如何在阿里云上创建安全的远程工作空间

这篇详尽的文章介绍了如何通过四个步骤在阿里云上创建安全的远程工作空间，其他问题联系沟通87cloud

背景资料

冠状病毒的爆发迫使全球工作文化发生了前所未有的变化，大多数人在家工作。从公司的角度来看，构建远程工作空间成为一种新趋势。然而，安全性、员工满意度和成本效益成为主要挑战：

安全性 - 公司如何确保网络通信安全而不会泄露数据？（例如，屏幕捕获，通过USB驱动器传输公司文档等）
员工满意度 - 公司如何为平面设计师和工程师提供高性能的远程连接，以远程处理设计或视频场景？
成本效益 - 90%的员工在非办公时间内不会远程访问他们的工作空间，公司仍然需要为这些计算资源付费，即使他们被浪费了，公司需要找到降低成本的方法。例如，在非办公时间关闭工作区，并动态纵向扩展这些临时项目的工作区资源。

阿里云工作空间解决方案

阿里云弹性桌面服务（EDS） 是一款支持快速便捷的桌面环境创建和部署以及集中管理和运维的产品。该公司可以快速创建安全、高性能且经济高效的云桌面，而无需预先进行大量硬件投资。EDS广泛应用于金融、设计、视频、教育等领域，对安全数据管控和高性能计算有很高的要求。

EDS 的一些优势：

安全可靠 - 数据存储在云中，可降低数据泄露的风险。数据访问协议安全加密，存储可靠性为99.9999999%（9个9）。

按需部署 - 您可以按需部署云桌面，并随时随地从任何 EDS 客户端访问云桌面。

访问安全性 - EDS 使用 Active Directory （AD）进行安全的帐户管理。这允许访问企业的身份验证系统。

支持 GPU - EDS 支持高性能显示协议，如图像设计和建模协议，以满足视频编辑要求。

结合阿里云 VPN

和
身份即服务（IDaaS），这是一项基于云的身份和访问管理服务（IAM），涵盖全面的功能，支持用户门户、用户目录、灵活的身份验证、单点登录、集中授权和审计报告，为员工提供安全的远程工作空间和极致的性能，让他们随时随地享受工作。

安全远程工作空间的最佳实践

以下部分介绍了如何逐步构建基于阿里云最佳实践的安全远程工作空间：

配置
阿里云弹性桌面服务（EDS）安全办公网络
启用 EDS 活动目录（AD）集成并创建云桌面
在工作区上应用安全策略和安全保护
使用 2FA 构建 VPN 以使用阿里云身份即服务
（iDaaS）

架构图

下图说明了构建安全工作区的体系结构：

先决条件

在开始之前，请确保满足以下条件：

您有一个阿里云账号。如果没有，请联系87cloud
如果您有现有的Microsoft Active Directory Server，它可以位于内部或云端。确保服务器网络连接可以通过 VPN 或租用线路连接到阿里云。在本教程中，我们将使用下面的 ECS 实例
作为内部 IP 地址为 172.30.64.58 的 Active Directory 服务器，并使用阿里云企业网络
（CEN）连接 EDS 和 Active Directory 服务器。

步骤一：配置阿里云弹性桌面服务（EDS）安全办公网络

由于弹性桌面服务（EDS）需要通过云企业网络（CEN）与Active Directory服务器进行通信，请按照以下步骤创建CEN实例：

1. 登录云服务器控制台

2. 在实例页面，单击创建云服务器：

3. 单击创建中转路由器，选择您的 Active Directory 所在的区域（例如香港区域），然后填写中转路由器的名称：

4. 创建中转路由器后，您需要通过单击创建连接将 Active Directory 所在的 VPC 添加到中转路由器中：

5. 在网络类型中，选择专有网络
并填写专有网络所在位置的相应信息：

步骤 2：启用 EDS 活动目录（AD）集成并应用安全策略

在 EDS 中启用活动目录（AD）集成之前，需要创建一个工作区。工作区是云桌面的环境配置的集合，包括安全办公网络、用户帐户系统和 Internet 访问等设置。云桌面部署在工作区中。本主题介绍工作区的术语和功能。请按照以下步骤在 EDS 中创建工作区：

1. 登录EDS 控制台

2. 在左侧导航栏，单击概述。然后，在"概述"页上，单击"创建工作区"：

3. 在创建工作空间步骤中，选择一个区域，输入工作空间名称，然后指定 IPv4 CIDR 块。若要将工作区连接到 Active Directory 服务器，需要选择上面创建的"加入云企业网络"。然后，单击"下一步：配置帐户系统"。

