安全相關(guān)規(guī)則
云電腦策略用于管控云電腦在體驗(yàn)、安全、審計(jì)、外設(shè)、協(xié)作、AI方面的規(guī)則。本文介紹與安全相關(guān)的規(guī)則。
背景信息
云電腦策略中與安全相關(guān)的規(guī)則包括:
登錄安全規(guī)則:登錄方式管控、云電腦訪問(wèn)IP白名單。
顯示安全規(guī)則:防截屏、水印。
傳輸安全規(guī)則:剪切板管控、Web客戶端文件傳輸。
網(wǎng)絡(luò)安全規(guī)則:域名訪問(wèn)管控、安全組管控。
登錄安全規(guī)則
快速入門
請(qǐng)查看以下引導(dǎo)式教學(xué),了解無(wú)影云電腦企業(yè)版的登錄方式管控策略是什么,以及如何使用。為獲得最佳體驗(yàn),請(qǐng)在新窗口中打開(kāi)查看。
使用場(chǎng)景
登錄方式管控規(guī)則用于限制終端用戶可以使用哪種無(wú)影終端連接云電腦。
示例場(chǎng)景:為了保障企業(yè)信息安全,管理員將規(guī)則設(shè)置為僅允許使用Windows客戶端、macOS客戶端和無(wú)影自研硬件終端連接云電腦。
云電腦訪問(wèn)IP白名單規(guī)則用于限制哪些IP地址段的無(wú)影終端可以連接云電腦。
示例場(chǎng)景:為了保障企業(yè)信息安全,管理員將辦公場(chǎng)所的無(wú)影終端IP地址網(wǎng)段添加至白名單,因此員工只能通過(guò)辦公場(chǎng)所的無(wú)影終端連接云電腦,在其他場(chǎng)所無(wú)法連接。
配置說(shuō)明
配置項(xiàng) | 說(shuō)明 |
登錄方式管控 | 用于限制終端用戶可以使用的無(wú)影終端類型。可選項(xiàng)包括:
以上選項(xiàng)默認(rèn)全部選中,您可以根據(jù)需要取消選擇部分選項(xiàng)。 |
云電腦訪問(wèn)IP白名單 | 用于指定哪些IP地址段的無(wú)影終端可以連接云電腦。 單擊新增IP地址段,并在添加IP網(wǎng)段對(duì)話框中輸入允許的源IP地址段,然后單擊確定。 IP地址段格式要求:CIDR格式塊,例如: |
顯示安全規(guī)則
快速入門
請(qǐng)查看以下引導(dǎo)式教學(xué),了解無(wú)影云電腦企業(yè)版的防截屏與水印策略是什么,以及如何使用。為獲得最佳體驗(yàn),請(qǐng)在新窗口中打開(kāi)查看。
使用場(chǎng)景
防截屏功能用于防止因截屏或錄屏而產(chǎn)生數(shù)據(jù)泄露。
示例場(chǎng)景:某建筑設(shè)計(jì)公司為防止設(shè)計(jì)圖被非法盜用,為云電腦開(kāi)啟了防截屏規(guī)則,因此任何人員都無(wú)法使用本地終端設(shè)備上的截圖工具對(duì)云電腦畫(huà)面進(jìn)行截屏或錄屏。
水印功能用于數(shù)據(jù)防泄露場(chǎng)景,可以發(fā)揮事前預(yù)防和事后審計(jì)的作用。
示例場(chǎng)景:某廣告公司為云電腦開(kāi)啟了水印,員工在云電腦上對(duì)內(nèi)部文件進(jìn)行截圖后,截圖上將出現(xiàn)管理員指定的水印,可以有效地預(yù)防內(nèi)部文件泄露。一旦發(fā)生數(shù)據(jù)泄露,水印也可以提供重要的審計(jì)線索。
適用范圍
配置項(xiàng) | 鏡像最低版本 | 客戶端及最低版本 |
防截屏 | 無(wú)要求 | Windows客戶端和macOS客戶端V5.2 |
盲水印強(qiáng)度 | 1.8.0 | 無(wú)要求 |
盲水印防拍照 | 1.8.0 | 任意客戶端V6.7 |
配置說(shuō)明
配置項(xiàng) | 說(shuō)明 |
防截屏 | 防截屏功能用于數(shù)據(jù)防泄露場(chǎng)景。開(kāi)啟防截屏后,終端用戶無(wú)法使用本地終端設(shè)備上的截圖工具對(duì)云電腦畫(huà)面進(jìn)行截屏或錄屏。 說(shuō)明
|
水印 | 水印功能用于數(shù)據(jù)防泄露場(chǎng)景,能發(fā)揮事前預(yù)防和事后審計(jì)的作用。 明水印明水印是肉眼可見(jiàn)的水印,您可以設(shè)置水印的內(nèi)容和展現(xiàn)樣式。
