Topik ini menjelaskan aturan terkait keamanan dalam kebijakan Elastic Desktop Service (EDS).
Latar belakang
Aturan terkait keamanan dalam kebijakan komputer cloud mencakup:
Kontrol logon pengguna: Kontrol Metode Logon dan daftar izin blok CIDR.
Keamanan tampilan: Anti-screenshot dan Watermark.
Kontrol clipboard: Granularitas Manajemen dan Izin Salin.
Keamanan data: Transfer File, Transfer File Klien Web, dan kontrol transfer kecepatan penuh.
Akses jaringan: Kontrol Security Group dan Kontrol Akses Nama Domain.
Audit perekaman layar.
Manajemen Image: Reset Image.
Snapshot kustom end user.
Kontrol logon pengguna
Kasus penggunaan
Aturan Logon Method Control membatasi jenis klien Alibaba Cloud Workspace yang dapat digunakan oleh end user untuk menghubungkan ke komputer cloud mereka.
Contoh: Untuk meningkatkan keamanan informasi perusahaan, administrator menetapkan aturan agar hanya mengizinkan koneksi dari klien Windows, klien macOS.
Aturan CIDR Block Whitelist membatasi rentang alamat IP dari mana klien Alibaba Cloud Workspace dapat menghubungkan ke komputer cloud.
Contoh: Untuk memperkuat keamanan, administrator menambahkan rentang alamat IP jaringan kantor ke daftar izin. Hal ini memastikan bahwa karyawan hanya dapat menghubungkan ke komputer cloud mereka dari kantor, serta memblokir akses dari lokasi lain.
Parameter
Parameter | Deskripsi |
Logon method control | Membatasi jenis klien Alibaba Cloud Workspace yang dapat digunakan oleh end user. Opsi yang tersedia meliputi:
Semua opsi dipilih secara default. Anda dapat menghapus centang pada jenis klien sesuai kebutuhan. |
Cidr block allowlist | Menentukan rentang alamat IP dari mana klien Alibaba Cloud Workspace dapat menghubungkan ke komputer cloud. Klik Add CIDR Block. Di kotak dialog Add CIDR Block, masukkan Source CIDR Block yang diizinkan, lalu klik OK. Rentang alamat IP harus berupa blok CIDR. Contohnya: |
Keamanan tampilan
Kasus penggunaan
Fitur Anti-screenshot membantu mencegah kebocoran data akibat tangkapan layar atau rekaman.
Contoh: Perusahaan desain arsitektur mengaktifkan aturan anti-screenshot untuk komputer cloud-nya guna mencegah penyalinan tidak sah gambar desain. Akibatnya, tidak ada yang dapat menggunakan alat tangkapan layar di perangkat lokal mereka untuk mengambil screenshot atau merekam layar komputer cloud.
Fitur Watermark digunakan untuk pencegahan kehilangan data, sekaligus sebagai sarana pencegahan dan audit.
Contoh: Perusahaan periklanan mengaktifkan watermark pada komputer cloud-nya. Saat seorang karyawan mengambil screenshot dokumen internal, gambar tersebut akan ditimpa dengan watermark yang ditentukan administrator. Hal ini secara efektif mencegah kebocoran file internal dan menyediakan jejak audit penting jika terjadi pelanggaran data.
Penerapan
Fitur | Versi gambar minimum | Klien dan versi minimum |
Anti-screenshot | N/A | klien Windows dan klien macOS V5.2 |
Invisible watermark intensity | 1.8.0 | N/A |
Invisible watermark with anti-photography | 1.8.0 | Semua klien V6.7 |
Parameter
Parameter | Deskripsi |
Anti-screenshot | Fitur ini membantu mencegah kebocoran data. Saat diaktifkan, end user tidak dapat menggunakan alat tangkapan layar di perangkat lokal mereka untuk mengambil screenshot atau merekam layar komputer cloud. Catatan
|
Watermark | Fitur ini digunakan untuk pencegahan kehilangan data, sekaligus sebagai sarana pencegahan dan audit. Visible watermarkVisible watermark adalah timpaan yang terlihat di layar. Anda dapat mengonfigurasi konten dan gaya tampilannya.
