如何快速搭建安全的內(nèi)網(wǎng)辦公環(huán)境
如果企業(yè)為了辦公數(shù)據(jù)的安全性,將業(yè)務(wù)應(yīng)用部署在私網(wǎng)網(wǎng)段上,此時(shí)為了讓企業(yè)異地辦公場(chǎng)景下企業(yè)員工能夠安全地訪問業(yè)務(wù)應(yīng)用,可以使用SASE為您打通辦公網(wǎng)絡(luò),為企業(yè)搭建一個(gè)內(nèi)網(wǎng)辦公環(huán)境。本文為您介紹如何快速搭建一個(gè)內(nèi)網(wǎng)辦公環(huán)境。
場(chǎng)景示例
A公司的業(yè)務(wù)應(yīng)用部署在阿里云杭州ECS的私網(wǎng)網(wǎng)段(10.0.216.224)上,ECS所在的VPC名稱為VPC_test1,A公司研發(fā)一部的所有員工在上海分公司辦公。此時(shí)企業(yè)需要通過SASE內(nèi)網(wǎng)訪問功能,實(shí)現(xiàn)研發(fā)一部所有員工能夠訪問杭州私網(wǎng)網(wǎng)段的業(yè)務(wù)應(yīng)用。
前提條件
已在華東1(杭州)地域,創(chuàng)建了業(yè)務(wù)需使用的專有網(wǎng)絡(luò) VPC和云服務(wù)器 ECS,且在ECS的私網(wǎng)網(wǎng)段上部署了企業(yè)的業(yè)務(wù)應(yīng)用。
準(zhǔn)備工作
購(gòu)買的ECS實(shí)例必須滿足以下條件:
實(shí)例已分配公網(wǎng)IP地址或綁定彈性公網(wǎng)IP(EIP)。
操作系統(tǒng)必須為CentOS 7.x。
實(shí)例安全組的入方向規(guī)則已放行22、80、443端口。具體操作,請(qǐng)參見添加安全組規(guī)則。
根據(jù)以上要求,本示例準(zhǔn)備的ECS:公網(wǎng)IP為47.110.XX.XX,私網(wǎng)IP為10.0.216.224。
操作步驟
遠(yuǎn)程連接需要部署的ECS實(shí)例。具體操作,請(qǐng)參見ECS遠(yuǎn)程連接方式概述。
運(yùn)行以下命令,安裝Nginx。
sudo yum -y install nginx
運(yùn)行以下命令,查看Nginx版本。
nginx -v
返回結(jié)果類似如下所示,表示Nginx安裝成功。
nginx version: nginx/1.20.1
運(yùn)行以下命令,啟動(dòng)Nginx服務(wù)。
service nginx start
步驟一:配置自定義身份源
本文為了快速驗(yàn)證功能,以自定義身份源為例為您介紹。
登錄辦公安全平臺(tái)控制臺(tái)。在左側(cè)導(dǎo)航欄,選擇 。
在身份源管理頁簽,定位到默認(rèn)啟用的自定義身份源,單擊編輯,按照如下信息配置自定義身份源。然后單擊確定。
電腦設(shè)備登錄方式:賬號(hào)密碼登錄
移動(dòng)設(shè)備登錄方式:賬號(hào)密碼登錄
在身份源列表,定位到已創(chuàng)建的自定義身份源,單擊用戶管理。
在用戶管理面板,單擊添加用戶,按照如下信息添加企業(yè)員工信息。然后單擊確定。
因?yàn)?span data-tag="ph" id="dc03dc5075qga" class="ph">SASE下發(fā)策略是按照用戶組下發(fā)的,所以需要先為企業(yè)先創(chuàng)建部門,然后為該部門添加企業(yè)用戶。
待添加的企業(yè)員工信息包含用戶名、部門、郵箱、手機(jī)號(hào)、備注等。您配置郵箱和手機(jī)號(hào)后,為用戶生成的初始用戶名和密碼會(huì)發(fā)送到您的郵箱或手機(jī)。
本示例創(chuàng)建的部門為A公司研發(fā)一部,該部門有兩名員工,分別是開發(fā)人員1和開發(fā)人員2。
步驟二:配置內(nèi)網(wǎng)業(yè)務(wù)應(yīng)用資源
在左側(cè)導(dǎo)航欄,選擇 。
在辦公應(yīng)用頁面,單擊添加應(yīng)用,按照如下信息配置應(yīng)用。然后單擊確定。
名稱:A公司內(nèi)網(wǎng)應(yīng)用
訪問控制:?jiǎn)⒂?/p>
應(yīng)用地址:選擇設(shè)置應(yīng)用的IP,填寫10.0.216.224
端口:1~65535
協(xié)議:全部協(xié)議
步驟三:打通阿里云業(yè)務(wù)的網(wǎng)絡(luò)通道
在左側(cè)導(dǎo)航欄,選擇 。
在 頁簽,定位到企業(yè)使用的業(yè)務(wù)VPC,開啟網(wǎng)絡(luò)打通開關(guān)。
步驟四:創(chuàng)建零信任訪問策略
由于SASE默認(rèn)會(huì)配置一條禁止所有訪問的策略,所以您需要為指定員工配置放行策略,允許員工訪問內(nèi)網(wǎng)應(yīng)用。
在左側(cè)導(dǎo)航欄,選擇 。
在零信任策略頁面,單擊添加策略。
在添加策略面板,按照如下信息配置放行策略,然后單擊確定。
策略名稱:A公司內(nèi)網(wǎng)應(yīng)用放行策略
優(yōu)先級(jí):1
動(dòng)作:允許訪問
生效用戶:單擊添加,在自定義用戶組頁簽,配置組織架構(gòu)等于A公司研發(fā)一部
已選應(yīng)用:單擊添加,在應(yīng)用頁簽,選擇A公司內(nèi)網(wǎng)應(yīng)用
策略狀態(tài):已啟用
步驟五:驗(yàn)證配置是否成功
打開SASE App,輸入企業(yè)認(rèn)證標(biāo)識(shí),然后單擊確定。
您可以在辦公安全平臺(tái)的設(shè)置頁面,配置企業(yè)認(rèn)證標(biāo)識(shí)。
使用郵箱或者手機(jī)接收到的初始賬號(hào)名稱和密碼進(jìn)行登錄。
單擊連接內(nèi)網(wǎng)。
訪問企業(yè)考勤管理應(yīng)用(http://10.0.216.224)。
如果能夠成功訪問,表示您已配置成功。