雲電腦策略用於管控雲電腦在體驗、安全、審計、外設、協作、AI方面的規則。本文介紹與安全相關的規則。
背景資訊
雲電腦策略中與安全相關的規則包括:
登入安全規則:登入方式管控、雲電腦訪問IP白名單。
顯示安全規則:防截屏、浮水印。
傳輸安全規則:剪下板管控、Web用戶端檔案傳輸。
網路安全規則:網域名稱訪問管控、安全性群組管控。
登入安全規則
使用情境
登入方式管控規則用於限制終端使用者可以使用哪種無影終端串連雲電腦。
樣本情境:為了保障公司資訊安全,管理員將規則設定為僅允許使用Windows用戶端、macOS用戶端串連雲電腦。
雲電腦訪問IP白名單規則用於限制哪些IP位址區段的無影終端可以串連雲電腦。
樣本情境:為了保障公司資訊安全,管理員將辦公場所的無影終端IP地址網段添加至白名單,因此員工只能通過辦公場所的無影終端串連雲電腦,在其他場所無法串連。
配置說明
配置項 | 說明 |
登入方式管控 | 用於限制終端使用者可以使用的無影終端類型。可選項包括:
以上選項預設全部選中,您可以根據需要取消選擇部分選項。 |
雲電腦訪問IP白名單 | 用於指定哪些IP位址區段的無影終端可以串連雲電腦。 單擊新增IP位址區段,並在添加IP網段對話方塊中輸入允許的源IP位址區段,然後單擊確定。 IP位址區段格式要求:CIDR格式塊,例如: |
顯示安全規則
使用情境
防截屏功能用於防止因截屏或錄屏而產生資料泄露。
樣本情境:某建築設計公司為防止設計圖被非法盜用,為雲電腦開啟了防截屏規則,因此任何人員都無法使用本地終端裝置上的剪取工具對雲電腦畫面進行截屏或錄屏。
浮水印功能用於資料防泄露情境,可以發揮事前預防和事後審計的作用。
樣本情境:某廣告公司為雲電腦開啟了浮水印,員工在雲電腦上對內部檔案進行截圖後,截圖上將出現管理員指定的浮水印,可以有效地預防內部檔案泄露。一旦發生資料泄露,浮水印也可以提供重要的審計線索。
適用範圍
配置項 | 鏡像最低版本 | 用戶端及最低版本 |
防截屏 | 無要求 | Windows用戶端和macOS用戶端V5.2 |
盲浮水印強度 | 1.8.0 | 無要求 |
盲浮水印防拍照 | 1.8.0 | 任意用戶端V6.7 |
配置說明
配置項 | 說明 |
防截屏 | 防截屏功能用於資料防泄露情境。開啟防截屏後,終端使用者無法使用本地終端裝置上的剪取工具對雲電腦畫面進行截屏或錄屏。 說明
|
浮水印 | 浮水印功能用於資料防泄露情境,能發揮事前預防和事後審計的作用。 明浮水印明浮水印是肉眼可見的浮水印,您可以設定浮水印的內容和展現樣式。
配置過程中,您可以在下方的預覽地區即時查看一條明浮水印的展示樣式。 盲浮水印盲浮水印是肉眼不可見的浮水印。無影雲電腦提供的預設盲浮水印演算法可根據不同阿里雲帳號身份資訊對浮水印資訊進行加密,防止惡意篡改。盲浮水印的配置項包括:
|
查詢傳輸日誌
關於如何查詢檔案傳輸的明細記錄,請參見查看檔案傳輸日誌。
傳輸安全規則
適用範圍
本地磁碟映射
僅支援Windows雲電腦。
僅支援Windows用戶端和macOS用戶端。
本地磁碟映射適用於檔案類資料的訪問,不適用於運行程式。即使已開啟本地磁碟映射,也不能在雲電腦內運行本地裝置上安裝的應用。如有需要,您也可以在雲電腦內運行本地的免安裝應用,但是此舉會佔用頻寬並影響雲電腦的使用體驗,請謹慎操作。
剪下板管控:
對於文本和圖片的傳輸,沒有限制條件。
對於檔案的傳輸,要求使用Windows用戶端(版本不低於V7.3)。
精細化管控要求雲電腦鏡像版本不低於2.4,否則將禁止所有拷貝行為。
Web用戶端檔案傳輸:即使設為允許上傳下載,對HDX協議的Linux雲電腦也不生效。如果需要在此類雲電腦中使用檔案傳輸功能,只能使用預設的系統策略(即All enabled policy)。