Saat mengonfigurasi, Anda dapat melihat pratinjau real-time watermark yang terlihat di area pratinjau di bawah. Invisible watermarkInvisible watermark tidak terlihat oleh mata telanjang. Algoritma default yang disediakan oleh Elastic Desktop Service (EDS) mengenkripsi informasi watermark berdasarkan identitas Akun Alibaba Cloud yang berbeda untuk mencegah perubahan jahat. Parameter invisible watermark meliputi:
|
Kueri log transfer
Untuk informasi tentang cara mengkueri catatan detail transfer file, lihat Lihat log transfer file.
Keamanan data
Penerapan
Pemetaan disk lokal
Kontrol clipboard:
Tidak ada prasyarat untuk mentransfer teks dan gambar.
Transfer file memerlukan klien Windows V7.3 atau yang lebih baru.
Kontrol detail halus memerlukan versi gambar komputer cloud 2.4 atau yang lebih baru. Jika tidak, semua operasi salin akan diblokir.
Transfer file klien web: Meskipun diatur ke Allow Upload/Download, kebijakan ini tidak berlaku untuk komputer cloud berbasis Linux yang menggunakan protokol HDX. Untuk mengaktifkan transfer file pada komputer cloud tersebut, Anda harus menggunakan kebijakan sistem default yang telah mengaktifkan semua fitur.
Parameter
Parameter | Deskripsi |
Pemetaan disk lokal | |
Pemetaan disk lokal | Memetakan disk perangkat on-premises ke disk WUYING Workspace. Hal ini memungkinkan Anda mengakses data di disk lokal dari WUYING Workspace. Opsi yang tersedia meliputi:
|
Kontrol clipboard | |
Granularitas manajemen | Parameter ini menentukan cakupan pengaturan izin clipboard. Opsi yang tersedia meliputi:
|
Izin salin teks | Menetapkan izin clipboard berdasarkan tipe data. Opsi yang tersedia meliputi:
|
Izin salin teks kaya/gambar | |
Izin salin file/folder | |
Ukuran maksimum salinan teks | Menetapkan ukuran maksimum untuk teks yang disalin. Teks yang melebihi batas ini akan dipotong. |
Keamanan data | |
Transfer file klien web | Mengontrol apakah file dapat ditransfer antara komputer cloud dan perangkat lokal menggunakan klien Web. |
Akses jaringan
Kontrol akses nama domain
Aturan kontrol akses nama domain mengizinkan atau menolak akses ke domain tertentu dari dalam komputer cloud. Misalnya, untuk mematuhi peraturan perusahaan, administrator dapat menambahkan domain yang terkait hiburan ke daftar tolak guna mencegah karyawan mengakses situs web yang tidak terkait pekerjaan selama jam kerja.
Kasus penggunaan
Secara default, akses ke semua domain diizinkan dari komputer cloud. Kontrol akses nama domain digunakan untuk mengizinkan atau menolak akses ke domain tertentu dan mendukung kontrol akses domain multi-level yang detail halus.
Contoh: Untuk domain yang tercantum dalam tabel berikut, Anda dapat mengonfigurasi aturan DNS untuk mencapai kontrol akses detail halus.
Domain | Contoh | Kebijakan akses | Deskripsi |
Domain tingkat kedua |
| Allow | Saat komputer cloud mengakses |
Domain tingkat ketiga |
| Deny | Saat komputer cloud mengakses |
| Allow | Saat komputer cloud mengakses | |
Domain tingkat keempat |
| Deny | Saat komputer cloud mengakses |
| Allow | Saat komputer cloud mengakses | |
| Allow |
Batasan
Batasan domain
Untuk memastikan end user dapat menggunakan komputer cloud mereka dengan baik, domain keamanan cadangan berikut tidak tunduk pada aturan DNS. Akses ke domain-domain ini selalu diizinkan. Jika Anda menetapkan kebijakan akses untuk domain-domain ini ke Deny, aturan tersebut tidak akan berlaku.
*.gws.aliyun*.aliyun.com*.alicdn.com*.aliyunpds.com*.aliyuncds.com*.aliyuncs.com
Batasan sistem operasi
Aturan kontrol akses nama domain hanya berlaku untuk komputer cloud yang menjalankan sistem operasi Windows.
