本文介紹內網訪問功能的業務原理及使用邏輯,協助企業管理員在開通辦公安全平台SASE(Secure Access Service Edge)產品後,快速上手內網訪問功能。
內網訪問安全簡介
內網訪問是基於軟體定義程式邊界SDP(Software Defined Perimeter)技術,打造SaaS化零信任網路訪問功能,在不需暴露公網地址和改造企業原有網路架構的情況下,通過SASE內網訪問解決方案實現企業員工通過內網訪問雲上業務資源,並對企業員工的存取權限進行管控。
操作步驟
步驟一:配置身份源
身份源主要是為企業員工提供身份認證功能,SASE支援第三方和自建的身份認證系統。目前支援LDAP、DingTalk、企業微信、飛書、IDaaS、自訂身份源。如果您的業務涉及多種身份源,可以配置多個身份源資訊,並開啟身份認證狀態,以便於您以不同的身份源使用SASE服務。
本文為了快速驗證功能,以自訂身份源為例為您介紹。
步驟二:配置使用者組
配置策略時,需要指定該策略生效的使用者組。
在左側導覽列,選擇。
在用户组管理頁簽中,單擊添加使用者組。
在添加使用者組面板中,配置使用者組的組織架構、賬戶名稱、郵箱、手機號等資訊。並單擊確定。具體操作,請參見使用者組管理。
步驟三:配置內網業務應用資源
企業辦公應用是為企業員工辦公所使用的內部應用、伺服器或資料庫等IT資源,無需企業員工配置公網地址。企業員工需使用安裝了SASE App的辦公裝置,並通過身份與安全性原則校正,便可以訪問對應的區域網路應用或資源。
在左側導覽列,選擇。
在辦公應用頁面的自定義標籤地區,單擊添加,設定標籤名稱,然後單擊確定。
自訂標籤最多支援100個。
單擊添加應用,根據如下步驟配置應用。
如果您的業務存在用於解析企業內網網段的DNS伺服器,您可以單擊內網DNS配置,在DNS地址對話方塊手動填寫預設DNS服務和其他DNS服務。預設DNS組(1個DNS組最多可以添加2個DNS伺服器IP)會作為企業主DNS下發到SASE安全用戶端,企業員工可在用戶端上自行切換DNS組以便滿足辦公時特殊的訪問需求。
如果您不配置DNS服務,SASE會預設為您配置阿里雲DNS伺服器用於企業內網網段的DNS解析。如果業務配置了雲解析PrivateZone時,優先使用PrivateZone進行IP或者網域名稱解析。
在手動設定頁簽,根據如下表格說明設定基礎配置參數。
配置項
說明
樣本值
應用程式名稱
內網應用的名稱。
長度為1~128個字元,支援輸入漢字、字母、數字、中劃線(-)、底線(_)和半形句號(.)。
考勤管理應用
描述
內網應用的說明。
企業員工的考勤管理地址
標籤
應用的自訂標籤,方便您對應用進行分類、搜尋和管理。
OA系統
狀態
應用的存取權限。取值:
啟用:表示應用處於可服務狀態。
禁用:表示應用處於不可服務狀態。
啟用
單擊下一步,根據如下表格說明設定應用地址資訊。
配置項
說明
樣本值
應用地址
應用的內網訪問地址。支援使用IP、IP段、網域名稱和泛網域名稱的方式定義公司專屬應用程式或資源。您可根據應用的實際情況,設定應用的多個內網訪問地址。
10.10.XX.XX
連接埠
應用使用的連接埠號碼或者連接埠段。
80~200
協議
應用的協議類型。取值:全部協議、TCP協議、UDP協議。
全部
步驟四:打通網路通道
在打通網路通道之前,您需要先確認當前的業務部署情況,根據業務部署選擇合適的打通方案。
業務部署環境 | 解決方案 | 配置環境準備 |