配置過(guò)程中,您可以在下方的預(yù)覽區(qū)域?qū)崟r(shí)查看一條明水印的展示樣式。 盲水印盲水印是肉眼不可見(jiàn)的水印。無(wú)影云電腦提供的默認(rèn)盲水印算法可根據(jù)不同阿里云賬號(hào)身份信息對(duì)水印信息進(jìn)行加密,防止惡意篡改。盲水印的配置項(xiàng)包括:
|
查詢傳輸日志
關(guān)于如何查詢文件傳輸?shù)拿骷?xì)記錄,請(qǐng)參見(jiàn)查看操作日志。
傳輸安全規(guī)則
快速入門
請(qǐng)查看以下引導(dǎo)式教學(xué),了解無(wú)影云電腦企業(yè)版的磁盤(pán)映射與剪貼板安全策略是什么,以及如何使用。為獲得最佳體驗(yàn),請(qǐng)在新窗口中打開(kāi)查看。
適用范圍
本地磁盤(pán)映射
僅支持Windows云電腦。
僅支持Windows客戶端和macOS客戶端。
本地磁盤(pán)映射適用于文件類數(shù)據(jù)的訪問(wèn),不適用于運(yùn)行程序。即使已開(kāi)啟本地磁盤(pán)映射,也不能在云電腦內(nèi)運(yùn)行本地設(shè)備上安裝的應(yīng)用。如有需要,您也可以在云電腦內(nèi)運(yùn)行本地的免安裝應(yīng)用,但是此舉會(huì)占用帶寬并影響云電腦的使用體驗(yàn),請(qǐng)謹(jǐn)慎操作。
剪切板管控:
對(duì)于文本和圖片的傳輸,沒(méi)有限制條件。
對(duì)于文件的傳輸,要求使用Windows客戶端(版本不低于V7.3)。
精細(xì)化管控要求云電腦鏡像版本不低于2.4,否則將禁止所有拷貝行為。
Web客戶端文件傳輸:即使設(shè)為允許上傳下載,對(duì)HDX協(xié)議的Linux云電腦也不生效。如果需要在此類云電腦中使用文件傳輸功能,只能使用默認(rèn)的系統(tǒng)策略(即All enabled policy)。
配置說(shuō)明
配置項(xiàng) | 說(shuō)明 |
本地磁盤(pán)映射 | |
本地磁盤(pán)映射 | 是指將本地設(shè)備磁盤(pán)映射為云電腦磁盤(pán),從而實(shí)現(xiàn)在云電腦中訪問(wèn)本地磁盤(pán)的數(shù)據(jù)。可選項(xiàng)包括:
|
剪切板管控 | |
管控顆粒度 | 選擇剪貼板權(quán)限設(shè)置的生效范圍。可選項(xiàng)包括:
|
文本拷貝權(quán)限 | 按數(shù)據(jù)類型分別設(shè)置剪貼板權(quán)限。可選項(xiàng)包括:
|
富文本/圖片拷貝權(quán)限 | |
文件/文件夾拷貝權(quán)限 | |
文本拷貝上限 | 設(shè)置拷貝文本的上限。終端用戶拷貝文本時(shí),超出該上限的部分將被裁剪。 |
數(shù)據(jù)安全 | |
Web客戶端文件傳輸 | 設(shè)置云電腦和本地設(shè)備之間是否可以通過(guò)Web客戶端互相傳輸文件。 |
網(wǎng)絡(luò)安全規(guī)則
域名訪問(wèn)管控
域名訪問(wèn)管控規(guī)則用于設(shè)置允許或禁止在云電腦中訪問(wèn)的域名。例如,根據(jù)企業(yè)的規(guī)章制度,員工不可在工作時(shí)間內(nèi)訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站,因此管理員將娛樂(lè)類的網(wǎng)站域名添加到DNS拒絕訪問(wèn)規(guī)則中。
使用場(chǎng)景
默認(rèn)情況下允許在云電腦中訪問(wèn)任何域名。域名訪問(wèn)管控用于設(shè)置允許或禁止在云電腦中訪問(wèn)的域名,同時(shí)支持多層級(jí)、精細(xì)化地管控域名訪問(wèn)權(quán)限。
示例場(chǎng)景:假設(shè)現(xiàn)有下表所示的域名,按照下表配置DNS規(guī)則即可實(shí)現(xiàn)精細(xì)化的權(quán)限管控。
域名 | 示例 | 訪問(wèn)策略 | 說(shuō)明 |
二級(jí)域名 |
| 允許 | 云電腦訪問(wèn) |
三級(jí)域名 |
| 禁止 | 云電腦訪問(wèn) |
| 允許 | 云電腦訪問(wèn) | |
四級(jí)域名 |
| 禁止 | 云電腦訪問(wèn) |
