云山雾隐 端隐SDP

端隐SDP

更新时间:2021-08-12 11:26:57

简介

端隐安全控制中心主要分为用户管理、身份认证、访问控制、设备管理、应用管理、安全组、日志、设置八大模块。您可以按照下列步骤完成初次配置。

注册管理员账号

首次进入需要输入姓名、邮箱和密码注册管理员账号,完成后正常访问安全控制中心。

认证设备

前往设置>安全设置>设备认证,打开设备认证的开关,设置配对密钥的有效时间,将生成的配对密钥发给客户端用户;或者前往设备管理>用户设备>待认证设备,通过/驳回客户端用户提交的认证设备申请。

创建用户

创建新用户

前往用户管理>用户列表,点击【创建用户】,输入姓名、邮箱、手机号,选择所属组织,点击【提交】

快速创建用户

前往用户管理>用户列表>导入>快速创建,可同时创建多个用户,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

文件导入导出

前往用户管理>用户列表>导入>文件导入,下载模版——填写信息——选择组织——上传文件,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

身份源同步用户

配置身份源后后,前往用户管理>用户列表>导入>身份源导入,点击身份源名称或【详情】展开第三方身份源,点击导入展示未同步的用户,点击【开始导入】,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

创建组织

1. 前往用户管理>组织架构,点击【创建组织】,输入组织名称和父级组织,点击【提交】

2. 点击【加入用户】,为新建的组织添加成员。

3. 点击【关联服务】,该组织所有用户将有权限访问所选服务。

4. 点击【关联策略】,所选登录策略将作用于该组织所有用户。

创建用户组

1. 前往用户管理>用户组,点击【创建用户组】,输入用户组和用户组描述,点击【提交】

2. 点击【加入用户】,为新建的用户组添加成员。

3. 点击【加入对象】,可选择用户或组织加入该用户组。

4. 点击【关联服务】,该用户组所有用户将有权限访问所选服务。

5. 点击【关联策略】,所选登录策略将作用于该用户组所有用户。

配置企业身份源

1. 前往身份认证>企业身份源,点击【新建配置】,完成基本配置,数据同步配置和属性映射,点击【提交】

2. 配置完成后,打开扫码登录客户端或控制中心的开关,用户将可以通过企业微信扫码登录。

配置短信登录

前往设置>消息服务>短信服务,按照阿里云短信配置说明找到并输入AccessKey ID、AccessKey Secrect、短信签名和短信模版CODE,点击【保存】

新建登录规则和服务访问规则

1. 前往访问控制>登录策略,点击【创建策略】,输入策略名称,选择自动策略或条件策略,输入优先级,点击【提交】

2. 前往访问控制>访问策略,点击【创建策略】,输入策略名称,选择服务,选择自动策略或条件策略,输入优先级,点击【提交】

添加网关

1. 前往设备管理>资源池>网关设备,点击【添加网关】,选择Windows、Linux、macOS设备的对应教程,确认设备符合要求,运行命令行之后等待连接。

2. 回到资源池页面点击【刷新】,为新添加的网关设备修改名称,并将其与网关集群关联,为服务提供资源。

添加应用服务器

1. 添加服务之后,前往设备管理>资源池>应用服务器,会看到对应的应用服务器,它在系统中的作用是管理服务的防火墙进程。

2. 在某应用服务器上点击部署防火墙,进入应用服务器详情>防火墙,点击【查看部署教程】,在目标应用服务器上运行命令行完成部署,点击【完成部署并检测】

创建集群

1. 前往设备管理>网关集群,点击【创建集群】,输入集群名称和集群描述,点击【提交】

2. 为该网关集群关联已有设备或添加新设备。

添加SDP应用

1. 前往应用管理>添加SDP应用,点击【添加应用】,输入名称和描述,然后配置服务。配置服务时选择协议,输入服务IP和端口,输入用户访问域名,选择网关,点击【提交】

2. 前往应用管理>应用列表,点击【添加服务】为该应用添加一个或多个服务。

3. 前往应用管理>应用列表,点击【配置】,查看该应用及其服务的信息。

4. 点击【授权访问】,进入服务详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该服务。

添加SSO应用

前往应用管理>添加SSO应用,根据所要添加应用的实际情况选择认证协议、SDK或应用模版。

添加快捷访问

前往应用管理>添加快捷访问,点击【添加应用】,选择Web应用或客户端应用。

添加密码管理

前往应用管理>密码管理,点击添加应用,输入服务名称、服务URL、账号、密码、验证码密钥和描述,选择权限分发方式(账号密码或免密共享)。

端隐NAC

更新时间:2021-08-12 11:26:57

入网流程

端隐终端安全准入主要包含如下环节:

终端入网注册
终端身份认证
安全策略验证
安全域访问控制

1. 终端入网注册:终端设备需在准入客户端提交设备注册信息至准入控制台,经管理员审批或自主完成注册后,可进入下一环节。

2. 终端身份认证:终端身份验证分为用户身份验证和设备身份验证,可按需配置。

用户身份验证:验证当前使用该设备的终端用户身份是否合法,若合法即可进入下一环节;

