零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","配置步骤")}}

配置步骤

更新时间:2023-06-15

为实现章节7.4.3.开头所述的效果,现按照下述流程开始进行配置。

步骤1aTrust获取定制包,并完成定制包的升级操作。登录零信任aTrust控制台,进入[系统管理/特性中心]处开启“一体化终端”和“桌面云应用”这两个特性。

步骤2、在VDC控制台[系统设置/接入选项/第三方设备/深信服零信任设备]处点击<联动码设置>,如下图所示,填写好设备名称和设备地址(VDC本机IP及端口),然后点击<生成联动码>并复制好联动码。联动码存在24小时的有效期,仅能使用一次。

VDC设备上生成联动码时,填写“设备地址”有以下几个方面需要注意:

1、aTrust设备可以通过联动码读取出VDC设备的通讯地址和端口(实际是VDI用户的认证接入地址和端口)。

2、VDI的用户接入地址使用443端口时,在联动码设置处填写的“设备地址”可以不带端口号。

3、如果VDI用户的接入地址使用的是非443端口,例如当用户接入地址的URLhttps://1.1.1.1:4431时,则“设备地址”处应填1.1.1.1:4431

4、如果aTrust设备使用公网IP为源的方式访问VDC的时(即VDCaTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),那么在VDC上生成联动码时,“设备地址”处应填写VDC设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431

5、一个联动码仅能使用一次。

然后将联动码复制保存好。

步骤3、在aTrust控制台[安全中心/深信服联动设备]处点击<新增联动设备>,输入步骤2中获取到的联动码。

输入联动码后,点击<读取设备联动信息>,确认读取到的信息无误后,填写本机联动IPaTrust控制中心或综合网关设备的用户接入地址及端口),然后点击<保存>

aTrust设备的“本机联动IP”填写规范和步骤2中所述的注意事项的第234点一致。

1.如果aTrust用户的接入地址使用的是非443端口,例如当用户接入地址的URLhttps://1.1.1.1:4431时,则“设备地址”处应填1.1.1.1:4431

2.如果aTrust设备使用公网IP为源的方式访问VDC的时(即VDCaTrust设备不在同一个局域网内,双方均通过对方的出口公网IP及端口互访),那么在aTrust上生成联动码时,“设备地址”处应填写aTrust设备对应的公网IP和端口(如果端口是443则不需要带端口),例如:100.100.100.100:4431

联动完成后,可以点击<连通性测试>,确保连通性正常。

步骤4、在aTrust控制台[业务管理/应用管理/应用列表]点击<新增>

访问模式选择桌面云,并填写[应用属性]中的名称、分类、所述区域节点等信息(具体配置方法可参考章节5.3.1的内容)。

在应用的[基础配置]中,输入VDC的用户登录地址和端口、VMP设备地址及端口(本案例中,VDC设备做了对VMP的强制代理,因此无需填写VMP设备的IP和端口),并将VDC的用户登录URL填写到[VDC访问入口]处。

在应用的[单点登录]中,复制其中的APP IDAPP Secret。在确保应用的其它配置都正常的情况下,最后点击<保存>完成配置。

步骤5、登录VDC控制台界面,在[VDI设置/认证设置/单点登录认证/深信服零信任认证]处点击的<设置>,填入aTrust的控制中心的设备IP地址及用户认证端口(互联网互访的场景下,填写公网IP及端口)、步骤4中获取到的APP IDAPP Serect,然后点击<测试连接>,验证连接正常后点击<保存>

步骤6、在aTrust控制中心和VDC上创建同名的用户(也可从同一LDAP导入用户),确保用户名一致即可,密码可以不一致。然后VDC需要给该账号分配好虚拟机资源。而aTrust设备需要把步骤4中创建的aTrust应用授权给该账号。

1)VDC 本地用户场景:aTrust 上需创建与 VDC 本地用户同名的本地账户,密码可不保持一致;

2)域用户场景:aTrust VDC 均需要保证对接同一套域控,域用户不同步到 VDC 本地时,可组映射与角色映射实现对用户资源的分配管理,域用户同步到本地时, 只能基于用户与用户组的角色授权实现资源分配关联,组映射与角色映射失效;

3)其余外部用户(如 radius 用户):aTrust VDC 均需要将用户导入到本地,保证 VDC 本地有与 aTrust 认证用户相同的账号或者组织结构,才可正常联动登录并获取 VDI 资源信息。

步骤7、在[业务管理/策略管理/用户策略]处,给测试用户新增一条用户策略,在其中开启桌面云联动。

至此服务端的配置完成。