云电脑策略用于管控云电脑在体验、安全、审计、外设、协作、AI方面的规则。本文介绍与安全相关的规则。
背景信息
云电脑策略中与安全相关的规则包括:
登录安全规则:登录方式管控、云电脑访问IP白名单。
显示安全规则:防截屏、水印。
传输安全规则:剪贴板管控、Web客户端文件传输。
网络安全规则:域名访问管控、安全组管控。
登录安全规则
使用场景
登录方式管控规则用于限制终端用户可以使用哪种无影终端连接云电脑。
示例场景:为了保障企业信息安全,管理员将规则设置为仅允许使用Windows客户端、macOS客户端连接云电脑。
云电脑访问IP白名单规则用于限制哪些IP地址段的无影终端可以连接云电脑。
示例场景:为了保障企业信息安全,管理员将办公场所的无影终端IP地址网段添加至白名单,因此员工只能通过办公场所的无影终端连接云电脑,在其他场所无法连接。
配置说明
配置项 | 说明 |
登录方式管控 | 用于限制终端用户可以使用的无影终端类型。可选项包括:
以上选项默认全部选中,您可以根据需要取消选择部分选项。 |
云电脑访问IP白名单 | 用于指定哪些IP地址段的无影终端可以连接云电脑。 单击新增IP地址段,并在添加IP网段对话框中输入允许的源IP地址段,然后单击确定。 IP地址段格式要求:CIDR格式块,例如: |
显示安全规则
使用场景
防截屏功能用于防止因为截屏或录屏而产生数据泄露。
示例场景:某建筑设计公司为防止设计图被非法盗用,为云电脑开启了防截屏规则,因此任何人员都无法使用本地终端设备上的截图工具对云电脑画面进行截屏或录屏。
水印功能用于数据防泄露场景,可以发挥事前预防和事后审计的作用。
示例场景:某广告公司为云电脑开启了水印,员工在云电脑上对内部文件进行截图后,截图上将出现管理员指定的水印,可以有效地预防内部文件泄露。一旦发生数据泄露,水印也可以提供重要的审计线索。
适用范围
配置项 | 镜像最低版本 | 客户端及最低版本 |
防截屏 | 无要求 | Windows客户端和macOS客户端V5.2.0 |
盲水印强度 | 1.8.0 | 无要求 |
盲水印防拍照 | 1.8.0 | 任意客户端V6.7.0 |
配置说明
配置项 | 说明 |
防截屏 | 防截屏功能用于数据防泄露场景。开启防截屏后,终端用户无法使用本地终端设备上的截图工具对云电脑画面进行截屏或录屏。 说明
|
水印 | 水印功能用于数据防泄露场景,能发挥事前预防和事后审计的作用。 明水印明水印是肉眼可见的水印,您可以设置水印的内容和展现样式。
配置过程中,您可以在下方的预览区域实时查看一条明水印的展现样式。 盲水印盲水印是肉眼不可见的水印。无影云电脑提供的默认盲水印算法可根据不同阿里云账号身份信息对水印信息进行加密,防止恶意篡改。盲水印的配置项包括:
|
传输安全规则
适用范围
本地磁盘映射
仅支持Windows云电脑。
仅支持Windows客户端和macOS客户端。
本地磁盘映射适用于文件类数据的访问,不适用于运行程序。即使已开启本地磁盘映射,也不能在云电脑内运行本地设备上安装的应用。如有需要,您也可以在云电脑内运行本地的免安装应用,但是此举会占用带宽并影响云电脑的使用体验,请谨慎操作。
剪贴板管控:
对于文本和图片的传输,没有限制条件。
对于文件的传输,要求使用Windows客户端(版本不低于V7.3.0)。
Web客户端文件传输:即使设为允许上传下载,对HDX协议的Linux云电脑也不生效。如果需要在此类云电脑中使用文件传输功能,只能使用默认的系统策略(即All enabled policy)。
配置说明
配置项 | 说明 |
本地磁盘映射 | 是指将本地设备磁盘映射为云电脑磁盘,从而实现在云电脑中访问本地磁盘的数据。可选项包括:
|
剪贴板管控 | 设置云电脑和本地设备之间是否可以互相复制文本、图片和文件。 |
Web客户端文件传输 | 设置云电脑和本地设备之间是否可以通过Web客户端互相传输文件。 |
网络安全规则
域名访问管控
域名访问管控规则用于设置允许或禁止在云电脑中访问的域名。例如,根据企业的规章制度,员工不可在工作时间内访问与工作无关的网站,因此管理员将娱乐类的网站域名添加到DNS拒绝访问规则中。
使用场景
默认情况下允许在云电脑中访问任何域名。域名访问管控用于设置允许或禁止在云电脑中访问的域名,同时支持多层级、精细化地管控域名访问权限。
示例场景:假设现有下表所示的域名,按照下表配置DNS规则即可实现精细化的权限管控。
域名 | 示例 | 访问策略 | 说明 |
二级域名 |
| 允许 | 云电脑访问 |
三级域名 |
| 禁止 | 云电脑访问 |
| 允许 | 云电脑访问 | |
四级域名 |
| 禁止 | 云电脑访问 |
| 允许 | 云电脑访问 | |
| 允许 |
使用限制
域名限制
为确保终端用户能正常使用云电脑,以下预留的安全域名不受DNS规则的约束,即云电脑始终允许访问这些域名。若您将这些域名的访问策略设置为拒绝,则规则不会生效。
*.gws.aliyun
*.aliyun.com
*.alicdn.com
*.aliyunpds.com
*.aliyuncds.com
*.aliyuncs.com