设备身份验证:验证该设备当前接入交换机端口是否与已绑定端口匹配,若匹配即可进入下一环节。

3. 安全策略验证:验证是否通过系统内配置的安全策略,若通过即可进入下一环节。

4. 安全域访问控制:以上验证环节全部通过后,终端设备即可访问已被授权的安全域。

登录准入控制台

系统完成部署后,会生成首个超级管理员的用户名和密码。登录控制中心后,可前往设置>管理员列表,创建更多管理员。

绑定身份验证器

下载端隐身份验证器,类型选择端隐身份验证器,将当前NAC账号录入端隐身份验证器,然后在控制中心输入6位数字验证码。

重置密码

成功绑定端隐身份验证器后,请按照要求修改您的初始密码。

添加设备位置

前往设备管理>设备位置,创建设备位置信息,方便对网络设备及终端设备进行定位,还将用于终端设备在准入客户端提交注册申请时设备位置信息的选择。

添加组织架构

前往用户管理>组织架构,创建组织架构信息,方便对网络设备及终端设备进行责任管理,还将用于终端设备在准入客户端提交注册申请时组织架构信息的选择。

创建安全域

前往网络管理>安全域列表,点击【创建安全域】,创建安全域以细分网络访问权限。

1. 安全域为一组IP地址的集合,可基于业务逻辑需求对您的网络进行细分,如监控网、财务网等。此处创建的安全域将用于授权终端设备的可访问网络,终端设备将无法访问未被授权的安全域(安全域之间默认隔离)。

2. 输入安全域名称、选择安全等级、输入IP地址。

3. 创建成功后,可前往网络管理>安全域列表>安全域详情页面,将该安全域授权于全局设备或指定设备。

创建入网角色

前往安全规范>入网角色,点击【创建角色】,创建角色并关联终端设备,可用于对终端设备进行资产自动或手动分组:

1. 若选择类型为自动关联:您可以自定义终端设备自动关联该角色的规则。

2. 若选择类型为手动关联:创建完成后,管理员可前往安全规范>入网角色>入网角色详情页面,关联指定终端设备。

创建安全策略

前往安全规范>安全策略,您可以选择手动配置策略,或将AI策略关联于终端设备。两类策略可同时应用,也可基于实际需求任选一类进行配置。

1. 手动配置策略

选择关联对象:选择该安全策略所应用的终端设备。

若选择全局设备:该策略将对所有触网终端设备生效。

若选择指定设备:可选择为入网角色或某一终端设备。

定义违规事件:可通过对检测项的组合定义违规事件。若检测项之间以“并且”关联,则终端设备需同时触发所有“并且”关联的检测项时,才触发对应处置操作。

选择违规事件的威胁等级:高危、中危、低危

设置处置操作:设置当定义违规事件触发时,系统将自动下发何种处置操作。处置等级由低到高分为告警、限制,不同处置操作类型可对设备同时下发:

告警

告警记录:对事件生成违规记录,可前往风险告警>告警中心>发生违规查看

邮件通知:通过邮件将终端设备的违规行为通知至告警接收人,可前往风险告警>告警设置>邮件通知接收设置接收邮箱。

限制

隔离设备:终端设备将被暂时隔离,恢复正常后将自动重新入网。

禁用设备:终端设备将被永久隔离,如需再次入网,需管理员手动激活。

2. AI策略

系统将基于模型管理,由AI自动生成基于设备可信分数的控制策略,自动化执行风险处置。

开启准入控制

前往设置>准入设置,以限制终端设备的网络访问。

1. 系统完成部署后,准入控制默认为关闭状态。

2. 开启准入控制:所有未在系统中注册过的设备将无法正常访问网络。

3. 设置是否需要用户认证:

若选择为是:终端设备入网前,需在客户端进行用户身份认证。在准入控制开启的情况下,未通过用户认证的设备;

若选择为否:终端设备入网时,无需在客户端进行用户身份认证。

4. 设置新入网设备是否需审批:

若选择为是:终端设备需在客户端提交注册申请。在准入控制开启的情况下,未通过审批的终端设备,无法正常访问网络。

若选择为否:终端设备可在客户端自主完成注册。在准入控制开启的情况下,未完成自主注册的设备,无法正常访问网络。

审批入网申请

前往设备管理>终端设备>未注册,对设备的入网申请进行通过或驳回。

1. 点击【通过】:绑定该终端设备当前所接入的交换机端口,为其分配IP地址、入网角色,查看并编辑注册信息。该终端设备将被激活。在激活状态下,设备的网络访问权限将取决于其是否通过安全策略。

2. 点击【驳回】:该终端设备将被禁用,无法访问网络。

下载客户端

终端设备触网后,将自动重定向至该网络准入门户。点击【下载客户端】,在电脑上完成准入客户端安装。

用户登录

安装完成后,打开客户端。(若控制台未开启“用户认证”,跳过此步骤)

提交本机入网注册

1. 若控制台开启“入网审批”:

填写设备责任人、联系电话、所属组织、所处位置

点击【提交申请】,提交当前设备的入网申请至准入控制台后,待管理员审批

2. 若控制台未开启“入网审批”:

填写设备责任人、联系电话、所属组织、所处位置

点击【完成注册】,当前设备即在准入系统中成功注册

本机成功入网

设备完成入网注册并通过安全策略后,即可正常访问网络。

端隐ZBH

更新时间:2021-08-12 11:26:57

简介

端隐ZBH主要分为用户管理、身份认证、设备管理、访问控制、高告警管理日志、设置八大模块。初次配置的步骤与端隐SDP一致,主机列表相关操作如下。

添加主机

1. 前往设备管理>主机列表,点击【添加主机组】,输入主机组名称,选择主机协议,输入主机IP和端口,选择网关/网关集群,点击【提交】

2. 前往设备管理>主机列表,点击【添加主机】为该主机组添加一个或多个主机。

3. 前往设备管理>主机列表,点击主机卡片的【配置】,查看该主机的信息。

4. 在主机卡片上点击【授权访问】,进入主机详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该主机的访问权限。

常见问题

如何在端隐SDP找到您的工作区Token?

所有浏览器和客户端用户都需要一个工作区Token才能登录,目的是区分您所在的企业或单位。

管理员在创建用户时可获得该Token,可复制或以邮件的形式发送给用户。管理员前往端隐安全控制中心>设置>企业设置>工作区Token,复制工作区Token并发送给用户。