企業的業務資源部署在阿里雲上 | 通過網路設定功能實現指定阿里雲VPC資源與SASE終端使用者的網路互連。 在頁面,開啟目標商務服務器所在VPC的網路打通開關。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里雲環境(例如AWS、騰訊雲等),且業務組網已經部署的阿里雲VBR、CCN、VPN網關 | 通過阿里雲提供的網路通道專線、SAG、IPsecVPN,實現SASE終端訪問非阿里雲環境的業務資源。 在頁簽,配置回源VPC並開啟網路打通開關即可。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里雲環境 | SASE提供連接器(connector)功能與您的非阿里雲網路環境組網串連,實現使用SASE App訪問非阿里雲環境的業務。 該方式不需要依賴其他網路產品即可實現業務組網的訪問。 在頁簽,手動添加SASE連接器,然後執行命令部署連接器並確保已開啟連接器執行個體開關。 | 辦公電腦要求:
本地連接器安裝部署的伺服器要求:
|
本文以企業的業務資源部署在非阿里雲環境為例,為您詳細介紹如何打通網路通道。
在左側導覽列,選擇。
在網路設定頁面,單擊非阿里雲業務。
添加連接器並關聯應用。
在連接器列表頁簽,單擊添加連接器。
最多支援添加5個連接器。
在添加連接器面板,根據實際業務配置相關參數。然後單擊確定。
配置項
說明
樣本值
地區
連接器的地區。為保障訪問品質,建議選擇與您伺服器距離最近的地區。
北京
執行個體名稱
連接器的名稱。
某公司接入內網訪問連接器
執行個體開關
只有執行個體開關為開啟狀態時,SASE終端使用者才可以訪問連接器相關 App。
重要關閉執行個體開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
已啟用
安裝並部署連接器。
單擊操作列部署,在部署面板複製部署連接器的詳細命令。
以root使用者登入待部署的伺服器或者虛擬機器,執行該命令。
步驟五:建立零信任存取原則
零信任策略協助您管控企業員工、企業共同作業夥伴對應用和資源的存取權限。建立零信任策略的過程,就是將企業使用者組和業務應用進行資源許可權劃分,系統預設會有一條禁止所有訪問的策略,您需要配置允許存取策略,將不同的資源分派給不同的使用者組。
在左側導覽列,選擇。
在零信任策略頁簽中,單擊添加策略。
在新增策略面板,根據如下參數說明設定基礎資訊,然後單擊確定。
目前建立配置零信任策略的數量不限制,您可以根據實際業務需要,建立多條零信任策略。
配置項
說明
樣本值
策略名稱
添加零信任策略的名稱。
長度為2~100個字元,支援輸入漢字、字母、數字、中劃線(-)和底線(_)。
考勤管理應用允許存取策略
描述
零信任策略的說明。
所有使用者可以訪問考勤管理應用
優先順序
設定策略的優先順序。最高優先順序為1,新建立策略的優先順序取值上限即當前帳號下配置的零信任策略條數+1。例如,當前帳號已配置的零信任策略條數為17,此時新建立的策略優先順序的取值範圍:1~18。
在策略存在衝突的情況下,優先順序高的策略生效。
1
動作
設定策略的存取權限。取值:
允許訪問:表示該條策略是允許使用者或者終端訪問指定應用。
禁止訪問:表示該條策略是拒絕使用者或者終端訪問指定應用。
允許訪問
生效使用者
設定策略生效的使用者組,即零信任策略針對指定使用者組的終端裝置生效。SASE對命中策略的訪問行為進行相應的處理,即允許存取或者攔截該訪問行為。
單擊添加,在使用者組頁簽,選擇生效的使用者組。如果目前使用者組不能滿足您的需求,可以在自訂使用者組頁簽重新設定使用者組。關於如何配置使用者組,請參見使用者組管理。
某公司所有員工
已選應用
根據動作中設定的允許訪問或者禁止訪問的應用。
單擊添加,在標籤頁簽,根據配置的標籤選擇指定的應用。您也可以在應用頁簽,直接選擇應用。
考勤管理應用
安全基準
選擇滿足企業辦公的安全基準模板。
-
策略狀態
為原則設定生效狀態。
已啟用
步驟六:驗證配置是否成功
開啟您已安裝的SASE App。
輸入企業認證標識,然後單擊確定。
您可以登入辦公安全平台控制台。在左側導覽列的設定頁面,擷取企業認證標識。
使用郵箱或者手機接收到的初始帳號名稱和密碼進行登入。
單擊串連內網。
訪問企業考勤管理應用。
如果能夠成功訪問,表示您已配置成功。