钉钉企业应用网关了解一下-阿里云开发者社区

开发者社区> anxin> 正文

钉钉企业应用网关了解一下

简介: 通过企业应用网关,即便该服务器完全在互联网上运行,我们也能够实现“零信任”访问。
+关注继续查看

记得很多年前,那个时候的3G还是稀罕物,大行其道的是EDGE这样的2.5G技术,一位能源行业的领导问我:我们准备上无线网络,你说这个无线网是放在内网好呢还是放在外网好呢?

我当时的回答是放在内网,因为外网没有必要我们自己上无线网,运营商的移动网络的发展肯定比我们自己的无线网络要好得多,到时我们就算弄个外网无线网也不会有太多人用。

我不知那位领导是否采纳了我的建议,可以明确的是后来的移动互联网的高速发展以及对我们生活的深刻改变,现在移动互联网又开始逐渐渗透办公场景,这种情况下不知道我们的“内网”还好用么?

2010年Forrester的分析师推出了“零信任模型”,提出在网络边界内外的任何东西,在没有验证以前都不予信任,忘了边界,将注意力集中在数据包本身上。2014年,Google又发论文分享了自己从2011年以来拆除企业“内网”的实施情况,最终的目标是让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作,为此提出了三项原则:

  • 发起连接时所在的网络不能决定你可以访问的服务;
  • 服务访问权限的授予以我们对你和你的设备的了解为基础;
  • 对服务的访问必须全部通过身份验证, 获得授权并经过加密。

针对“零信任”,阿里云在和钉钉融合之后也提出了自己的“云+端”的解决方案,就是利用钉钉作为一个可信的端,再通过SaaS化的企业应用网关作为企业统一的应用入口来使用,通过合理的设置防火墙规则,我们可以只允许特定的人仅能通过钉钉来访问企业应用,至于钉钉的安全,则可以通过专属钉钉的安全策略和高级安全特性来保证,其中就包括对可信设备进行管理的“可信设备平台”功能。

1.jpg

(以上截图来自钉钉管理后台)

可信设备平台是专属钉钉在准入安全上的端管控能力。可信设备是某些操作的前提,例如只有登记在案的可信设备才可以登录“专属钉钉”。公司可以因需管控员工使用的某台移动或PC设备(如私人手机号、专属账号)登录钉钉,并开启相关的生效策略。

     —— 钉钉管理后台对可信设备平台的介绍

除了可信设备平台,钉钉的安全策略也是专属钉钉的特性之一,从这个角度来看要使用基于钉钉的零信任架构,还是需要专属钉钉作为这个“可信的端”才是明智的选择。

钉钉企业应用网关的架构如下:

2.jpg

可以看到企业应用网关其实是一个轻量化的SaaS服务,就是通过云的能力对用户的应用访问请求进行转发,但在转发以前会对用户的身份就行认证,只允许特定的用户访问特定的应用。

另外,为了实现内部应用的外部安全访问,可以在特定位置部署钉钉企业应用网关的连接器,连接器只需要能够以客户端的形式访问互联网即可建立一个安全的TLS加密通道,合法授权用户就能通过这个通道来访问内部应用,运行内部应用的相关服务器可以在IDC和云上的任何位置,只要允许连接器所在的IP地址访问即可。

目前,对于企业应用网关有需求的客户可以申请POC测试,测试权限开通后可以在钉钉的管理后台的工作台页面看到企业应用网关的配置入口。
3.jpg

点击进入后可见配置页面,首先需要创建一个应用。

4.jpg

该页面需要提供如下信息:

  • 应用名称、应用的名称不能超过15个字。
  • 应用类型、可选择公网应用或内网应用,两者的区别是公网应用无需部署连接器。
  • 应用域名、包括主域名和其他域名,主域名是应用本身的域名,当应用里还引用其他URL时需要将其添加到其他域名中,应用域名可以使用https/http协议。
  • 连接器、假如是内网应用,我们需要根据应用的部署位置选择一个连接器。

