記得很多年前,那個時候的3G還是稀罕物,大行其道的是EDGE這樣的2.5G技術,一位能源行業的上司問我:我們準備上無線網絡,你說這個無線網是放在内網好呢還是放在外網好呢?
我當時的回答是放在内網,因為外網沒有必要我們自己上無線網,營運商的移動網絡的發展肯定比我們自己的無線網絡要好得多,到時我們就算弄個外網無線網也不會有太多人用。
我不知那位上司是否采納了我的建議,可以明确的是後來的移動網際網路的高速發展以及對我們生活的深刻改變,現在移動網際網路又開始逐漸滲透辦公場景,這種情況下不知道我們的“内網”還好用麼?
2010年Forrester的分析師推出了“零信任模型”,提出在網絡邊界内外的任何東西,在沒有驗證以前都不予信任,忘了邊界,将注意力集中在資料包本身上。2014年,Google又發論文分享了自己從2011年以來拆除企業“内網”的實施情況,最終的目标是讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網絡順利開展工作,為此提出了三項原則:
- 發起連接配接時所在的網絡不能決定你可以通路的服務;
- 服務通路權限的授予以我們對你和你的裝置的了解為基礎;
- 對服務的通路必須全部通過身份驗證, 獲得授權并經過加密。
針對“零信任”,阿裡雲在和釘釘融合之後也提出了自己的“雲+端”的解決方案,就是利用釘釘作為一個可信的端,再通過SaaS化的企業應用網關作為企業統一的應用入口來使用,通過合理的設定防火牆規則,我們可以隻允許特定的人僅能通過釘釘來通路企業應用,至于釘釘的安全,則可以通過專屬釘釘的安全政策和進階安全特性來保證,其中就包括對可信裝置進行管理的“可信裝置平台”功能。
(以上截圖來自釘釘管理背景)
可信裝置平台是專屬釘釘在準入安全上的端管控能力。可信裝置是某些操作的前提,例如隻有登記在案的可信裝置才可以登入“專屬釘釘”。公司可以因需管控員工使用的某台移動或PC裝置(如私人手機号、專屬賬号)登入釘釘,并開啟相關的生效政策。—— 釘釘管理背景對可信裝置平台的介紹
除了可信裝置平台,釘釘的安全政策也是專屬釘釘的特性之一,從這個角度來看要使用基于釘釘的零信任架構,還是需要專屬釘釘作為這個“可信的端”才是明智的選擇。
釘釘企業應用網關的架構如下:
可以看到企業應用網關其實是一個輕量化的SaaS服務,就是通過雲的能力對使用者的應用通路請求進行轉發,但在轉發以前會對使用者的身份就行認證,隻允許特定的使用者通路特定的應用。
另外,為了實作内部應用的外部安全通路,可以在特定位置部署釘釘企業應用網關的連接配接器,連接配接器隻需要能夠以用戶端的形式通路網際網路即可建立一個安全的TLS加密通道,合法授權使用者就能通過這個通道來通路内部應用,運作内部應用的相關伺服器可以在IDC和雲上的任何位置,隻要允許連接配接器所在的IP位址通路即可。
目前,對于企業應用網關有需求的客戶可以申請POC測試,測試權限開通後可以在釘釘的管理背景的工作台頁面看到企業應用網關的配置入口。
點選進入後可見配置頁面,首先需要建立一個應用。
該頁面需要提供如下資訊:
- 應用名稱、應用的名稱不能超過15個字。
- 應用類型、可選擇公網應用或内網應用,兩者的差別是公網應用無需部署連接配接器。
- 應用域名、包括主域名和其他域名,主域名是應用本身的域名,當應用裡還引用其他URL時需要将其添加到其他域名中,應用域名可以使用https/http協定。
- 連接配接器、假如是内網應用,我們需要根據應用的部署位置選擇一個連接配接器。
在完成應用的設定後,我們可以得到一個“網關統一通路域名”。
我們在用這個域名建立一個釘釘H5 微應用:
将你得到的網關統一通路域名填入應用的首頁位址和PC端首頁位址,并根據實際情況填寫服務出口IP,不要使用這裡的1.1.1.1。
建立應用後需要将該H5應用對外釋出,需要注意的是這裡的釋出範圍隻是決定了應用的可見性,隻有在企業應用網關中對特定的人用開通權限後才能通過企業應用網關通路該應用。
在企業應用網關中的政策設定頁面如下:
具體的設定包括:
- 使用該政策的部門或者員工、可以按照部門或者單獨人員來選擇。
- 使用該政策的應用、哪些應用要受到該政策的控制,可以設定多個應用比對同一個政策。
- 生效條件、包括日期和時間的屬性、可以設定一天中哪個時段允許通路,可以設定網絡位址的條件,當用戶端的網絡位址在什麼範圍比對,還可以設定裝置的屬性,包括IOS或者安卓等裝置。
- 安全政策的動作、在比對該條件後允許或者拒絕通路。
假如需要選擇連結器來通路應用,可以事先在合适的位置部署連接配接器,連接配接器是一個java應用,是以隻需要JDK即可運作,我麼可以在企業應用網關的連接配接器下載下傳頁面下載下傳。
點選連結後,有詳細的安裝部署操作步驟,根據提示進行操作即可。
連接配接器安裝後在控制台能夠看到該連接配接器的狀态,需要先啟用該連接配接器方可使用。
為了實作連接配接器的高可用,可以将多個連接配接器綁定成連接配接器組:
假如我們開通一台雲伺服器用來運作應用服務,并且就在該伺服器上部署連接配接器,那麼我們甚至可以将該雲伺服器的所有主動進入流量都屏蔽掉,這樣就隻能通過釘釘和企業應用網關的連接配接器來通路該應用,即便該伺服器完全在網際網路上運作,我們也能夠實作“零信任”通路。