第三方接入
本章介绍了如何为第三方(如承包商)提供接入。
传统的企业外网
如今,为第三方提供网络资源访问可能会给组织带来困难。许多组织维护复杂的外网设计,以允许私有线路、VPN 或其他 IP 连接方式进入网络,供合作伙伴使用。这些外网环境可能成本高昂,维护复杂,配置耗时,在尝试引入新合作伙伴时,可能会带来昂贵且缓慢的配置体验。
无代理接入
HPE Aruba Networking SSE 提供一种简便、安全、可扩展的第三方接入方式。无代理接入允许通过网页门户发布应用,只授予特定用户访问权限。就像在远程员工接入章节中讨论的基于代理的接入一样,连接也是通过连接器进行中介的。
采用无代理方式时,请考虑下表中的限制。如果这些限制是设计所需,可以考虑为某些第三方用户使用基于代理的接入。
使用无代理部署,为 Web、RDP、SSH、Git 和数据库(MSSQL 数据库)应用提供无缝的用户体验以及细粒度的可见性和控制,无需在客户端安装任何软件。无客户端部署 支持大多数主流浏览器.
设备姿态检查会验证客户端浏览器是否安装了 SSL 客户端证书。通过查询 SSL 证书实现设备信任检查。采用无客户端方式时,提供的资源访问权限较少,因为对设备的可见性和控制较 Atmos 客户端更少。
| 特性 | 基于代理 | 无代理 |
|---|---|---|
| 任何端口和协议(UDP/TCP)。 | 是 | 否 |
| 基于证书的设备姿态检查。 | 是 | 是 |
| 目标网络范围。 | 是 | 否 |
| 基于主机的客户端应用。 | 是 | 否 |
| 需要设备的特定 IP 地址的应用,例如由服务器发起或点对点的应用,如 VOIP。 | 是 | 否 |
| SaaS 应用 | 是 | 否 |
| SMB 文件共享 | 是 | 否 |
| 需要全面的设备姿态检查和更严格的安全策略。 | 是 | 否 |
| SSH 范围 | 是 | 否 |
建议使用无代理访问,因为它在不在设备中安装任何内容的情况下,为 Web、RDP、SSH、Git 和 MS SQL 数据库应用提供无缝的用户体验和细粒度的可见性/控制。它也便于提供临时访问;例如,可以在几乎无需IT团队干预的情况下,为承包商提供访问权限。此外,由于许多第三方在不使用公司提供的设备的情况下访问资源,Access Cloud 门户提供了一种安全且简便的方式来提供有限的访问权限。
身份考虑
管理第三方用户身份可能是一项耗时的任务。许多客户选择拥有第二个身份源,由第三方管理,并可以集成到策略中。这可以允许管理员一次性编写第三方访问策略,然后将其链接到第三方的身份存储中,允许第三方自行管理其账户。
IoT/OT 考虑
除了承包商和第三方合作伙伴之外,Agentless 访问的另一个常见用途是管理 IoT / OT 环境。通常,这些环境由顾问、供应商或其他承包商管理。对于许多这些环境,传统的 VPN 访问是不可能的,因为安全态势禁止入站连接,尤其是因为这些系统通常难以及时接收安全补丁,并被认为具有高风险。
HPE Aruba Networking SSE 提供了快速授权用户管理这些系统的能力,无需提供入站连接,只需在该区域部署一个连接器并启用用户访问,按需设置细粒度策略。