全部產品
Search

搜尋本產品

    Elastic Desktop Service:安全相關規則

    文件中心

    Elastic Desktop Service:安全相關規則

    更新時間:Aug 29, 2024

    雲電腦策略用於管控雲電腦在體驗、安全、審計、外設、協作、AI方面的規則。本文介紹與安全相關的規則。

    背景資訊

    雲電腦策略中與安全相關的規則包括:

    • 登入安全規則:登入方式管控、雲電腦訪問IP白名單。

    • 顯示安全規則:防截屏、浮水印。

    • 傳輸安全規則:剪貼簿管控、Web用戶端檔案傳輸。

    • 網路安全規則:網域名稱訪問管控、安全性群組管控。

    登入安全規則

    使用情境

    • 登入方式管控規則用於限制終端使用者可以使用哪種無影終端串連雲電腦。

      樣本情境:為了保障公司資訊安全,管理員將規則設定為僅允許使用Windows用戶端macOS用戶端串連雲電腦。

    • 雲電腦訪問IP白名單規則用於限制哪些IP位址區段的無影終端可以串連雲電腦。

      樣本情境:為了保障公司資訊安全,管理員將辦公場所的無影終端IP地址網段添加至白名單,因此員工只能通過辦公場所的無影終端串連雲電腦,在其他場所無法串連。

    配置說明

    配置項

    說明

    登入方式管控

    用於限制終端使用者可以使用的無影終端類型。可選項包括:

    • Windows用戶端

    • macOS用戶端

    • iOS用戶端

    • Android用戶端

    • Web用戶端

    以上選項預設全部選中,您可以根據需要取消選擇部分選項。

    雲電腦訪問IP白名單

    用於指定哪些IP位址區段的無影終端可以串連雲電腦。

    單擊新增IP位址區段,並在添加IP網段對話方塊中輸入允許的源IP位址區段,然後單擊確定

    IP位址區段格式要求:CIDR格式塊,例如:192.0.XX.XX/3210.0.XX.XX/8

    顯示安全規則

    使用情境

    • 防截屏功能用於防止因為截屏或錄屏而產生資料泄露。

      樣本情境:某建築設計公司為防止設計圖被非法盜用,為雲電腦開啟了防截屏規則,因此任何人員都無法使用本地終端裝置上的剪取工具對雲電腦畫面進行截屏或錄屏。

    • 浮水印功能用於資料防泄露情境,可以發揮事前預防和事後審計的作用。

      樣本情境:某廣告公司為雲電腦開啟了浮水印,員工在雲電腦上對內部檔案進行截圖後,截圖上將出現管理員指定的浮水印,可以有效地預防內部檔案泄露。一旦發生資料泄露,浮水印也可以提供重要的審計線索。

    適用範圍

    配置項

    鏡像最低版本

    用戶端及最低版本

    防截屏

    無要求

    Windows用戶端macOS用戶端V5.2.0

    盲浮水印強度

    1.8.0

    無要求

    盲浮水印防拍照

    1.8.0

    任意用戶端V6.7.0

    配置說明

    配置項

    說明

    防截屏

    防截屏功能用於資料防泄露情境。開啟防截屏後,終端使用者無法使用本地終端裝置上的剪取工具對雲電腦畫面進行截屏或錄屏。

    說明

    • 僅5.2.0及以上版本的Windows用戶端macOS用戶端支援防截屏功能。

    • 各類無影終端支援防截屏功能的情況不同,如果開啟此功能,建議您在登入方式管控規則中允許通過相應用戶端串連雲電腦。

    浮水印

    浮水印功能用於資料防泄露情境,能發揮事前預防和事後審計的作用。

    明浮水印

    明浮水印是肉眼可見的浮水印,您可以設定浮水印的內容和展現樣式。

    • 浮水印內容(最多可選擇以下3項)

      • 使用者名稱:例如testuser01

      • 雲電腦ID:例如ecd-66twv7ri4nmgh****

      • 雲電腦IP地址:例如192.0.2.0

      • 用戶端IP地址:例如192.0.2.254

      • 雲電腦目前時間:例如20230101

      • 自訂文字:您輸入的自訂文本,例如內部資料

        說明

        自訂內容長度為20個英文或中文字元以內。支援大小寫字母、數字、漢字和部分特殊字元,其中特殊字元包括:~!@#$%^&*()-_=+|{};:',<.?。使用換行或者其他特殊字元可能會導致自訂內容不生效。

