本文介绍内网访问功能的业务原理及使用逻辑,帮助企业管理员在开通办公安全平台SASE(Secure Access Service Edge)产品后,快速上手内网访问功能。
内网访问安全简介
内网访问是基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能,在不需暴露公网地址和改造企业原有网络架构的情况下,通过SASE内网访问解决方案实现企业员工通过内网访问云上业务资源,并对企业员工的访问权限进行管控。
操作步骤
步骤一:配置身份源和用户组
身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以一次性配置多种身份源信息(即多身份源),以便于您以不同的身份源使用SASE服务。
本文为了快速验证功能,以自定义身份源为例为您介绍。
登录办公安全平台控制台。在左侧导航栏,选择 。
在身份接入页面,单击身份源管理页签,定位到自定义身份源,单击操作列的编辑,按照如下信息配置自定义身份源。
配置项
说明
示例值
电脑设备登录方式
支持账号密码登录和无密码登录。
使用账号密码登录方式时,您可以开启双因素认证,取值:
OTP认证:开启OTP认证后,您还要选择OTP令牌模式,目前支持如下三种模式:
允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端App。
允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。
允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。
验证码认证:开启验证码认证后,您还需要选择认证方式,目前支持如下两种方式:
短信验证:需确保配置的身份源中每个用户都已录入手机号。
邮箱验证:需确保配置的身份源中每个用户都已录入邮箱。
使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。
账号密码登录
移动设备登录方式
支持账号密码登录和指纹或人脸识别认证。
使用指纹或人脸识别认证方式时,首次登录SASE App时仍需要输入账号名与密码。
账号密码登录
在用户组管理页签,单击添加用户组,添加用户后单击确定。
用户信息包含用户名、部门、邮箱、手机号等。
步骤二:配置内网业务应用资源
企业办公应用是为企业员工办公所使用的内部应用、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用安装了SASE App的办公设备,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。
在左侧导航栏,选择 。
在办公应用页面的自定义标签区域,单击添加,设置标签名称,然后单击确定。
自定义标签最多支持100个。
单击添加应用,根据如下步骤配置应用。
如果您的业务存在用于解析企业内网网段的DNS服务器,您可以单击内网DNS配置,在DNS地址对话框手动填写默认DNS服务和自定义DNS服务。默认DNS组(1个DNS组最多可以添加2个DNS服务器IP)会作为企业主DNS下发到SASE安全客户端,企业员工可在客户端上自行切换DNS组以便满足办公时特殊的访问需求。
如果您不配置DNS服务,SASE会默认为您配置阿里云DNS服务器用于企业内网网段的DNS解析。如果业务配置了云解析PrivateZone时,优先使用PrivateZone进行IP或者域名解析。
在手动配置页签,根据如下表格说明设置基础配置参数。
配置项
说明
示例值
应用名称
内网应用的名称。
长度为1~128个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
考勤管理应用
描述
内网应用的说明。
企业员工的考勤管理地址
标签
应用的自定义标签,方便您对应用进行分类、搜索和管理。
OA系统
状态
应用的访问权限。取值:
启用:表示应用处于可服务状态。
禁用:表示应用处于不可服务状态。
启用
单击下一步,根据如下表格说明设置应用地址信息。
配置项
说明
示例值
应用地址
应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况,设置应用的多个内网访问地址。
10.10.XX.XX
端口
应用使用的端口号或者端口段。
80~200
协议
应用的协议类型。取值:全部协议、TCP协议、UDP协议。
全部
步骤三:打通网络通道
在打通网络通道之前,您需要先确认当前的业务部署情况,根据业务部署选择合适的打通方案。
业务部署环境 | 解决方案 | 配置环境准备 |
企业的业务资源部署在阿里云上 | 通过网络配置功能实现指定阿里云VPC资源与SASE终端用户的网络互通。 在 页面,开启目标业务服务器所在VPC的网络打通开关。 | 办公电脑要求:
|
企业的业务资源部署在非阿里云环境(例如AWS、腾讯云等),且业务组网已经部署的阿里云VBR、CCN、VPN网关 | 通过阿里云提供的网络通道专线、SAG、IPsecVPN,实现SASE终端访问非阿里云环境的业务资源。 在 页签,配置回源VPC并开启网络打通开关即可。 | 办公电脑要求:
|
企业的业务资源部署在非阿里云环境 | SASE提供连接器(connector)功能与您的非阿里云网络环境组网连接,实现使用SASE App访问非阿里云环境的业务。 该方式不需要依赖其他网络产品即可实现业务组网的访问。 在 页签,手动添加SASE连接器,然后执行命令部署连接器并确保已开启连接器实例开关。 | 办公电脑要求:
本地连接器安装部署的服务器要求:
|
本文以企业的业务资源部署在非阿里云环境为例,为您详细介绍如何打通网络通道。
在左侧导航栏,选择 。
在网络配置页面,单击非阿里云业务。
添加连接器并关联应用。
在连接器列表页签,单击添加连接器。
最多支持添加5个连接器。
在添加连接器面板,根据实际业务配置相关参数。然后单击确定。
配置项
说明
示例值
地域
连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。
北京
实例名称
连接器的名称。
某公司接入内网访问连接器
实例开关
只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。
重要关闭实例开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
已启用
安装并部署连接器。
在部署连接器之前,您可以单击操作列部署,在部署面板获取部署连接器的详细命令。
以root用户登录待部署的服务器或者虚拟机,执行如下命令下载连接器。
wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh
执行如下命令修改权限。
chmod a+x /tmp/install_connector.sh
执行如下命令安装连接器。
sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****
说明其中,163710033944****是当前的阿里云账号UID;1404F395-6456D8CE-B02D4B20-0DFB****是SASE生成的授权License;connector-97861d0d3b91****是创建的连接器实例ID。
执行如下命令启动连接器。
sudo systemctl start aliyun_sase_connector
步骤四:创建零信任访问策略
零信任策略帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和业务应用进行资源权限划分,系统默认会有一条禁止所有访问的策略,您需要配置放行策略,将不同的资源分配给不同的用户组。
在左侧导航栏,选择 。
在零信任策略页面,单击添加策略。
在添加策略面板,根据如下参数说明设置基础信息,然后单击确定。
目前创建配置零信任策略的数量不限制,您可以根据实际业务需要,创建多条零信任策略。
配置项
说明
示例值
策略名称
添加零信任策略的名称。
长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。
考勤管理应用放行策略
描述
零信任策略的说明。
所有用户可以访问考勤管理应用
优先级
设置策略的优先级。最高优先级为1,新创建策略的优先级取值上限即当前账号下配置的零信任策略条数+1。例如,当前账号已配置的零信任策略条数为17,此时新创建的策略优先级的取值范围:1~18。
在策略存在冲突的情况下,优先级高的策略生效。
1
动作
设置策略的访问权限。取值:
允许访问:表示该条策略是允许用户或者终端访问指定应用。
禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。
允许访问
生效用户
设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。
单击添加,在用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见配置用户组。
某公司所有员工
已选应用
根据动作中设置的允许访问或者禁止访问的应用。
单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。
考勤管理应用
安全基线
选择满足企业办公的安全基线模板。
-
策略状态
为策略设置生效状态。
已启用
步骤五:验证配置是否成功
打开SASE App,输入企业认证标识,然后单击确定。
您可以在办公安全平台的设置页面,配置企业认证标识。
使用邮箱或者手机接收到的初始账号名称和密码进行登录。
单击连接内网。
访问企业考勤管理应用。
如果能够成功访问,表示您已配置成功。