配置說明
配置項 | 說明 |
本地磁碟映射 | |
本地磁碟映射 | 是指將本地裝置磁碟映射為雲電腦磁碟,從而實現在雲電腦中訪問本地磁碟的資料。可選項包括:
|
剪下板管控 | |
管控顆粒度 | 選擇剪貼簿使用權限設定的生效範圍。可選項包括:
|
文本拷貝許可權 | 按資料類型分別設定剪貼簿許可權。可選項包括:
|
富文本/圖片拷貝許可權 | |
檔案/檔案夾拷貝許可權 | |
文本拷貝上限 | 設定拷貝文本的上限。終端使用者拷貝文本時,超出該上限的部分將被裁剪。 |
資料安全 | |
Web用戶端檔案傳輸 | 設定雲電腦和本地裝置之間是否可以通過Web用戶端互相傳輸檔案。 |
網路安全規則
網域名稱訪問管控
網域名稱訪問管控規則用於設定允許或禁止在雲電腦中訪問的網域名稱。例如,根據企業的規章制度,員工不可在工作時間內訪問與工作無關的網站,因此管理員將娛樂類的網站網域名稱添加到DNS拒絕訪問規則中。
使用情境
預設情況下允許在雲電腦中訪問任何網域名稱。網域名稱訪問管控用於設定允許或禁止在雲電腦中訪問的網域名稱,同時支援多層級、精細化地管控網域名稱存取權限。
樣本情境:假設現有下表所示的網域名稱,按照下表配置DNS規則即可實現精細化的許可權管控。
網域名稱 | 樣本 | 存取原則 | 說明 |
次層網域 |
| 允許 | 雲電腦訪問 |
第三層網域名 |
| 禁止 | 雲電腦訪問 |
| 允許 | 雲電腦訪問 | |
四級網域名稱 |
| 禁止 | 雲電腦訪問 |
| 允許 | 雲電腦訪問 | |
| 允許 |
使用限制
網域名稱限制
為確保終端使用者能正常使用雲電腦,以下預留的安全網域名稱不受DNS規則的約束,即雲電腦始終允許訪問這些網域名稱。若您將這些網域名稱的存取原則設定為拒絕,則規則不會生效。
*.gws.aliyun
*.aliyun.com
*.alicdn.com
*.aliyunpds.com
*.aliyuncds.com
*.aliyuncs.com
作業系統限制
網域名稱訪問管控規則只對Windows作業系統的雲電腦生效。
規則數量限制
最多可設定300條DNS規則。
配置說明
在網域名稱訪問管控(原DNS策略)地區單擊添加DNS規則,然後在添加DNS規則對話方塊中完成以下配置,並單擊確定。
配置項 | 說明 |
網域名稱 | 填寫需要設定DNS規則的網域名稱。每次只能添加1個網域名稱,支援使用 |
描述 | 自訂的DNS規則描述。 |
存取原則 | 可選擇允許或拒絕。 說明
|
安全性群組管控
安全性群組是一種安全機制,用於控制雲電腦的入流量和出流量,從而提高雲電腦的安全性。
使用情境
一條安全性群組規則由規則方向、授權、優先順序、協議類型、連接埠範圍等屬性確定。與雲電腦建立資料通訊前,系統將逐條匹配雲電腦關聯策略中的安全性群組管控規則,確認是否允許存取訪問請求:
對於授權設定為允許的規則,如果訪問請求匹配規則,則允許存取訪問請求。
對於授權設定為拒絕的規則,如果訪問請求匹配規則,則攔截訪問請求並直接丟棄資料包。
您可以根據需要添加入方向或者出方向的安全性群組管控規則來進一步控制雲電腦的出入流量。樣本情境的安全性群組管控規則配置如下:
樣本情境1
預設情況下,雲電腦允許所有出方向的訪問。您可以添加以下出方向規則,實現只允許雲電腦訪問特定的IP地址:
規則1:拒絕所有出方向訪問。樣本如下:
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
出方向
拒絕
2
全部
-1/-1
0.0.0.0/0
規則2:在規則1的基礎上允許訪問特定IP地址,優先順序必須高於規則1。樣本如下:
