Fleet device posture integration 已正式推出
Source: Tailscale Blog
组织中的设备不断变化。笔记本电脑被更换,机器重新镜像,终端脱离管理,新设备每周都会出现。
这可能导致身份验证与设备管理之间出现空白。Tailscale 知道谁在使用系统。你的设备管理解决方案知道他们的设备是否合规。直到现在,这两块信息还分别存在于不同的世界(呃,仪表盘)中。
现在,我们与 Fleet(开源设备管理平台)的设备姿态集成已在 Tailscale 企业计划中正式提供,连接了这两者。通过此集成,你可以在 Tailscale 访问策略(ACL)中直接引用 Fleet 管理的设备状态,从而让访问决策反映设备是否已被主动注册和管理。
将设备管理引入访问强制执行
将设备姿态集成到网络访问策略中,为组织提供了一种将连通性与设备管理状态关联的实用方式。团队不必把每一台已连接的笔记本电脑视为相同,而是可以要求设备满足基本的管理条件后,才能访问生产数据库或管理员工具等敏感系统。
这在以下场景中特别有用:
- IT 无法实际配置的远程团队
- 需要生产环境访问权限但自行管理机器的开发者
- 人员规模不断增长,手动跟踪设备注册已无法扩展
- 规定“仅限受管理设备”的合规要求
通过将设备管理状态用于访问强制执行,组织可以降低风险并在最小的额外开销下限制访问漂移。
工作原理
管理员定义组织中“受管理”的含义——例如注册状态和策略要求——随后 Tailscale 将 Fleet 上报的姿态属性作为访问强制执行的一部分。
Fleet 定期将设备管理状态同步到 Tailscale,作为姿态信号。Tailscale 再在访问策略中使用这些属性,使强制执行能够反映设备当前是否已注册并满足你定义的条件。
如果设备随后脱离管理或不再满足要求,其访问会自动受限,无需手动更新策略。
Fleet 仍然是设备管理状态的唯一事实来源,而 Tailscale 则利用该状态在你的 tailnet 中执行访问规则。
入门指南
Fleet 集成现已在 Tailscale Enterprise 中提供。
如果你已经同时在使用 Fleet 和 Tailscale,今天就可以开启此功能。设置大约需要 10 分钟:
- 在 Fleet 中生成 API 令牌
- 在 Tailscale 管理控制台中连接 Fleet
- 定义你希望在姿态中体现的 Fleet 策略
- 更新你的 ACL 策略以引用这些检查
关于此集成以及我们其他设备姿态集成的完整文档,请参阅我们的文档。
还没有 Enterprise 版?联系我们了解更多信息。