    • 展現樣式

      • 字型大小:取值範圍為10~20 px,預設值為12 px

      • 字型顏色:RGB色值,預設值為#FFFFFF(白色)。

      • 透明度:取值範圍為10~100。0表示不透明,100表示完全透明,預設值為25

      • 傾斜度:取值範圍為-30~-10,預設值為-25

      • 浮水印密度:行與列的取值範圍均為3~10,預設值均為3

    配置過程中,您可以在下方的預覽地區即時查看一條明浮水印的展現樣式。

    盲浮水印

    盲浮水印是肉眼不可見的浮水印。無影雲電腦提供的預設盲浮水印演算法可根據不同阿里雲帳號身份資訊對浮水印資訊進行加密,防止惡意篡改。盲浮水印的配置項包括:

    • 安全優先:由於盲浮水印功能依賴一定版本以上的用戶端和鏡像,建議您開啟此選項。

      • 開啟後,只有當終端使用者使用符合版本要求的用戶端串連鏡像也符合要求的雲電腦時才能串連成功。

      • 關閉後,當終端使用者使用不符合版本要求的用戶端,或者串連鏡像不符合要求的雲電腦時,雖然可以串連成功,但盲浮水印無法生效。

    • 盲浮水印強度:強度越高,雲電腦案頭顯示顆粒度越強,盲浮水印解析成功率越高。請您根據需求調節盲浮水印強度。該功能要求使用1.8.0或更高版本的鏡像。

    • 浮水印內容(最多可選擇以下2項):

      • 雲電腦ID:例如ecd-66twv7ri4nmgh****

      • 雲電腦IP地址:例如192.0.2.0

      • 用戶端IP地址:例如192.0.2.254

      • 雲電腦目前時間:例如20230101

    • 防拍照:該功能要求使用1.8.0或更高版本的鏡像以及6.7.0或更高版本的無影用戶端。

    傳輸安全規則

    適用範圍

    • 本地磁碟映射

      • 僅支援Windows雲電腦。

      • 僅支援Windows用戶端macOS用戶端

      • 本地磁碟映射適用於檔案類資料的訪問,不適用於運行程式。即使已開啟本地磁碟映射,也不能在雲電腦內運行本地裝置上安裝的應用。如有需要,您也可以在雲電腦內運行本地的免安裝應用,但是此舉會佔用頻寬並影響雲電腦的使用體驗,請謹慎操作。

    • 剪貼簿管控:

      • 對於文本和圖片的傳輸,沒有限制條件。

      • 對於檔案的傳輸,要求使用Windows用戶端(版本不低於V7.3.0)。

    • Web用戶端檔案傳輸:即使設為允許上傳下載,對HDX協議的Linux雲電腦也不生效。如果需要在此類雲電腦中使用檔案傳輸功能,只能使用預設的系統策略(即All enabled policy)。

    配置說明

    配置項

    說明

    本地磁碟映射

    是指將本地裝置磁碟映射為雲電腦磁碟,從而實現在雲電腦中訪問本地磁碟的資料。可選項包括:

    • 唯讀:表示可以從雲電腦查看和複製本地磁碟資料,但不能修改。

    • 關閉:表示在雲電腦內無法訪問本地磁碟資料。

    • 讀寫:表示可以從雲電腦查看、複製和修改本地磁碟資料。

    剪貼簿管控

    設定雲電腦和本地裝置之間是否可以互相複製文本、圖片和檔案。

    Web用戶端檔案傳輸

    設定雲電腦和本地裝置之間是否可以通過Web用戶端互相傳輸檔案。

    網路安全規則

    網域名稱訪問管控

    網域名稱訪問管控規則用於設定允許或禁止在雲電腦中訪問的網域名稱。例如,根據企業的規章制度,員工不可在工作時間內訪問與工作無關的網站,因此管理員將娛樂類的網站網域名稱添加到DNS拒絕訪問規則中。