在完成应用的设置后,我们可以得到一个“网关统一访问域名”。

5.jpg

我们在用这个域名建立一个钉钉H5 微应用:

6.jpg

将你得到的网关统一访问域名填入应用的首页地址和PC端首页地址,并根据实际情况填写服务出口IP,不要使用这里的1.1.1.1。

7.jpg

创建应用后需要将该H5应用对外发布,需要注意的是这里的发布范围只是决定了应用的可见性,只有在企业应用网关中对特定的人用开通权限后才能通过企业应用网关访问该应用。

8.jpg

在企业应用网关中的策略设置页面如下:

9.jpg

具体的设置包括:

  • 使用该策略的部门或者员工、可以按照部门或者单独人员来选择。
  • 使用该策略的应用、哪些应用要受到该策略的控制,可以设置多个应用匹配同一个策略。
  • 生效条件、包括日期和时间的属性、可以设置一天中哪个时段允许访问,可以设置网络地址的条件,当客户端的网络地址在什么范围匹配,还可以设置设备的属性,包括IOS或者安卓等设备。
  • 安全策略的动作、在匹配该条件后允许或者拒绝访问。

假如需要选择链接器来访问应用,可以事先在合适的位置部署连接器,连接器是一个java应用,因此只需要JDK即可运行,我么可以在企业应用网关的连接器下载页面下载。

10.jpg

点击链接后,有详细的安装部署操作步骤,根据提示进行操作即可。

11.jpg

连接器安装后在控制台能够看到该连接器的状态,需要先启用该连接器方可使用。
12.jpg

为了实现连接器的高可用,可以将多个连接器绑定成连接器组:

13.jpg

假如我们开通一台云服务器用来运行应用服务,并且就在该服务器上部署连接器,那么我们甚至可以将该云服务器的所有主动进入流量都屏蔽掉,这样就只能通过钉钉和企业应用网关的连接器来访问该应用,即便该服务器完全在互联网上运行,我们也能够实现“零信任”访问。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
浅析阿里云API网关的产品架构和常见应用场景
API 网关提供完整的 API 托管服务,辅助用户将能力、服务、数据以 API 的形式开放给合作伙伴,也可以发布到 API 市场供更多的开发者采购使用。
7757 0
服务网关 Spring Cloud Gateway 的应用
如何启动 Spring Cloud Gateway 1、新建 Maven 工程,添加相关依赖 pom.xml 4.0.0 com.
2281 0
企业应用混合云网络解决方案
本文介绍通用混合云网络解决方案,并以酒店行业为例,介绍酒店行业及其PMS系统混合云部署方案,及Demo构建示例
753 0
超小型模块:IDO-SOM2D01可应用于物联网智能网关等领域
IDO-SOM2D01 是基于 SigmaStar SSD201 SoC(ARM Cortex A7 内核)的超小型 SOM (System On Module)模块。
50 0
【物联网智能网关-06】GPS定位+星图显示(WinForm库应用实例)
GPS不仅可以双向通信,还可以以二进制格式收发数据,并且可以配置需要发送数据的种类和发送间隔,当然必要的时候,还可以用专门的工具,更新GPS模块的固件。
772 0
关于国家支持的网络攻击企业需要知道些什么
本文讲的是关于国家支持的网络攻击企业需要知道些什么,对很多公司和他们的首席信息官来说,令人不安的残酷现实是:当今世界极少有(如果有的话)公司不处在数据被网络攻击盗走的风险之下。
897 0
+关注
anxin
阿里云辽宁授权服务中心大连奥远电子股份有限公司技术总监、阿里云ACE认证架构师、阿里云MVP。
138
文章
1
问答
来源圈子
更多
阿里云最有价值专家,简称 MVP(Most Valuable Professional),是专注于帮助他人充分了解和使用阿里云技术的意见领袖阿里云 MVP 奖项为我们提供了这样一个机会,向杰出的意见领袖表示感谢,更希望通过 MVP 将开发者的声音反映到我们的技术路线图上。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载