基于无影云桌面的项目交付办公安全最佳实践

简介: 本文主要介绍无影云桌面在项目交付过程中办公安全场景的最佳实践。

本文主要介绍无影云桌面在项目交付过程中办公安全场景的最佳实践。

背景

在很多甲乙方项目建设交付过程中,乙方存在远程对甲方系统/资源访问、部署、维护等工作,而甲方为尽量保障网络和数据安全不希望直接开通内网访问的VPN/堡垒机等系统账号权限给乙方,因此建设一个安全可靠的远程办公环境变得非常重要。

无影云桌面云支持公网远程连接、高数据安全管控、按量付费短期使用等,适用于项目交付过程中的远程办公和数据防泄漏场景。

相关概念

  • 云桌面:虚拟化的云上桌面服务,可通过浏览器、电脑客户端、手机客户端、瘦终端客户端进行连接。

  • 工作区:云桌面工作环境配置的集合,包括安全办公网络的划分、用户账号系统和互联网访问等相关设置。

  • 策略:定义了USB重定向、磁盘、剪贴板读写权限、水印、是否允许抢占等配置的一组安全规则集合,用于统一控制用户终端与云桌面之间的数据传输和外设接入权限。

解决方案

  • 无影云桌面核心安全功能

无影云桌面安全主要为四大块,涉及环境安全、账号安全、访问安全、审计溯源安全等,其中适用项目交付办公安全的重点调试的为红色填充块功能。功能图

  • 架构图架构图

  1. 甲方可提前搭建适用于乙方交付的无影云桌面环境,配置好对应的安全策略以及堡垒机访问账号等;

  2. 乙方项目交付团队通过分配的无影云桌面账号密码等配置信息,下载客户端,通过办公网IP登录云桌面,传输安装包,复制相关操作命令等,进行项目交付办公操作;

  3. 在无影云桌面,通过堡垒机完成运维管理,亦可直接访问部署的应用系统进行相关运营、维护操作;

  • 无影云桌面安全办公环境搭建实施步骤

  1. 创建工作区

    工作区创建需要特别注意地域选择、网段以及掩码设置、链接方式以及账号系统选择,创建工作区管理文档可参考:管理工作区官方文档。工作区

  2. 调整工作区配置

    工作区内桌面互通配置为【关闭】,多因素设备认证配置为【开启】,连接方式【公网连接】。12

  3. 开通互联网访问

    可根据项目交付团队实际使用的天数,选择按量或按带宽固定收费;根据交付团队人数选择带宽大小,详细可参考管理互联网访问官方文档

    互联网访问
  4. 创建安全策略

    【水印】功能开启,只显示用户名;

    【单向允许剪贴到云桌面】开启;

    【HTML5客户端文件传输】关闭;

    【打印机重定向】禁止;

    【摄像头重定向】禁止;

    【登录方式管控】只开windows客户端和mac客户端软终端登录;

    【安全组管控】可配置入全部禁止,出仅允许堡垒机和指定业务系统IP和端口访问,其他出方向均阻断;

    【域名黑白名单】可配置白名单,只允许访问指定的堡垒机和业务系统域名;

    【USB重定向】关闭;

    【录屏审计管控】启用录屏审计,针对用户操作录屏以及根据实际情况对录屏文件保留一段时间;

    2111111111111133

  5. 创建用户

    云桌面独立账号需包含用户名、邮箱、手机号,其中邮箱和手机号至少包含一个字段,用于接收分配的账号密码以及云桌面配置信息。

    11
  6. 创建云桌面

    根据项目建设和维护的周期,选择包年包月或者按量付费;根据项目团队熟悉的操作系统以及性能配置需求选择镜像模板;关键是选择匹配上述配置的安全策略。12

  7. 为用户分配云桌面

    选择要分配云桌面的用户,并为其分配创建的满足安全策略要求云桌面,分配后用户会通过手机短信或邮箱查收到云桌面账号密码以及相关配置信息等。

    11
  8. 登录使用无影云桌面

建议使用以下测试项验证安全策略效果:

