辦公安全平台SASE(Secure Access Service Edge)支援打通雲原生應用資源,提供對其公網訪問地址的查看與管理能力。為提升安全性,建議在業務允許的情況下關閉公網訪問,限制應用僅可通過VPC內網訪問。本文檔介紹如何通過內網訪問雲原生應用及關閉公網訪問。
前提條件
您已購買辦公安全平台。
您已完成授權SASE訪問雲資源。
配置雲原生應用內網訪問
內網訪問基於軟體定義程式邊界(SDP)技術,提供SaaS化的零信任網路訪問能力,在無需暴露公網地址或改造現有網路架構的前提下,通過SASE解決方案實現企業員工安全訪問雲上資源,並精準管控存取權限。
步驟一:配置身份源
身份源主要是為企業員工提供身份認證功能,SASE支援第三方和自建的身份認證系統。目前支援LDAP、DingTalk、企業微信、飛書、IDaaS、自訂身份源。如果您的業務涉及多種身份源,可以配置多個身份源資訊,並開啟身份認證狀態,以便於您以不同的身份源使用SASE服務。
本文為了快速驗證功能,以自訂身份源為例為您介紹。
步驟二:配置使用者組
配置策略時,需要指定該策略生效的使用者組。
在左側導覽列,選擇。
在用户组管理頁簽中,單擊添加使用者組。
在添加使用者組面板中,配置使用者組的組織架構、賬戶名稱、郵箱、手機號等資訊。並單擊確定。具體操作,請參見使用者組管理。
步驟三:開啟網路打通開關
在左側導覽列,選擇。
在網路設定頁面的頁簽,查看SASE同步的網路資源。
在指定CEN執行個體或者CEN執行個體關聯的某個VPC執行個體右側。開啟網路打通開關。
在網絡打通對話方塊中選擇打通全部雲應用或自定义打通云应用。
打通全部雲應用:開啟後,會自動打通所有雲應用,非雲應用可通過配置ACL規則實現打通。並且之後在該VPC下建立的雲應用也會預設打通。
說明當前僅支援部分雲原生應用。具體支援的雲應用類型,您可以在頁簽中,查看应用类型。
自定义打通云应用:
選擇自定义打通云应用並單擊確定。
在自定义打通云应用面板中,選擇需要打通的雲原生應用,並單擊確定。
步驟四:建立內網應用
在使用SASE內網訪問之前,您需要將企業辦公應用的IP地址或網域名稱地址配置到SASE辦公應用中。只有已配置的辦公應用,企業員工才能通過SASE App進行訪問。
登入辦公安全平台控制台。
在左側導覽列,選擇。
單擊添加應用,在添加應用面板的手動設定頁簽中,參考如下內容進行配置。
配置項
說明
樣本值
應用程式名稱
應用的名稱。
長度為2~100個字元,支援輸入漢字、字母、數字、中劃線(-)、底線(_)和半形句號(.)。
雲原生應用
狀態
應用的啟用或禁用狀態。
啟用
访问模式
選擇您需要配置的訪問方式。
APP访问:需要安裝SASE App才能訪問辦公應用,支援訪問四層、七層應用,滿足員工辦公與營運的需求,同時支援豐富的終端安全檢測與管控策略。
浏览器访问:無需安裝SASE App,使用瀏覽器即可訪問企業的Web辦公應用,此模式不支援終端安全檢測及管控策略。
APP访问
單擊下一步,配置需要訪問應用的應用地址、連接埠和協議,然後單擊確定。
如果應用有對訪問進行溯源的需求,可以開啟web應用訪問加固功能,勾選訪問溯源並選擇需要添加HTTP header中的欄位名稱,之後在業務端進行提取。
步驟五:建立零信任策略
在左側導覽列,選擇。
在零信任策略頁簽中,單擊添加策略。
在新增策略面板中,配置生效使用者允許訪問雲原生應用,並單擊確定。
步驟六:驗證配置是否成功
開啟您已安裝的SASE App。
輸入企業認證標識,然後單擊確定。
您可以登入辦公安全平台控制台。在左側導覽列的設定頁面,擷取企業認證標識。
使用郵箱或者手機接收到的初始帳號名稱和密碼進行登入。
單擊串連內網。
訪問內網應用,如果能夠成功訪問,表示您已配置成功。
關閉雲原生應用公網訪問
在左側導覽列,選擇。
在頁簽中,查看支援關閉公網訪問的應用類型和已經執行應用打通操作的執行個體列表。
對於存在公網暴露風險的執行個體,可以單擊操作列的未关闭。
在關閉公網訪問對話方塊中选择需要关闭访问的公网访问地址,並單擊確定。
重要關閉後,將拒絕所有公網訪問,收斂訪問入口以提升安全性,此操作無法復原。仍可通過SASE訪問應用,請確保所有雲應用均已配置並啟用零信任策略。
通過公網地址訪問雲應用,如果無法成功訪問,表示您已配置成功。