4. 选择企业 AD 帐号，在"DNS 地址"字段中输入 Active Directory 服务器 IP 地址，然后添加域名。（在这个例子中，我们使用了"alibabacloud.local"）：

5. 输入域管理员的用户名和密码，然后单击下一步：访问公用网络设置（如果需要为这些 EDS 资源启用 Internet 访问）。（注意：如果不需要访问 Internet，可以单击"立即创建工作区"，无需公网服务。

6. 选择打开桌面的公网访问并指定峰值带宽值。单击立即创建工作区：

7. 创建工作区后，应在左侧的"安全办公室网络"部分验证结果。您可以看到活动目录（AD）连接器处于"正在注册状态"。连接地址为 192.168.255.251。

8. 在配置 Active Directory 和 EDS 之间的 AD 集成之前，请确保 EDS VPC 可以使用下面配置的防火墙策略访问 Active Directory 服务：

9. 您必须为企业 AD 系统的域的 DNS 地址启用区域传输：

登录到企业 AD 域的 DNS 服务器
在"DNS 管理器"对话框中，单击"正向查找区域"
右键单击某个区域，然后选择"属性"。在"属性"对话框的"区域传输"选项卡上，选择"仅到下列服务器"，然后输入 192.168.255.251。（注意：重复以下步骤以配置两个区域（msdcs 区域和域区域）的属性）

10. 必须为企业 AD 系统的域的 DNS 地址配置条件转发器。在"DNS 管理器"对话框中，右键单击"条件转发器"，然后选择"新建条件转发器"。在主服务器的 DNS 域和 IP 地址 192.168.255.251 中输入 ecd.acs，然后单击确定：

11. 完成上述配置后，Active Directory 连接器现在处于"已注册"状态：

12. 您可以通过导航到"云桌面"下的"桌面"并单击"创建云桌面"来创建桌面：

13. 在弹性桌面服务创建桌面页面，配置云桌面的参数。（在此示例中，在"计费方式"下，选择"订阅"，输入桌面名称，然后选择之前创建的工作区和要购买的云桌面数量）：

14. 为云桌面和持续时间选择桌面模板，然后单击确认订单：

15. 您创建的桌面现已启动并正在运行：

16. 在"云桌面"页面上，找到要分配给普通用户的云桌面，单击"操作"列中的"更多"图标，然后单击"分配用户"：

17. 在"分配用户"面板中，选择 Active Directory 中的用户，然后单击"确定"。

步骤 3：应用安全策略和安全保护

策略是一组安全规则，用于在普通用户使用云桌面时控制安全配置。策略包含基本策略（USB 重定向和水印）以及一个或多个网络控制规则（入站和出站流量规则）：

1. 在左侧导航栏，单击策略管理，然后创建策略：

2. 以下是构建安全远程工作区的最佳实践设置。您还可以根据公司策略和潜在顾客修改设置：

USB 重定向 – 禁用
水印 – 启用
本地磁盘映射 – 禁用
剪贴板 - 禁用

3. 成功创建安全策略后，在"云桌面"页面上，找到要更改其策略的云桌面，单击"操作"列中的"更多"图标，然后单击"更改策略"。

4. 在更改策略面板中，选择一个策略，然后单击修改：

安全防护功能为特定区域内的所有云桌面提供防病毒和漏洞检测和修复，以确保安全性。安全防护功能基于安全中心提供以下功能：

防病毒 - 检测并删除常见的特洛伊木马病毒、勒索软件、挖矿病毒和 DDoS 特洛伊木马
漏洞检测和修复 - 检测并修复常见漏洞，包括 Windows 系统漏洞和 Linux 软件漏洞

1. 在左侧导航栏，选择安全中心下的安全防护，然后单击立即试用：

2. 启用安全防护后，系统每天扫描您的云桌面一次。您还可以根据需要手动触发扫描，方法是单击"立即扫描"并选择要对其执行手动扫描的工作空间。

3. 完成安全扫描后，扫描结果的统计信息按严重性显示，如下图所示：

4. 在左侧导航栏，选择安全中心下的漏洞修复。您可以通过从"紧急"级别中选择所需的选项来筛选漏洞。找到要修复的漏洞，然后单击操作列中的修复：

5. 您可以选择自动创建快照并修复或直接修复而无需创建快照。然后，单击"立即修复"。

步骤 4：使用 2FA 构建 VPN 以使用阿里云身份即服务

为了允许员工通过安全连接远程访问云桌面，客户可以使用阿里云 VPN 服务并与阿里云身份即服务（iDaaS）集成，通过 Active Directory 提供 2FA 身份验证。