测试项

效果预期

登录方式安全策略

只有电脑客户端可查看到分配的云桌面

登录源IP安全测试

只有项目交付端IP网段可访问

登录认证双因素安全测试

账号密码+MFA双因素认证

上传下载文件安全测试

只允许终端向云桌面单向传输文件,不能从云桌面下载文件到终端

HTML5文件传输测试

不允许HTML5文件传输

云桌面内网络访问安全测试

云桌面只允许访问开放的域名和IP,其他均禁止

剪切板安全测试

只允许终端向云桌面单向剪贴,不能从云桌面剪贴到终端

硬盘映射安全测试

本地硬盘不能映射到云桌面

水印溯源安全测试

有满足配置的明水印

日志溯源安全测试

有详细的用户操作日志

录屏溯源安全测试

所有操作均可在录屏文件查看

USB重定向安全测试

本地USB不能重定向到云桌面

打印机重定向安全测试

无法本地打印机不能重定向到云桌面

摄像头重定向安全测试

无法本地摄像头不能重定向到云桌面

相关文章
|
4月前
|
UED iOS开发 异构计算
用阿里云无影电脑玩《黑神话·悟空》的最佳实践
近期,国产3A游戏《黑神话·悟空》引爆朋友圈,但对于使用MacBook Pro的玩家来说,因设备限制难以畅玩。本文提供了一种解决方案:利用阿里云无影云电脑服务。用户需首先下载无影客户端,订购具备显卡功能的套餐,并通过加载特定镜像快速安装游戏,避免长时间下载。此外,玩家还需根据自身需求配置云电脑参数以降低延迟。尽管此方法可让Mac用户体验游戏,但若追求极致游戏体验,仍建议配备高性能PC。
3077 7
|
运维
通过计算巢部署无影云桌面最佳实践
计算巢简介计算巢服务是阿里云开放给企业应用服务商与其客户的服务管理PaaS平台。服务商在计算巢创建服务(可理解为云资源、软件编排后的集合)并发布上线后,用户便可通过此服务创建服务实例(基于计算巢服务创建的服务实体)以获取具体服务内容,即商家创建服务,用户通过商家发布的服务创建服务实例。目前,计算巢已集成了无影的能力,包括创建无影云桌面、用户、无影模板、工作区等内容,计算巢通过Ros(资源编排)可一
776 0
通过计算巢部署无影云桌面最佳实践
|
存储 安全 数据安全/隐私保护
无影云电脑软件开发最佳实践
传统办公电脑和管理方法在应对企业信息安全方面存在较多的安全风险。随着企业办公向开发外包、BYOD等方向发展,保证开发环境在不同场景、不同终端下的安全可靠,防止核心数据丢失与泄密,成为企业管理者面临的首要问题。
无影云电脑软件开发最佳实践
|
弹性计算 运维 安全
无影云电脑居家办公最佳实践(AD域账号)
2020年初新冠肺炎疫情在全球迅速蔓延,突如其来的疫情让大多数企业不得不停工停产,企业在探索和实践各种新的办公方式,远程办公、居家办公的需求和市场规模呈现出爆发式增长,已成为企业的共识和全球趋势。
无影云电脑居家办公最佳实践(AD域账号)
|
弹性计算 运维 安全
无影云电脑居家办公最佳实践(便捷账号)
2020年初新冠肺炎疫情在全球迅速蔓延,突如其来的疫情让大多数企业不得不停工停产,企业在探索和实践各种新的办公方式,远程办公、居家办公的需求和市场规模呈现出爆发式增长,已成为企业的共识和全球趋势。
无影云电脑居家办公最佳实践(便捷账号)
|
存储 弹性计算 运维
阿里云无影云桌面精选特惠,4核8G配置新用户首购低至1元起
阿里云无影云桌面精选特惠,4核8G配置新用户首购低至1元起
453 0
|
存储 弹性计算 运维
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
491 3
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
|
存储 弹性计算 运维
阿里云无影云桌面是什么样的价格贵吗
阿里云无影云桌面是什么样的价格贵吗
219 0
|
弹性计算 运维 安全
阿里云无影云电脑详细介绍(原无影云桌面)
阿里云无影云电脑详细介绍(原无影云桌面),什么是阿里云无影云电脑?无影云电脑(原云桌面)是一种快速构建、高效管理桌面办公环境,无影云电脑可用于远程办公、多分支机构、安全OA、短期使用、专业制图等使用场景,阿里云百科分享无影云桌面的详细介绍、租用价格、云电脑的优势、使用场景、网络架构、无影云电脑与云服务器的区别以及关于无影云电脑的常见问题解答FAQ
647 0
|
存储 弹性计算 运维
无影云桌面和服务器的区别以及阿里云无影电脑的优势
无影云桌面和服务器的区别以及阿里云无影电脑的优势,阿里云无影云电脑和云服务器有什么区别?云电脑是作为个人或企业办公电脑使用,云服务器是对外提供24小时高可用服务,云电脑是桌面服务,云服务器是提供背后的计算服务,阿里云百科分享阿里云无影云电脑和云服务器的区别