全部产品
Search
文档中心

办公安全平台:业务资源部署在VPC实例(关联CEN场景)

更新时间:Jul 05, 2024

当企业业务资源部署在阿里云VPC实例上,且VPC之间通过阿里云CEN进行网络实例连接。您可以通过SASE网关打通企业本地网络和阿里云上业务资源的网络通道,实现企业员工通过内网访问阿里云云上业务资源。本文介绍如何开启网络打通开关、修改业务回源地址以及关闭网络打通开关。

管理多个阿里云账号下的VPC资源

如果您需要管理成员账号下的VPC资源,请先添加成员账号。添加完成后,SASE网络配置 > 阿里云业务页签下显示当前管理账号和已添加的成员账号下的所有VPC资源。如果您未添加任何成员账号,则配置网络页面下只显示当前管理账号的VPC资源。更多内容,请参见多账号管理

注意事项

如果网络网段冲突,如不同地域的VPC的网段相同、VPC与数据中心的网段冲突,这种情况下SASE服务无法确定目的地址。所以在打通网络前,您需要先确保当前业务网段不存在冲突的问题。

网络打通原理图

image

开启网络打通开关

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 网络配置

  3. 网络配置页面的阿里云业务 > CEN实例页签,查看SASE同步的网络资源。

    参数名称

    说明

    CEN实例ID/名称

    当前管理账号和已添加的成员账号下的所有CEN资源。

    所属账号

    CEN实例所归属的账号信息,可以是当前管理账号,也可以是成员账号。

    回源地址

    SASE网关与CEN回源的地址。

    对于已关联CEN的VPC内的ECS资源会自动添加放行回源地址的安全组策略。对于已在CEN关联的VBR、SAG等资源,如果已存在ACL策略,需要对回源地址放行。

  4. 在指定CEN实例或者CEN实例关联的某个VPC实例右侧。开启网络打通开关。

    您有两种打通网络开关的方式:

    • 开启CEN实例的网络打通开关

      表示SASE网关与CEN关联的网络资源构建了回源链路,经过SASE零信任策略校验过的访问流量,会被SASE网关转发至访问的目的地址。该方式打通了CEN连接的所有VPC实例与终端用户的网络。

      开启网络打通开关时,SASE需要您选择用于回源的VPC。

      image.png

      选择回源VPC后,SASE会展示回源VPC以及回源VPC自动分配的回源地址。

      回源地址即SASE网关与CEN回源的地址。对于已关联CEN的VPC内的ECS资源会自动添加放行回源地址的安全组策略。按照CEN粒度开启回源VPC后,对于已配置的VPC、VBR、SAG粒度的回源地址将被自动释放。

      image.png

    • 开启CEN连接的某个VPC实例的网络打通开关

      表示仅打通指定VPC实例与终端用户的网络,该CEN连接的其他VPC实例与终端用户的网络不打通。

      image.png

      开启网络打通开关后,SASE会展示业务资源默认分配的用于回源的IP地址。

为VPC连接的其他业务资源打通网络

如果您的业务应用不仅配置在VPC实例上,还配置在与VPC网络互通的其他业务资源上。如果这类业务资源无法同步到SASE上(阿里云业务和非阿里云业务都无法同步到资产信息),您可以手动添加该类资产的业务网段(支持添加多个),打通SASE与这类业务资源的网络。

重要

为指定VPC配置自定义网段后,将会使用该VPC的回源IP作为自定义网段的回源IP,请确保指定VPC可以访问自定义网段的应用。

image.png

放行回源地址

因为SASE使用代理模式访问源站服务器,如果您的源站服务器部署了安全管控策略,则安全管控策略会将回源地址判断为可疑地址,从而拦截由代理服务器转发到源站服务器的流量,导致您的网站或应用无法打开。因此,您需要在源站服务器的安全管控策略中放行该回源地址。

修改回源VPC

如果您的业务需要修改回源地址,可以在操作列,单击选择回源VPC进行修改。

image.png

关闭网络打通开关

关闭指定VPC实例或者CEN实例的网络打通开关,表示取消了SASE网关与VPC网络资源及CEN关联的网络资源构建的回源链路,即SASE终端用户不能访问业务资源。

警告

关闭网络打通开关,会导致终端用户无法使用SASE App访问内网应用。请谨慎操作。

后续步骤

网络打通后,您需要配置企业员工可访问的业务应用。详细信息,请参见配置办公应用配置零信任策略

相关文档