    使用情境

    預設情況下允許在雲電腦中訪問任何網域名稱。網域名稱訪問管控用於設定允許或禁止在雲電腦中訪問的網域名稱,同時支援多層級、精細化地管控網域名稱存取權限。

    樣本情境:假設現有下表所示的網域名稱,按照下表配置DNS規則即可實現精細化的許可權管控。

    網域名稱

    樣本

    存取原則

    說明

    主網域名稱

    example.com

    允許

    雲電腦訪問example.com時,可以正常開啟網頁。

    頂層網域

    writer.examplec.com

    禁止

    雲電腦訪問writer.example.com時,網頁顯示404。

    developer.example.com

    允許

    雲電腦訪問developer.example.com時,可以正常開啟網頁。

    次層網域

    image.developer.example.com

    禁止

    雲電腦訪問image.developer.example.com時,網頁顯示404。

    video.developer.example.com

    允許

    雲電腦訪問video.developer.example.comguide.developer.example.com時,可以正常開啟網頁。

    guide.developer.example.com

    允許

    使用限制

    • 網域名稱限制

      為確保終端使用者能正常使用雲電腦,以下預留的安全網域名稱不受DNS規則的約束,即雲電腦始終允許訪問這些網域名稱。若您將這些網域名稱的存取原則設定為拒絕,則規則不會生效。

      • *.gws.aliyun

      • *.aliyun.com

      • *.alicdn.com

      • *.aliyunpds.com

      • *.aliyuncds.com

      • *.aliyuncs.com

    • 作業系統限制

      網域名稱訪問管控規則只對Windows作業系統的雲電腦生效。

    • 規則數量限制

      最多可設定300條DNS規則。

    配置說明

    網域名稱訪問管控(原DNS策略)地區單擊添加DNS規則,然後在添加DNS規則對話方塊中完成以下配置,並單擊確定

    配置項

    說明

    網域名稱

    填寫需要設定DNS規則的網域名稱。每次只能添加1個網域名稱,支援使用 * 萬用字元。

    描述

    自訂的DNS規則描述。

    存取原則

    可選擇允許拒絕

    說明

    • 如果需要設定多條存取原則為允許的DNS規則,則必須添加一條存取原則為拒絕的DNS規則作為保底規則。

    • 有多條DNS規則時,在列表中排序越靠前的規則生效優先順序越高。您可以通過移動規則順序來調整優先順序。

    安全性群組管控

    安全性群組是一種安全機制,用於控制雲電腦的入流量和出流量,從而提高雲電腦的安全性。

    使用情境

    一條安全性群組規則由規則方向、授權、優先順序、協議類型、連接埠範圍等屬性確定。與雲電腦建立資料通訊前,系統將逐條匹配雲電腦關聯策略中的安全性群組管控規則,確認是否允許存取訪問請求:

    • 對於授權設定為允許的規則,如果訪問請求匹配規則,則允許存取訪問請求。

    • 對於授權設定為拒絕的規則,如果訪問請求匹配規則,則攔截訪問請求並直接丟棄資料包。

    您可以根據需要添加入方向或者出方向的安全性群組管控規則來進一步控制雲電腦的出入流量。樣本情境的安全性群組管控規則配置如下:

    樣本情境1

    預設情況下,雲電腦允許所有出方向的訪問。您可以添加以下出方向規則,實現只允許雲電腦訪問特定的IP地址:

    • 規則1:拒絕所有出方向訪問。樣本如下:

      規則方向

      授權

      優先順序

      協議類型

      連接埠範圍

      授權對象

      出方向

      拒絕

      2

      全部

      -1/-1

      0.0.0.0/0

    • 規則2:在規則1的基礎上允許訪問特定IP地址,優先順序必須高於規則1。樣本如下:

      規則方向

      授權

      優先順序

      協議類型

      連接埠範圍

      授權對象

      出方向

      允許

      1

      選擇適用的協議類型。

      設定合適的連接埠範圍。

      允許訪問的IP地址,例如:192.168.1.1/32。

    樣本情境2

    在企業專網環境下,您可以添加允許特定IP地址訪問的入方向規則,實現該IP地址能夠訪問雲電腦。樣本如下:

