jahat. Item konfigurasi untuk invisible watermark meliputi:
|
Kueri log transfer
Untuk informasi selengkapnya tentang cara mengkueri catatan rinci transfer file, lihat View file transfer logs.
Keamanan data
Cakupan penerapan
Pemetaan disk lokal
Kontrol clipboard:
Teks dan gambar dapat ditransfer tanpa syarat apa pun.
Transfer file memerlukan Windows client (V7.3 atau lebih baru).
Kontrol detail halus memerlukan versi citra desktop cloud 2.4 atau lebih baru. Jika tidak, semua operasi salin ditolak.
Transfer file klien web: Bahkan jika diatur ke Allow Upload and Download, pengaturan ini tidak berlaku untuk desktop cloud Linux yang menggunakan protokol HDX. Untuk menggunakan fitur transfer file pada desktop cloud tersebut, Anda harus menggunakan kebijakan sistem default (kebijakan semua diaktifkan).
Konfigurasi
Item konfigurasi | Deskripsi |
Pemetaan disk lokal | |
Pemetaan disk lokal | Memetakan disk perangkat lokal ke disk komputer cloud. Hal ini memungkinkan komputer cloud mengakses disk perangkat lokal. Nilai yang valid:
|
Kontrol clipboard | |
Granularitas kontrol | Pilih cakupan penerapan pengaturan izin clipboard. Opsi yang tersedia meliputi:
|
Izin copy teks | Atur izin clipboard berdasarkan tipe data. Opsi yang tersedia meliputi:
|
Izin copy rich text/gambar | |
Izin copy file/folder | |
Batas copy teks | Tetapkan batas atas untuk teks yang disalin. Saat end user menyalin teks, bagian yang melebihi batas akan dipotong. |
Keamanan data | |
Transfer file klien web | Atur apakah file dapat ditransfer antara desktop cloud dan perangkat lokal menggunakan web client. |
Akses jaringan
Kontrol akses nama domain
Kebijakan kontrol akses nama domain mengizinkan atau menolak akses ke nama domain tertentu dari dalam desktop cloud. Misalnya, jika peraturan perusahaan melarang karyawan mengunjungi situs web yang tidak terkait pekerjaan selama jam kerja, administrator dapat menambahkan nama domain situs hiburan ke aturan deny DNS.
Skenario
Secara default, akses ke nama domain apa pun diizinkan dari dalam desktop cloud. Kontrol akses nama domain digunakan untuk mengizinkan atau menolak akses ke nama domain tertentu dan mendukung kontrol multi-level serta detail halus terhadap izin akses nama domain.
Misalnya, asumsikan Anda memiliki nama domain seperti pada tabel berikut. Anda dapat mengonfigurasi aturan DNS seperti pada tabel untuk menerapkan kontrol izin detail halus.
Nama domain | Contoh | Kebijakan akses | Deskripsi |
Nama domain tingkat kedua |
| Allow | Saat desktop cloud mengakses |
Nama domain tingkat ketiga |
| Deny | Saat desktop cloud mengakses |
| Allow | Saat desktop cloud mengakses | |
Nama domain tingkat keempat |
| Deny | Saat desktop cloud mengakses |
| Allow | Saat desktop cloud mengakses | |
| Allow |
Batasan
Batasan nama domain
Untuk memastikan end user dapat menggunakan desktop cloud secara normal, nama domain keamanan cadangan berikut tidak tunduk pada aturan DNS. Artinya, desktop cloud selalu dapat mengakses nama domain tersebut. Jika Anda mengatur kebijakan akses untuk nama domain ini ke Deny, aturan tersebut tidak berlaku.
*.gws.aliyun*.aliyun.com*.alicdn.com*.aliyunpds.com*.aliyuncds.com*.aliyuncs.com
Batasan sistem operasi
Kebijakan kontrol akses nama domain hanya berlaku pada desktop cloud yang menjalankan sistem operasi Windows.
Batasan jumlah aturan
Anda dapat mengonfigurasi maksimal 300 aturan DNS.
Konfigurasi
Di bagian Domain Name Access Control (formerly DNS Policy), klik Add DNS Rule. Di kotak dialog Add DNS Rule, lengkapi konfigurasi berikut lalu klik OK.