| 允許 | 云電腦訪問(wèn) | |
| 允許 |
使用限制
域名限制
為確保終端用戶能正常使用云電腦,以下預(yù)留的安全域名不受DNS規(guī)則的約束,即云電腦始終允許訪問(wèn)這些域名。若您將這些域名的訪問(wèn)策略設(shè)置為拒絕,則規(guī)則不會(huì)生效。
*.gws.aliyun*.aliyun.com*.alicdn.com*.aliyunpds.com*.aliyuncds.com*.aliyuncs.com
操作系統(tǒng)限制
域名訪問(wèn)管控規(guī)則只對(duì)Windows操作系統(tǒng)的云電腦生效。
規(guī)則數(shù)量限制
最多可設(shè)置300條DNS規(guī)則。
配置說(shuō)明
在域名訪問(wèn)管控(原DNS策略)區(qū)域單擊添加DNS規(guī)則,然后在添加DNS規(guī)則對(duì)話框中完成以下配置,并單擊確定。
配置項(xiàng) | 說(shuō)明 |
域名 | 填寫(xiě)需要設(shè)置DNS規(guī)則的域名。每次只能添加1個(gè)域名,支持使用 |
描述 | 自定義的DNS規(guī)則描述。 |
訪問(wèn)策略 | 可選擇允許或拒絕。 說(shuō)明
|
安全組管控
安全組是一種安全機(jī)制,用于控制云電腦的入流量和出流量,從而提高云電腦的安全性。
使用場(chǎng)景
一條安全組規(guī)則由規(guī)則方向、授權(quán)、優(yōu)先級(jí)、協(xié)議類型、端口范圍等屬性確定。與云電腦建立數(shù)據(jù)通信前,系統(tǒng)將逐條匹配云電腦關(guān)聯(lián)策略中的安全組管控規(guī)則,確認(rèn)是否放行訪問(wèn)請(qǐng)求:
對(duì)于授權(quán)設(shè)置為允許的規(guī)則,如果訪問(wèn)請(qǐng)求匹配規(guī)則,則放行訪問(wèn)請(qǐng)求。
對(duì)于授權(quán)設(shè)置為拒絕的規(guī)則,如果訪問(wèn)請(qǐng)求匹配規(guī)則,則攔截訪問(wèn)請(qǐng)求并直接丟棄數(shù)據(jù)包。
您可以根據(jù)需要添加入方向或者出方向的安全組管控規(guī)則來(lái)進(jìn)一步控制云電腦的出入流量。示例場(chǎng)景的安全組管控規(guī)則配置如下:
示例場(chǎng)景1
默認(rèn)情況下,云電腦允許所有出方向的訪問(wèn)。您可以添加以下出方向規(guī)則,實(shí)現(xiàn)只允許云電腦訪問(wèn)特定的IP地址:
規(guī)則1:拒絕所有出方向訪問(wèn)。示例如下:
規(guī)則方向
授權(quán)
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
出方向
拒絕
2
全部
-1/-1
0.0.0.0/0
規(guī)則2:在規(guī)則1的基礎(chǔ)上允許訪問(wèn)特定IP地址,優(yōu)先級(jí)必須高于規(guī)則1。示例如下:
規(guī)則方向
授權(quán)
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
出方向
允許
1
選擇適用的協(xié)議類型。
設(shè)置合適的端口范圍。
允許訪問(wèn)的IP地址,例如:192.168.1.1/32。
示例場(chǎng)景2
在企業(yè)專網(wǎng)環(huán)境下,您可以添加允許特定IP地址訪問(wèn)的入方向規(guī)則,實(shí)現(xiàn)該IP地址能夠訪問(wèn)云電腦。示例如下:
規(guī)則方向 | 授權(quán) | 優(yōu)先級(jí) | 協(xié)議類型 | 端口范圍 | 授權(quán)對(duì)象 |
入方向 | 允許 | 1 | 選擇適用的協(xié)議類型。 | 設(shè)置合適的端口范圍。 | 允許訪問(wèn)的IP地址,例如:192.168.1.1/32。 |
示例場(chǎng)景3
假設(shè)云電腦A關(guān)聯(lián)了策略a,云電腦B關(guān)聯(lián)了策略b。在企業(yè)專網(wǎng)環(huán)境下,由于云電腦默認(rèn)拒絕所有入方向的訪問(wèn),云電腦A和云電腦B之間無(wú)法互相訪問(wèn)。您可以在策略a和策略b中添加以下入方向規(guī)則,實(shí)現(xiàn)云電腦A和云電腦B的網(wǎng)絡(luò)互通:
