平台构建
以下主题涉及用于多种远程接入用例的解决方案组件的部署。
身份设计
用户身份是包含用于识别个人的详细信息的元素,这些信息基于某些属性,例如电子邮件账户或电话号码。身份由身份提供者(IdPs)进行验证,HPE Aruba Networking SSE 根据验证结果授权对应用的访问。
使用以下方法之一将 HPE Aruba Networking SSE 与身份提供者(IdP)集成:
- 安全断言标记语言(SAML)
- 跨域身份管理系统(SCIM)。
要将用户或组添加到策略规则中,请在管理控制台的身份管理界面中将用户作为身份对象添加到系统中。
选择身份提供者,并确保支持集成。同时确定从身份提供者拉取的组以进行策略执行。HPE Aruba Networking SSE 包含易于使用的集成,支持以下常见的身份提供者:
Microsoft Entra ID
Okta
PingFederate
Google Workspace
JumpCloud。
支持其他 SAML 提供者。
连接器设计
连接器在客户网络与 HPE Aruba Networking SSE 云之间提供安全且经过认证的接口。连接器部署在可以同时访问受保护应用程序和 Atmos 云的网络段上。
连接器应位于具有与应用程序连接的网络中。HPE Aruba 建议将连接器部署在受信任的网络内部,而非在 DMZ 中。由于连接器不接受入站连接,因此可以将其视为受信任的资源。
应用程序与连接器区域相关联。在生产环境中,为每个连接器区域至少关联一个连接器非常重要。这对于确保高可用性至关重要:如果运行中的连接器所在的服务器或虚拟机发生故障,应用程序仍然可以由至少一个其他运行中的连接器保持安全和可访问。
在生产部署中,建议每个连接器区域至少部署两个连接器,以实现高可用性和负载均衡。
HPE Aruba Networking SSE 可以部署到云环境中,提供 Amazon Marketplace 镜像(AMI),也可以通过 OVA 部署,或在客户提供的 Linux 服务器上部署。
定义应用程序
应用程序是由域名、本地域名或 IP 地址指定的资源,定义在一组标准端口上,并通过 HPE Aruba Networking SSE 安全门户进行管理和访问。
本质上,应用程序是在内部网络中通过 HPE Aruba Networking SSE 平台访问的服务。
在安装一个或多个可以访问应用程序或资源所在地址的连接器后,可以添加特定的应用程序。每个连接器可以支持多个应用程序。
HPE Aruba Networking SSE 平台支持以下应用程序。某些应用程序还支持无客户端访问,具体如注。
- Active Directory Application
- Database Server - Clientless
- Git Server - Clientless
- Network Range
- Office 365 with Conditional Access
- SSH Server - Clientless
- SSH Range
- Remote Desktop Server - Clientless
- Remote Desktop Pool - Clientless
- Salesforce
- Web Application - Clientless
考虑需要接入的应用,并确保它们使用所需的方法(代理或无代理)得到支持。HPE Aruba 建议在可能的情况下,按 DNS 名称逐个定义每个应用。当这不可行时,使用 DNS 通配符的网络范围方法。
定义策略
策略是一组规则,基于一系列分配的参数,为应用提供特定的、细粒度的访问权限。例如,访问权限可以基于请求者的目标应用组来定义。
Atmos 会持续执行策略。当用户的会话不再符合策略规则时,会立即终止。有关更多细节,请参阅 Continuous Policy Enforcement。
在开始部署之前,考虑以业务术语定义并获得对策略的安全认同。
策略定义了以下内容:
- 谁可以访问应用
- 用户可以访问哪些应用
- 当用户可以访问应用
- 用户可以从哪些位置访问应用(地理位置、IP 地址范围)
- 如果允许用户根据设备状态访问应用;即,设备已打补丁或已启用防火墙。
- 用户在连接期间可以拥有的访问级别;即是否允许用户执行某些操作以及需要重新认证的频率。
- 是否明确阻止用户访问一个或多个应用
- 用户如何访问应用(代理或无代理)。