操作系统限制
域名访问管控规则只对Windows操作系统的云电脑生效。
规则数量限制
最多可设置300条DNS规则。
配置说明
在域名访问管控(原DNS策略)区域单击添加DNS规则,然后在添加DNS规则对话框中完成以下配置,并单击确定。
配置项 | 说明 |
域名 | 填写需要设置DNS规则的域名。每次只能添加1个域名,支持使用 |
描述 | 自定义的DNS规则描述。 |
访问策略 | 可选择允许或拒绝。 说明
|
安全组管控
安全组是一种安全机制,用于控制云电脑的入流量和出流量,从而提高云电脑的安全性。
使用场景
一条安全组规则由规则方向、授权、优先级、协议类型、端口范围等属性确定。与云电脑建立数据通信前,系统将逐条匹配云电脑关联策略中的安全组管控规则,确认是否放行访问请求:
对于授权设置为允许的规则,如果访问请求匹配规则,则放行访问请求。
对于授权设置为拒绝的规则,如果访问请求匹配规则,则拦截访问请求并直接丢弃数据包。
您可以根据需要添加入方向或者出方向的安全组管控规则来进一步控制云电脑的出入流量。示例场景的安全组管控规则配置如下:
示例场景1
默认情况下,云电脑允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云电脑访问特定的IP地址:
规则1:拒绝所有出方向访问。示例如下:
规则方向
授权
优先级
协议类型
端口范围
授权对象
出方向
拒绝
2
全部
-1/-1
0.0.0.0/0
规则2:在规则1的基础上允许访问特定IP地址,优先级必须高于规则1。示例如下:
规则方向
授权
优先级
协议类型
端口范围
授权对象
出方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
允许访问的IP地址,例如:192.168.1.1/32。
示例场景2
在企业专网环境下,您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云电脑。示例如下:
规则方向 | 授权 | 优先级 | 协议类型 | 端口范围 | 授权对象 |
入方向 | 允许 | 1 | 选择适用的协议类型。 | 设置合适的端口范围。 | 允许访问的IP地址,例如:192.168.1.1/32。 |
示例场景3
假设云电脑A关联了策略a,云电脑B关联了策略b。在企业专网环境下,由于云电脑默认拒绝所有入方向的访问,云电脑A和云电脑B之间无法互相访问。您可以在策略a和策略b中添加以下入方向规则,实现云电脑A和云电脑B的网络互通:
在策略a中添加允许云电脑b访问的入方向规则。示例如下:
规则方向
授权
优先级
协议类型
端口范围
授权对象
入方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
云电脑B的IP地址。
在策略b中添加允许云电脑a访问的入方向规则。示例如下:
规则方向
授权
优先级
协议类型
端口范围
授权对象
入方向
允许
1
选择适用的协议类型。
设置合适的端口范围。
云电脑A的IP地址。
使用限制
规则数量限制
最多可设置200条安全组管控规则。
入方向规则的限制
云电脑默认允许所有出方向的访问,入方向的访问遵循以下原则:
互联网环境下,云电脑不支持所有入方向的访问,即使您将安全组规则的入方向设置为允许,该安全组入方向规则仍然不生效。
企业专网环境下,云电脑默认拒绝所有入方向的访问,但是您可以通过将安全组入方向规则设置为允许来放行符合要求的访问请求。
配置说明
在安全组管控区域单击添加安全组规则,然后在添加安全组规则对话框中完成以下配置,并单击确定。
配置项 | 说明 |
规则方向 |
|
授权 |
|
优先级 | 优先级的取值范围为1~60,数值越小、优先级越高。同类型规则之间由优先级决定最终生效的规则。 |
协议类型 | 支持TCP、UDP、ICMP(IPv4)和GRE协议。 |
端口范围 | 应用或协议开启的端口。所选的协议类型为自定义TCP或者自定义UDP时,您可以设置自定义端口。设置端口时,支持输入具体的端口(如: |
授权对象 | CIDR格式的IPv4地址网段。 |
描述 | 自定义的规则描述。 |
后续步骤
默认情况下,云电脑拒绝所有入方向的访问,允许所有出方向的访问,即默认已有一条允许所有访问的出方向规则。此时,您添加的出方向规则将与默认规则产生冲突。根据云电脑所属的办公网络情况,您可能需要调整默认规则的优先级,以便您添加的规则能够生效。
如果您使用的是新版办公网络(ID格式为:地域ID+dir+10位数字),由于默认规则优先级最低,您添加的规则将直接生效,无需您做额外操作。
如果您使用的是由旧版目录升级而成的办公网络(ID格式为:地域ID+dir+17位字母和数字),由于默认规则优先级最高,您需要手动调整默认规则的优先级。操作步骤如下:
找到云电脑所属的办公网络,单击其办公网络ID。
在办公网络详情页面,单击安全组ID。
在安全组列表页面,单击安全组ID。
在安全组规则页面,单击出方向页签,并修改对应规则的优先级。
建议将优先级设置为60,这样做可以确保您以后手动添加的出方向规则均可以直接生效。