Item konfigurasi | Deskripsi |
Domain Name | Masukkan nama domain yang ingin Anda atur aturan DNS-nya. Anda hanya dapat menambahkan satu nama domain dalam satu waktu. Karakter wildcard |
Description | Deskripsi kustom untuk aturan DNS. |
Access Policy | Anda dapat memilih Allow atau Deny. Catatan
|
Kontrol security group
Security group adalah mekanisme keamanan yang mengontrol lalu lintas inbound dan outbound desktop cloud untuk meningkatkan keamanannya.
Skenario
Aturan security group didefinisikan oleh properti seperti arah aturan, kebijakan otorisasi, prioritas, jenis protokol, dan range port. Sebelum komunikasi data dibangun dengan desktop cloud, sistem memeriksa aturan security group dalam kebijakan yang terkait dengan desktop cloud untuk menentukan apakah permintaan akses diizinkan:
Untuk aturan dengan kebijakan otorisasi Allow, jika permintaan akses cocok dengan aturan tersebut, permintaan akses diizinkan.
Untuk aturan dengan kebijakan otorisasi Deny, jika permintaan akses cocok dengan aturan tersebut, permintaan akses dicegat dan paket data dibuang.
Anda dapat menambahkan aturan security group inbound atau outbound sesuai kebutuhan untuk mengontrol lalu lintas inbound dan outbound desktop cloud Anda. Bagian berikut memberikan contoh konfigurasi aturan security group dalam skenario berbeda:
Contoh 1
Secara default, desktop cloud mengizinkan semua akses outbound. Anda dapat menambahkan aturan outbound berikut untuk mengizinkan desktop cloud mengakses hanya alamat IP tertentu:
Aturan 1: Tolak semua akses outbound. Contohnya:
Arah aturan
Otorisasi
Prioritas
Jenis Protokol
Port Range
Obyek otorisasi
Outbound
Reject
2
All
-1/-1
0.0.0.0/0
Aturan 2: Izinkan akses ke alamat IP tertentu. Aturan ini berdasarkan Aturan 1 dan harus memiliki prioritas lebih tinggi daripada Aturan 1. Contohnya:
Arah aturan
Otorisasi
Prioritas
Jenis Protokol
Rentang port
Obyek otorisasi
Outbound
Allow
1
Pilih jenis protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP yang diizinkan akses, misalnya 192.168.1.1/32.
Contoh 2
Dalam lingkungan jaringan pribadi perusahaan, Anda dapat menambahkan aturan inbound untuk mengizinkan akses dari alamat IP tertentu. Hal ini memungkinkan alamat IP tersebut mengakses desktop cloud. Contohnya:
Arah aturan | Otorisasi | Prioritas | Jenis Protokol | Range port | Obyek otorisasi |
Inbound | Allow | 1 | Pilih jenis protokol yang sesuai. | Tentukan range port yang sesuai. | Alamat IP yang diizinkan akses, misalnya 192.168.1.1/32. |
Contoh 3
Asumsikan desktop cloud A dikaitkan dengan kebijakan A, dan desktop cloud B dikaitkan dengan kebijakan B. Dalam lingkungan jaringan pribadi perusahaan, desktop cloud A dan B tidak dapat saling mengakses karena desktop cloud secara default menolak semua akses inbound. Anda dapat menambahkan aturan inbound berikut ke kebijakan A dan B untuk mengaktifkan komunikasi jaringan antara desktop cloud A dan B:
Di kebijakan A, tambahkan aturan inbound untuk mengizinkan akses dari desktop cloud B. Contohnya:
Arah aturan
Otorisasi
Prioritas
Jenis Protokol
Rentang port
Obyek otorisasi
Inbound
Allow
1
Pilih jenis protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP desktop cloud B.
Di kebijakan B, tambahkan aturan inbound untuk mengizinkan akses dari desktop cloud A. Contohnya:
Arah aturan
Otorisasi
Prioritas
Jenis Protokol
Port Range
Obyek otorisasi
Inbound
Allow
1
Pilih jenis protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP desktop cloud A.
Batasan
Batasan jumlah aturan
Anda dapat mengonfigurasi maksimal 200 aturan security group.