在策略a中添加允許云電腦b訪問(wèn)的入方向規(guī)則。示例如下:
規(guī)則方向
授權(quán)
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
入方向
允許
1
選擇適用的協(xié)議類型。
設(shè)置合適的端口范圍。
云電腦B的IP地址。
在策略b中添加允許云電腦a訪問(wèn)的入方向規(guī)則。示例如下:
規(guī)則方向
授權(quán)
優(yōu)先級(jí)
協(xié)議類型
端口范圍
授權(quán)對(duì)象
入方向
允許
1
選擇適用的協(xié)議類型。
設(shè)置合適的端口范圍。
云電腦A的IP地址。
使用限制
規(guī)則數(shù)量限制
最多可設(shè)置200條安全組管控規(guī)則。
入方向規(guī)則的限制
云電腦默認(rèn)允許所有出方向的訪問(wèn),入方向的訪問(wèn)遵循以下原則:
互聯(lián)網(wǎng)環(huán)境下,云電腦不支持所有入方向的訪問(wèn),即使您將安全組規(guī)則的入方向設(shè)置為允許,該安全組入方向規(guī)則仍然不生效。
企業(yè)專網(wǎng)環(huán)境下,云電腦默認(rèn)拒絕所有入方向的訪問(wèn),但是您可以通過(guò)將安全組入方向規(guī)則設(shè)置為允許來(lái)放行符合要求的訪問(wèn)請(qǐng)求。
配置說(shuō)明
在安全組管控區(qū)域單擊添加安全組規(guī)則,然后在添加安全組規(guī)則對(duì)話框中完成以下配置,并單擊確定。
配置項(xiàng) | 說(shuō)明 |
規(guī)則方向 |
|
授權(quán) |
|
優(yōu)先級(jí) | 優(yōu)先級(jí)的取值范圍為1~60,數(shù)值越小、優(yōu)先級(jí)越高。同類型規(guī)則之間由優(yōu)先級(jí)決定最終生效的規(guī)則。 |
協(xié)議類型 | 支持TCP、UDP、ICMP(IPv4)和GRE協(xié)議。 |
端口范圍 | 應(yīng)用或協(xié)議開(kāi)啟的端口。所選的協(xié)議類型為自定義TCP或者自定義UDP時(shí),您可以設(shè)置自定義端口。設(shè)置端口時(shí),支持輸入具體的端口(如: |
授權(quán)對(duì)象 | CIDR格式的IPv4地址網(wǎng)段。 |
描述 | 自定義的規(guī)則描述。 |
后續(xù)步驟
默認(rèn)情況下,云電腦拒絕所有入方向的訪問(wèn),允許所有出方向的訪問(wèn),即默認(rèn)已有一條允許所有訪問(wèn)的出方向規(guī)則。此時(shí),您添加的出方向規(guī)則將與默認(rèn)規(guī)則產(chǎn)生沖突。根據(jù)云電腦所屬的辦公網(wǎng)絡(luò)情況,您可能需要調(diào)整默認(rèn)規(guī)則的優(yōu)先級(jí),以便您添加的規(guī)則能夠生效。
如果您使用的是新版辦公網(wǎng)絡(luò)(ID格式為:地域ID+dir+10位數(shù)字),由于默認(rèn)規(guī)則優(yōu)先級(jí)最低,您添加的規(guī)則將直接生效,無(wú)需您做額外操作。
如果您使用的是由舊版目錄升級(jí)而成的辦公網(wǎng)絡(luò)(ID格式為:地域ID+dir+17位字母和數(shù)字),由于默認(rèn)規(guī)則優(yōu)先級(jí)最高,您需要手動(dòng)調(diào)整默認(rèn)規(guī)則的優(yōu)先級(jí)。操作步驟如下:
找到云電腦所屬的辦公網(wǎng)絡(luò),單擊其辦公網(wǎng)絡(luò)ID。
在辦公網(wǎng)絡(luò)詳情頁(yè)面,單擊安全組ID。
在安全組列表頁(yè)面,單擊安全組ID。
在安全組規(guī)則頁(yè)面,單擊出方向頁(yè)簽,并修改對(duì)應(yīng)規(guī)則的優(yōu)先級(jí)。
建議將優(yōu)先級(jí)設(shè)置為60,這樣做可以確保您以后手動(dòng)添加的出方向規(guī)則均可以直接生效。