Batas jumlah aturan
Anda dapat membuat hingga 300 aturan DNS.
Parameter
Di bagian Domain Name Access Control (Formerly DNS Feature), klik Add Rule. Di kotak dialog Add Rule, konfigurasikan parameter berikut dan klik OK.
Parameter | Deskripsi |
Nama domain | Masukkan nama domain yang ingin Anda atur aturan DNS-nya. Anda hanya dapat menambahkan satu nama domain dalam satu waktu. Karakter wildcard |
Deskripsi | Deskripsi kustom untuk aturan DNS. |
Kebijakan akses | Pilih Allow atau Reject. Catatan
|
Kontrol security group
Security group adalah mekanisme keamanan yang mengontrol lalu lintas inbound dan outbound komputer cloud untuk meningkatkan keamanannya.
Kasus penggunaan
Aturan security group didefinisikan berdasarkan properti seperti arah, kebijakan, prioritas, tipe protokol, dan range port. Sebelum membangun komunikasi data dengan komputer cloud, sistem mengevaluasi permintaan terhadap aturan security group dalam kebijakan terkait untuk menentukan apakah akses diberikan:
Untuk aturan dengan kebijakan Allow, jika permintaan akses cocok dengan aturan, permintaan tersebut diizinkan.
Untuk aturan dengan kebijakan Deny, jika permintaan akses cocok dengan aturan, permintaan tersebut diblokir dan paket data langsung di-drop.
Anda dapat menambahkan aturan kontrol security group inbound atau outbound untuk lebih mengontrol lalu lintas komputer cloud Anda. Berikut adalah contoh konfigurasi aturan kontrol security group:
Skenario 1
Secara default, semua akses outbound dari komputer cloud diizinkan. Anda dapat menambahkan aturan outbound berikut untuk hanya mengizinkan akses ke alamat IP tertentu:
Aturan 1: Tolak semua akses outbound. Contoh:
Arah
Kebijakan
Prioritas
Tipe protokol
Port Range
Obyek otorisasi
Outbound
Deny
2
All
-1/-1
0.0.0.0/0
Aturan 2: Izinkan akses ke alamat IP tertentu. Prioritas aturan ini harus lebih tinggi daripada Aturan 1. Contoh:
Arah
Kebijakan
Prioritas
Tipe protokol
Rentang port
Obyek otorisasi
Outbound
Allow
1
Pilih tipe protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP yang diizinkan diakses, misalnya: 192.168.1.1/32.
Skenario 2
Dalam lingkungan VPC, Anda dapat menambahkan aturan inbound untuk mengizinkan akses dari alamat IP tertentu ke komputer cloud. Contoh:
Arah | Kebijakan | Prioritas | Tipe protokol | Rentang port | Obyek otorisasi |
Inbound | Allow | 1 | Pilih tipe protokol yang sesuai. | Tentukan range port yang sesuai. | Alamat IP yang diizinkan mengakses, misalnya: 192.168.1.1/32. |
Skenario 3
Asumsikan Komputer Cloud A dikaitkan dengan Kebijakan A, dan Komputer Cloud B dikaitkan dengan Kebijakan B. Dalam lingkungan VPC, Komputer Cloud A dan Komputer Cloud B tidak dapat berkomunikasi karena semua akses inbound ditolak secara default. Anda dapat menambahkan aturan inbound berikut ke Kebijakan A dan Kebijakan B untuk mengaktifkan komunikasi jaringan di antara keduanya:
Di Kebijakan A, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud B. Contoh:
Arah
Kebijakan
Prioritas
Tipe protokol
Rentang port
Obyek otorisasi
Inbound
Allow
1
Pilih tipe protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP Komputer Cloud B.
Di Kebijakan B, tambahkan aturan inbound untuk mengizinkan akses dari Komputer Cloud A. Contoh:
Petunjuk
Kebijakan
Prioritas
Tipe protokol
Rentang port
Obyek otorisasi
Inbound
Allow
1
Pilih tipe protokol yang sesuai.
Tentukan range port yang sesuai.
Alamat IP Komputer Cloud A.
