工作原理
Private Access 在漫游用户与内部应用程序(内联网)之间创建安全连接。
与传统 VPN 提供广泛网络访问不同,Private Access 仅针对用户明确需要的资源提供应用程序特定访问。
本节概述了使用基于零信任网络访问(ZTNA)原则构建的 Endpoint Central Private Access 解决方案实现对内部应用程序安全访问的完整工作流程。
作为先决条件,需在网络内部署 Application Connector,以启用和管理用户与内部应用程序之间的安全连接。
注册 Agent
当启用 Private Access 时,已安装在用户端点的 Endpoint Central agent 会自动向 Endpoint Central 服务器注册。
IdP 认证
当用户尝试访问内部应用程序时,其身份由组织的身份提供者(IdP)进行验证。Private Access 使用您现有的 IdP,因此登录体验保持无缝,并支持单点登录。认证后,agent 会将经过验证的会话发送至 Endpoint Central 服务器,服务器检查用户详细信息并应用所需访问规则,然后允许连接。
安全隧道
认证和策略检查成功后,Application Connector 会在用户设备与目标内部应用程序之间启动安全加密隧道。该应用程序特定的隧道确保数据机密性,防止网络内的横向移动。用户现在可以安全访问内部资源,而无需将其暴露于公共互联网。
架构
您可以根据环境选择两种架构模型:
无 Edge Connector
组件
服务器:
Endpoint Central 服务器作为 Private Access 的中央控制点,存储所有配置信息,并在需要时向 agent 和 Application Connector 发送指令。所有已注册的端点均与该服务器通信以接收策略更新并保持安全访问。为确保持续运行和顺畅访问内部应用程序,请确保 Endpoint Central 服务器在计划维护或升级外保持正常运行。
Agent:
Endpoint Central agent 是安装在受 Endpoint Central 管理的计算机上的轻量级软件应用程序。它与服务器通信以接收指令,并在端点应用所需配置。启用 Private Access 时,agent 会自动向 Application Connector 注册,使设备能够安全访问内部应用程序。
身份提供者:
身份提供者在授予访问权限前验证用户身份。当用户尝试访问私有应用程序时,IdP 使用用户的企业凭据进行认证并确认其身份。认证成功后,系统从 IdP 接收经过认证的会话信息,确保适当的访问策略得以安全应用。
Application Connector:
Application Connector 作为用户与内部应用程序之间的安全桥梁,启动安全隧道,确保只有可信设备访问正确的应用程序。Application Connector 会联系服务器,获取策略和元数据。基于这些策略,它决定如何将用户连接路由到正确的内部应用程序,而不暴露网络。
带 Edge Connector
在部署中,如果在隔离区(DMZ)引入 Edge Connector,则提供额外的安全层,因为 DMZ 专门设计用于处理外部流量而不暴露内部网络。
DMZ 中的 Edge Connector:
当 Edge Connector 部署在 DMZ 中时,作为所有外部流量的受控入口。任何进入请求首先到达 Edge Connector,经检查和验证后,只有批准和验证的流量才通过 Application Connector 进入内部网络。此设置保持内部网络受保护,减少暴露,确保仅符合策略的请求被允许继续。
