本文主要介绍无影云桌面在项目交付过程中办公安全场景的最佳实践。
背景
在很多甲乙方项目建设交付过程中,乙方存在远程对甲方系统/资源访问、部署、维护等工作,而甲方为尽量保障网络和数据安全不希望直接开通内网访问的VPN/堡垒机等系统账号权限给乙方,因此建设一个安全可靠的远程办公环境变得非常重要。
无影云桌面云支持公网远程连接、高数据安全管控、按量付费短期使用等,适用于项目交付过程中的远程办公和数据防泄漏场景。
相关概念
云桌面:虚拟化的云上桌面服务,可通过浏览器、电脑客户端、手机客户端、瘦终端客户端进行连接。
工作区:云桌面工作环境配置的集合,包括安全办公网络的划分、用户账号系统和互联网访问等相关设置。
策略:定义了USB重定向、磁盘、剪贴板读写权限、水印、是否允许抢占等配置的一组安全规则集合,用于统一控制用户终端与云桌面之间的数据传输和外设接入权限。
解决方案
无影云桌面核心安全功能
无影云桌面安全主要为四大块,涉及环境安全、账号安全、访问安全、审计溯源安全等,其中适用项目交付办公安全的重点调试的为红色填充块功能。
架构图
甲方可提前搭建适用于乙方交付的无影云桌面环境,配置好对应的安全策略以及堡垒机访问账号等;
乙方项目交付团队通过分配的无影云桌面账号密码等配置信息,下载客户端,通过办公网IP登录云桌面,传输安装包,复制相关操作命令等,进行项目交付办公操作;
在无影云桌面,通过堡垒机完成运维管理,亦可直接访问部署的应用系统进行相关运营、维护操作;
无影云桌面安全办公环境搭建实施步骤
创建工作区
工作区创建需要特别注意地域选择、网段以及掩码设置、链接方式以及账号系统选择,创建工作区管理文档可参考:管理工作区官方文档。
调整工作区配置
工作区内桌面互通配置为【关闭】,多因素设备认证配置为【开启】,连接方式【公网连接】。
开通互联网访问
可根据项目交付团队实际使用的天数,选择按量或按带宽固定收费;根据交付团队人数选择带宽大小,详细可参考管理互联网访问官方文档。
创建安全策略
【水印】功能开启,只显示用户名;
【单向允许剪贴到云桌面】开启;
【HTML5客户端文件传输】关闭;
【打印机重定向】禁止;
【摄像头重定向】禁止;
【登录方式管控】只开windows客户端和mac客户端软终端登录;
【安全组管控】可配置入全部禁止,出仅允许堡垒机和指定业务系统IP和端口访问,其他出方向均阻断;
【域名黑白名单】可配置白名单,只允许访问指定的堡垒机和业务系统域名;
【USB重定向】关闭;
【录屏审计管控】启用录屏审计,针对用户操作录屏以及根据实际情况对录屏文件保留一段时间;
创建用户
云桌面独立账号需包含用户名、邮箱、手机号,其中邮箱和手机号至少包含一个字段,用于接收分配的账号密码以及云桌面配置信息。
创建云桌面
根据项目建设和维护的周期,选择包年包月或者按量付费;根据项目团队熟悉的操作系统以及性能配置需求选择镜像模板;关键是选择匹配上述配置的安全策略。
为用户分配云桌面
选择要分配云桌面的用户,并为其分配创建的满足安全策略要求云桌面,分配后用户会通过手机短信或邮箱查收到云桌面账号密码以及相关配置信息等。
登录使用无影云桌面
建议使用以下测试项验证安全策略效果:
测试项 |
效果预期 |
|---|---|
登录方式安全策略 |
只有电脑客户端可查看到分配的云桌面 |
登录源IP安全测试 |
只有项目交付端IP网段可访问 |
登录认证双因素安全测试 |
账号密码+MFA双因素认证 |
上传下载文件安全测试 |
只允许终端向云桌面单向传输文件,不能从云桌面下载文件到终端 |
HTML5文件传输测试 |
不允许HTML5文件传输 |
云桌面内网络访问安全测试 |
云桌面只允许访问开放的域名和IP,其他均禁止 |
剪切板安全测试 |
只允许终端向云桌面单向剪贴,不能从云桌面剪贴到终端 |
硬盘映射安全测试 |
本地硬盘不能映射到云桌面 |
水印溯源安全测试 |
有满足配置的明水印 |
日志溯源安全测试 |
有详细的用户操作日志 |
录屏溯源安全测试 |
所有操作均可在录屏文件查看 |
USB重定向安全测试 |
本地USB不能重定向到云桌面 |
打印机重定向安全测试 |
无法本地打印机不能重定向到云桌面 |
摄像头重定向安全测试 |
无法本地摄像头不能重定向到云桌面 |