Batasan aturan inbound
Secara default, desktop cloud mengizinkan semua akses outbound. Akses inbound tunduk pada prinsip berikut:
Dalam lingkungan Internet, desktop cloud tidak mendukung akses inbound. Bahkan jika Anda mengonfigurasi aturan security group inbound untuk mengizinkan akses, aturan tersebut tidak berlaku.
Dalam lingkungan jaringan pribadi perusahaan, desktop cloud secara default menolak semua akses inbound. Namun, Anda dapat mengonfigurasi aturan security group inbound untuk mengizinkan permintaan akses yang memenuhi persyaratan tertentu.
Konfigurasi
Di bagian Security Group Control, klik Add Security Group Rule. Di kotak dialog Add Security Group Rule, lengkapi konfigurasi berikut lalu klik OK.
Item konfigurasi | Deskripsi |
Arah aturan |
|
Otorisasi |
|
Prioritas | Nilai prioritas berkisar antara 1 hingga 60. Nilai yang lebih kecil menunjukkan prioritas yang lebih tinggi. Untuk aturan jenis yang sama, aturan dengan prioritas tertinggi yang berlaku. |
Jenis Protokol | Mendukung protokol TCP, UDP, ICMP (IPv4), dan GRE. |
Range port | Port yang dibuka oleh aplikasi atau protokol. Jika Anda memilih Custom TCP atau Custom UDP untuk Jenis Protokol, Anda dapat mengatur port kustom. Saat mengatur port, Anda dapat memasukkan port spesifik (misalnya |
Obyek otorisasi | Rentang alamat IPv4 dalam format CIDR. |
Description | Deskripsi kustom untuk aturan tersebut. |
Langkah selanjutnya
Secara default, desktop cloud menolak semua akses inbound dan mengizinkan semua akses outbound. Artinya, terdapat aturan default yang mengizinkan semua akses outbound. Dalam kasus ini, aturan outbound yang Anda tambahkan bertentangan dengan aturan default. Bergantung pada jaringan kantor tempat desktop cloud berada, Anda mungkin perlu menyesuaikan prioritas aturan default agar aturan baru Anda dapat berlaku.
Jika Anda menggunakan versi baru jaringan kantor (format ID: ID wilayah+dir+10 digit), aturan default memiliki prioritas terendah. Aturan yang Anda tambahkan langsung berlaku, dan tidak diperlukan tindakan tambahan.
Jika Anda menggunakan jaringan kantor yang ditingkatkan dari direktori lama (format ID: ID wilayah+dir+17 huruf dan angka), aturan default memiliki prioritas tertinggi. Anda harus menyesuaikan prioritas aturan default secara manual. Langkah-langkahnya sebagai berikut:
Temukan jaringan kantor tempat desktop cloud berada lalu klik ID jaringan kantor tersebut.
Di halaman detail jaringan kantor, klik ID security group.
Di halaman Security Groups, klik ID security group tersebut.
Di halaman Security Group Rules, klik tab Outbound lalu ubah prioritas aturan yang sesuai.
Kami menyarankan Anda mengatur prioritas ke 60. Hal ini memastikan bahwa aturan outbound yang Anda tambahkan secara manual nanti langsung berlaku.
Snapshot yang ditentukan end user
Snapshot yang ditentukan end user
Kebijakan snapshot yang ditentukan end user mengontrol apakah end user dapat membuat titik pemulihan kustom di klien.
Skenario
End user dapat menggunakan titik pemulihan untuk backup dan memulihkan data desktop cloud. Misalnya, sebelum melakukan operasi berisiko seperti memodifikasi file sistem kritis, end user dapat membuat titik pemulihan.
Untuk mencegah pemborosan sumber daya akibat kesalahan pengguna atau pembuatan titik pemulihan yang berlebihan, administrator dapat menggunakan kebijakan ini untuk mengontrol apakah end user dapat membuat titik pemulihan kustom.
Batasan
Fitur ini hanya tersedia ketika desktop cloud ditugaskan untuk satu pengguna saja.
Konfigurasi
Jika tombol di sebelah kanan bagian End user-defined snapshots diatur ke On, pengguna akhir dapat menetapkan titik pemulihan kustom di halaman Management pada kartu desktop cloud.
Jika sakelar di sebelah kanan bagian End user-defined snapshots dinonaktifkan Disabled, entri fitur titik pemulihan kustom disembunyikan di halaman Management dan tidak terlihat oleh end user.