Batasan
Batas jumlah aturan
Anda dapat membuat hingga 200 aturan kontrol security group.
Batasan aturan inbound
Secara default, komputer cloud mengizinkan semua akses outbound. Akses inbound mengikuti prinsip berikut:
Di internet, komputer cloud tidak mendukung akses inbound apa pun. Bahkan jika Anda menetapkan aturan security group inbound ke Allow, aturan tersebut tidak berlaku.
Dalam lingkungan VPC, komputer cloud menolak semua akses inbound secara default. Namun, Anda dapat menetapkan aturan security group inbound ke Allow untuk mengizinkan permintaan akses tertentu.
Parameter
Di bagian Security Group Control, klik Add Rule. Di kotak dialog Add Rule, konfigurasikan parameter berikut dan klik OK.
Parameter | Deskripsi |
Arah |
|
Kebijakan |
|
Prioritas | Nilai dari 1 hingga 60, di mana nilai yang lebih kecil menunjukkan prioritas lebih tinggi. Aturan dengan prioritas lebih tinggi memiliki keutamaan. |
Tipe protokol | TCP, UDP, ICMP (IPv4), dan GRE didukung. |
Range port | Port yang digunakan oleh aplikasi atau protokol. Saat tipe protokol yang dipilih adalah Custom TCP atau Custom UDP, Anda dapat menetapkan port kustom. Anda dapat memasukkan port tertentu, seperti |
Obyek otorisasi | Rentang alamat IPv4 dalam format CIDR. |
Deskripsi | Deskripsi kustom untuk aturan. |
Langkah selanjutnya
Secara default, komputer cloud menolak semua lalu lintas inbound tetapi mengizinkan semua lalu lintas outbound. Hal ini dikelola oleh aturan default yang mengizinkan semua akses outbound. Aturan outbound yang Anda tambahkan akan bertentangan dengan aturan default. Bergantung pada jaringan kantor tempat komputer cloud Anda berada, Anda mungkin perlu menyesuaikan prioritas aturan default agar aturan baru Anda berlaku.
Jika Anda menggunakan jaringan kantor baru (format ID:
region ID+dir+10 digit), aturan default memiliki prioritas terendah, sehingga aturan yang Anda tambahkan akan langsung berlaku tanpa langkah tambahan.Jika Anda menggunakan jaringan kantor yang ditingkatkan dari versi lama (format ID:
region ID+dir+17 huruf dan digit), aturan default memiliki prioritas tertinggi. Anda harus menyesuaikan prioritas aturan default secara manual. Untuk melakukannya, ikuti langkah-langkah berikut:Temukan jaringan kantor tempat komputer cloud berada dan klik ID jaringan kantor-nya.
Di halaman detail jaringan kantor, klik ID security group.
Di halaman Security Groups, klik ID security group.
Di halaman Security Group Rules, klik tab Outbound dan modifikasi prioritas aturan yang sesuai.
Kami menyarankan agar Anda menetapkan prioritas ke 60. Hal ini memastikan bahwa aturan outbound yang Anda tambahkan secara manual akan langsung berlaku.
Snapshot kustom pengguna akhir
Snapshot kustom end user
Aturan snapshot kustom end user memungkinkan Anda mengontrol apakah end user dapat membuat titik pemulihan sendiri di klien.
Kasus penggunaan
End user dapat menggunakan titik pemulihan untuk backup dan memulihkan data di komputer cloud mereka. Misalnya, mereka dapat membuat titik pemulihan sebelum melakukan operasi berisiko tinggi seperti memodifikasi file sistem kritis.
Untuk mencegah kesalahan operasional atau pemborosan sumber daya, administrator dapat menggunakan kebijakan ini untuk mengelola pembuatan titik pemulihan kustom oleh end user.
Batasan
Fitur ini hanya tersedia saat komputer cloud ditugaskan untuk satu pengguna.
Parameter
Saat opsi End-user custom snapshots di Enabled, end user dapat membuat titik pemulihan kustom di halaman Management kartu desktop komputer cloud mereka.
Saat opsi End-user custom snapshots diatur ke Disabled, fitur titik pemulihan kustom disembunyikan dari pengguna akhir pada halaman Management.