钉钉企业应用网关了解一下

记得很多年前,那个时候的3G还是稀罕物,大行其道的是EDGE这样的2.5G技术,一位能源行业的领导问我:我们准备上无线网络,你说这个无线网是放在内网好呢还是放在外网好呢?

我当时的回答是放在内网,因为外网没有必要我们自己上无线网,运营商的移动网络的发展肯定比我们自己的无线网络要好得多,到时我们就算弄个外网无线网也不会有太多人用。

我不知那位领导是否采纳了我的建议,可以明确的是后来的移动互联网的高速发展以及对我们生活的深刻改变,现在移动互联网又开始逐渐渗透办公场景,这种情况下不知道我们的“内网”还好用么?

2010年Forrester的分析师推出了“零信任模型”,提出在网络边界内外的任何东西,在没有验证以前都不予信任,忘了边界,将注意力集中在数据包本身上。2014年,Google又发论文分享了自己从2011年以来拆除企业“内网”的实施情况,最终的目标是让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作,为此提出了三项原则:

  • 发起连接时所在的网络不能决定你可以访问的服务;
  • 服务访问权限的授予以我们对你和你的设备的了解为基础;
  • 对服务的访问必须全部通过身份验证, 获得授权并经过加密。

针对“零信任”,阿里云在和钉钉融合之后也提出了自己的“云+端”的解决方案,就是利用钉钉作为一个可信的端,再通过SaaS化的企业应用网关作为企业统一的应用入口来使用,通过合理的设置防火墙规则,我们可以只允许特定的人仅能通过钉钉来访问企业应用,至于钉钉的安全,则可以通过专属钉钉的安全策略和高级安全特性来保证,其中就包括对可信设备进行管理的“可信设备平台”功能。

钉钉企业应用网关了解一下

(以上截图来自钉钉管理后台)

可信设备平台是专属钉钉在准入安全上的端管控能力。可信设备是某些操作的前提,例如只有登记在案的可信设备才可以登录“专属钉钉”。公司可以因需管控员工使用的某台移动或PC设备(如私人手机号、专属账号)登录钉钉,并开启相关的生效策略。

     —— 钉钉管理后台对可信设备平台的介绍

除了可信设备平台,钉钉的安全策略也是专属钉钉的特性之一,从这个角度来看要使用基于钉钉的零信任架构,还是需要专属钉钉作为这个“可信的端”才是明智的选择。

钉钉企业应用网关的架构如下:

钉钉企业应用网关了解一下

可以看到企业应用网关其实是一个轻量化的SaaS服务,就是通过云的能力对用户的应用访问请求进行转发,但在转发以前会对用户的身份就行认证,只允许特定的用户访问特定的应用。

另外,为了实现内部应用的外部安全访问,可以在特定位置部署钉钉企业应用网关的连接器,连接器只需要能够以客户端的形式访问互联网即可建立一个安全的TLS加密通道,合法授权用户就能通过这个通道来访问内部应用,运行内部应用的相关服务器可以在IDC和云上的任何位置,只要允许连接器所在的IP地址访问即可。

目前,对于企业应用网关有需求的客户可以申请POC测试,测试权限开通后可以在钉钉的管理后台的工作台页面看到企业应用网关的配置入口。
钉钉企业应用网关了解一下

点击进入后可见配置页面,首先需要创建一个应用。

钉钉企业应用网关了解一下

该页面需要提供如下信息:

  • 应用名称、应用的名称不能超过15个字。
  • 应用类型、可选择公网应用或内网应用,两者的区别是公网应用无需部署连接器。
  • 应用域名、包括主域名和其他域名,主域名是应用本身的域名,当应用里还引用其他URL时需要将其添加到其他域名中,应用域名可以使用https/http协议。
  • 连接器、假如是内网应用,我们需要根据应用的部署位置选择一个连接器。

在完成应用的设置后,我们可以得到一个“网关统一访问域名”。

钉钉企业应用网关了解一下

我们在用这个域名建立一个钉钉H5 微应用:

钉钉企业应用网关了解一下

将你得到的网关统一访问域名填入应用的首页地址和PC端首页地址,并根据实际情况填写服务出口IP,不要使用这里的1.1.1.1。

钉钉企业应用网关了解一下

创建应用后需要将该H5应用对外发布,需要注意的是这里的发布范围只是决定了应用的可见性,只有在企业应用网关中对特定的人用开通权限后才能通过企业应用网关访问该应用。

钉钉企业应用网关了解一下

在企业应用网关中的策略设置页面如下:

钉钉企业应用网关了解一下

具体的设置包括:

  • 使用该策略的部门或者员工、可以按照部门或者单独人员来选择。
  • 使用该策略的应用、哪些应用要受到该策略的控制,可以设置多个应用匹配同一个策略。
  • 生效条件、包括日期和时间的属性、可以设置一天中哪个时段允许访问,可以设置网络地址的条件,当客户端的网络地址在什么范围匹配,还可以设置设备的属性,包括IOS或者安卓等设备。
  • 安全策略的动作、在匹配该条件后允许或者拒绝访问。

假如需要选择链接器来访问应用,可以事先在合适的位置部署连接器,连接器是一个java应用,因此只需要JDK即可运行,我么可以在企业应用网关的连接器下载页面下载。

钉钉企业应用网关了解一下

点击链接后,有详细的安装部署操作步骤,根据提示进行操作即可。

钉钉企业应用网关了解一下

连接器安装后在控制台能够看到该连接器的状态,需要先启用该连接器方可使用。
钉钉企业应用网关了解一下

为了实现连接器的高可用,可以将多个连接器绑定成连接器组:

钉钉企业应用网关了解一下

假如我们开通一台云服务器用来运行应用服务,并且就在该服务器上部署连接器,那么我们甚至可以将该云服务器的所有主动进入流量都屏蔽掉,这样就只能通过钉钉和企业应用网关的连接器来访问该应用,即便该服务器完全在互联网上运行,我们也能够实现“零信任”访问。

上一篇:钉钉专属存储的几种部署架构


下一篇:POLARDB MySQL 8.0 正式上线商用