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
出方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
允許訪問的IP地址,例如:192.168.1.1/32。
樣本情境2
在企業專網環境下,您可以添加允許特定IP地址訪問的入方向規則,實現該IP地址能夠訪問雲電腦。樣本如下:
規則方向 | 授權 | 優先順序 | 協議類型 | 連接埠範圍 | 授權對象 |
入方向 | 允許 | 1 | 選擇適用的協議類型。 | 設定合適的連接埠範圍。 | 允許訪問的IP地址,例如:192.168.1.1/32。 |
樣本情境3
假設雲電腦A關聯了策略a,雲電腦B關聯了策略b。在企業專網環境下,由於雲電腦預設拒絕所有入方向的訪問,雲電腦A和雲電腦B之間無法互相訪問。您可以在策略a和策略b中添加以下入方向規則,實現雲電腦A和雲電腦B的網路互連:
在策略a中添加允許雲電腦b訪問的入方向規則。樣本如下:
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
入方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
雲電腦B的IP地址。
在策略b中添加允許雲電腦a訪問的入方向規則。樣本如下:
規則方向
授權
優先順序
協議類型
連接埠範圍
授權對象
入方向
允許
1
選擇適用的協議類型。
設定合適的連接埠範圍。
雲電腦A的IP地址。
使用限制
規則數量限制
最多可設定200條安全性群組管控規則。
入方向規則的限制
雲電腦預設允許所有出方向的訪問,入方向的訪問遵循以下原則:
互連網環境下,雲電腦不支援所有入方向的訪問,即使您將安全性群組規則的入方向設定為允許,該安全性群組入方向規則仍然不生效。
企業專網環境下,雲電腦預設拒絕所有入方向的訪問,但是您可以通過將安全性群組入方向規則設定為允許來允許存取符合要求的訪問請求。
配置說明
在安全性群組管控地區單擊添加安全性群組規則,然後在添加安全性群組規則對話方塊中完成以下配置,並單擊確定。
配置項 | 說明 |
規則方向 |
|
授權 |
|
優先順序 | 優先順序的取值範圍為1~60,數值越小、優先順序越高。同類型規則之間由優先順序決定最終生效的規則。 |
協議類型 | 支援TCP、UDP、ICMP(IPv4)和GRE協議。 |
連接埠範圍 | 應用或協議開啟的連接埠。所選的協議類型為自訂TCP或者自訂UDP時,您可以設定自訂連接埠。設定連接埠時,支援輸入具體的連接埠(如: |
授權對象 | CIDR格式的IPv4地址網段。 |
描述 | 自訂的規則描述。 |
後續步驟
預設情況下,雲電腦拒絕所有入方向的訪問,允許所有出方向的訪問,即預設已有一條允許所有訪問的出方向規則。此時,您添加的出方向規則將與預設規則產生衝突。根據云電腦所屬的辦公網路情況,您可能需要調整預設規則的優先順序,以便您添加的規則能夠生效。
如果您使用的是新版辦公網路(ID格式為:地區ID+dir+10位元字),由於預設規則優先順序最低,您添加的規則將直接生效,無需您做額外操作。
如果您使用的是由舊版目錄升級而成的辦公網路(ID格式為:地區ID+dir+17位字母和數字),由於預設規則優先順序最高,您需要手動調整預設規則的優先順序。操作步驟如下:
找到雲電腦所屬的辦公網路,單擊其辦公網路ID。
在辦公網路詳情頁面,單擊安全性群組ID。
在安全性群組列表頁面,單擊安全性群組ID。
在安全性群組規則頁面,單擊出方向頁簽,並修改對應規則的優先順序。
建議將優先順序設定為60,這樣做可以確保您以後手動添加的出方向規則均可以直接生效。