    規則方向

    授權

    優先順序

    協議類型

    連接埠範圍

    授權對象

    入方向

    允許

    1

    選擇適用的協議類型。

    設定合適的連接埠範圍。

    允許訪問的IP地址,例如:192.168.1.1/32。

    樣本情境3

    假設雲電腦A關聯了策略a,雲電腦B關聯了策略b。在企業專網環境下,由於雲電腦預設拒絕所有入方向的訪問,雲電腦A和雲電腦B之間無法互相訪問。您可以在策略a和策略b中添加以下入方向規則,實現雲電腦A和雲電腦B的網路互連:

    • 在策略a中添加允許雲電腦b訪問的入方向規則。樣本如下:

      規則方向

      授權

      優先順序

      協議類型

      連接埠範圍

      授權對象

      入方向

      允許

      1

      選擇適用的協議類型。

      設定合適的連接埠範圍。

      雲電腦B的IP地址。

    • 在策略b中添加允許雲電腦a訪問的入方向規則。樣本如下:

      規則方向

      授權

      優先順序

      協議類型

      連接埠範圍

      授權對象

      入方向

      允許

      1

      選擇適用的協議類型。

      設定合適的連接埠範圍。

      雲電腦A的IP地址。

    使用限制

    • 規則數量限制

      最多可設定200條安全性群組管控規則。

    • 入方向規則的限制

      雲電腦預設允許所有出方向的訪問,入方向的訪問遵循以下原則:

      • 互連網環境下,雲電腦不支援所有入方向的訪問,即使您將安全性群組規則的入方向設定為允許,該安全性群組入方向規則仍然不生效。

      • 企業專網環境下,雲電腦預設拒絕所有入方向的訪問,但是您可以通過將安全性群組入方向規則設定為允許來允許存取符合要求的訪問請求。

    配置說明

    安全性群組管控地區單擊添加安全性群組規則,然後在添加安全性群組規則對話方塊中完成以下配置,並單擊確定

    配置項

    說明

    規則方向

    • 入方向:控制是否允許存取訪問雲電腦的請求。

    • 出方向:控制是否允許存取雲電腦訪問其他應用的請求。

    授權

    • 允許:允許存取訪問請求。

    • 拒絕:攔截訪問請求並直接丟棄資料包,不會返回任何資訊。

    優先順序

    優先順序的取值範圍為1~60,數值越小、優先順序越高。同類型規則之間由優先順序決定最終生效的規則。

    協議類型

    支援TCP、UDP、ICMP(IPv4)和GRE協議。

    連接埠範圍

    應用或協議開啟的連接埠。所選的協議類型為自訂TCP或者自訂UDP時,您可以設定自訂連接埠。設定連接埠時,支援輸入具體的連接埠(如:80)或者連接埠範圍(如:1/80)。更多資訊,請參見常用連接埠

    授權對象

    CIDR格式的IPv4地址網段。

    描述

    自訂的規則描述。

    後續步驟

    預設情況下,雲電腦拒絕所有入方向的訪問,允許所有出方向的訪問,即預設已有一條允許所有訪問的出方向規則。此時,您添加的出方向規則將與預設規則產生衝突。根據云電腦所屬的辦公網路情況,您可能需要調整預設規則的優先順序,以便您添加的規則能夠生效。

    • 如果您使用的是新版辦公網路(ID格式為:地區ID+dir+10位元字),由於預設規則優先順序最低,您添加的規則將直接生效,無需您做額外操作。

    • 如果您使用的是由舊版目錄升級而成的辦公網路(ID格式為:地區ID+dir+17位字母和數字),由於預設規則優先順序最高,您需要手動調整預設規則的優先順序。操作步驟如下:

      1. 找到雲電腦所屬的辦公網路,單擊其辦公網路ID

      2. 辦公網路詳情頁面,單擊安全性群組ID。

      3. 安全性群組列表頁面,單擊安全性群組ID。

      4. 安全性群組規則頁面,單擊出方向頁簽,並修改對應規則的優先順序。

        建議將優先順序設定為60,這樣做可以確保您以後手動添加的出方向規則均可以直接生效。

    相關文檔