1. 登录阿里云 iDaaS 控制台，单击购买 iDaaS：

2. 单击"立即购买"以启用 iDaaS：

3. iDaaS 实例准备就绪后，您可以在 iDaaS 控制台单击管理：

4. 导航到"身份验证"下的"身份验证源"，找到 LDAP，然后单击"添加身份验证源"：

5. 填写 LDAP 信息：

将 LDAP URL 设置为 AD 域的公共 IP 地址和端口号
将 LDAP 基本、LDAP 帐户和 LDAP 帐户密码设置为 AD 的值
将筛选条件设置为（sAMAccountName=$username$）
选择更新 iDaaS 密码以更新 iDaaS 中的 LDAP 密码

6. 确保 LDAP 状态已打开：

7. 导航到"安全设置"下的"云产品 AD 身份验证"，选择"AD 身份验证源"并切换到"启用"。然后，单击保存：

8. 导航到"用户"下的"组织和组"，单击右侧的"配置 LDAP"和"创建"以配置 LDAP 设置：

9. 在"服务器连接"表上填写 LDAP 服务器信息：

将服务器地址和端口号设置为 AD 域的公共 IP 地址和端口号
将 LDAP 基本 DN、管理员 DN 和密码设置为 AD 的值
选择 Windows AD
单击测试连接以验证 iDaaS 和 AD 之间的连接

10. 切换到字段匹配规则，按照说明，填写必要的信息，然后单击保存。下面提供了配置示例：

11. 导航到"导入"下的"帐户"。然后，单击导入和确定以将帐户导入 iDaaS：

12. 账户列表已准备好导入 iDaaS;选择确认导入。现在，您已经完成了所有iDaaS配置。您已准备好在 2FA 授权下与 VPN 网关集成。

13. 登录阿里云 VPN 网关控制台
，单击创建 VPN 网关：

14. 选择您希望 VPN 网关创建的区域、专有网络和交换机。确保已选择"启用 SSL-VPN"，然后单击"立即购买"：

15. 导航到 SSL 服务器，然后单击创建 SSL 服务器：

16. 填写 SSL 服务器名称、VPN 网关、本地网络和客户端子网的值。然后，启用高级配置。以下是本地网络的说明：

100.64.0.0/10 – 云桌面客户端应使用此子网连接 EDS 网关。
192.168.0.0/16 – 云桌面 VPC 子网
172.16.0.0/12 – Active Directory 服务器子网
100.100.2.136/32， 100.100.2.138/32 – 阿里云内部 DNS

17. 选择高级配置。启用双重身份验证，然后选择 IDaaS 实例：

18. 导航到 VPN 下的 SSL 客户端，然后单击创建客户端证书：

19. 填写名称，然后选择 SSL 服务器。然后，单击"确定"。

20. 由于子网 10.1.0.0/24 将用于 SSLVPN 客户端，因此您需要通过导航到 VPC 下的路由表，将此路由发布到云企业网络（CEN）。然后，单击"发布"。

21. 您已完成所有配置！您已准备好验证结果。

验证结果

1. 从您创建的 SSL 客户端下载客户端证书：

2.根据您使用的操作系统，您需要下载并安装支持OpenVPN协议的VPN软件。由于云桌面需要通过域名与网关通信，您需要修改 .ovpn 文件并添加重定向到阿里云内部 DNS 的 DNS 选项（100.100.2.136 和 100.100.2.138）。

3. 仔细检查 .ovpn 文件以连接到阿里云 VPN 网关。VPN 软件将要求您在建立 VPN 连接之前登录。填写 Active Directory 用户名和密码，然后单击确定：

4. 从 EDS 控制台下载并安装云桌面软终端：

5.安装后，您可以通过软终端连接到云桌面。现在，选择区域并输入工作目录 ID。您可以在云桌面控制台中找到工作目录 ID：

6. 使用您的 Active Directory 帐户和密码登录到云桌面：

7. 单击连接以登录到云桌面：

8. 您现在已通过安全网络登录到云桌面并应用了安全策略，例如水印：