Topik ini menjelaskan cara administrator mengonfigurasi fitur perlindungan data Secure Access Service Edge (SASE). Fitur ini membantu perusahaan memantau transfer data sensitif arah keluar secara real-time, mengidentifikasi risiko kebocoran data, dan memastikan keamanan data kantor.
Skenario
Deteksi transfer file sensitif arah keluar: Mencegah karyawan mentransfer file sensitif melalui saluran seperti alat pesan instan, email, dan layanan penyimpanan cloud.
Kueri log audit: Mencatat dan menganalisis transfer file sensitif arah keluar untuk segera mendeteksi potensi risiko kebocoran data.
Prasyarat
Anda telah membeli edisi Perlindungan Data untuk Akses Internet dari SASE. Untuk informasi selengkapnya, lihat Ikhtisar penagihan dan Memulai SASE.
Klien SASE yang diinstal pada perangkat kantor adalah versi 4.3.1 atau lebih baru.
Prosedur
Langkah 1: Tambahkan sumber identitas
Sumber identitas menyediakan otentikasi identitas bagi karyawan perusahaan. SASE mendukung sistem otentikasi identitas pihak ketiga dan yang dikelola sendiri. Sumber identitas yang didukung mencakup Lightweight Directory Access Protocol (LDAP), DingTalk, WeCom, Lark, Identity as a Service (IDaaS), dan sumber identitas kustom. Jika bisnis Anda menggunakan beberapa sumber identitas, Anda dapat mengonfigurasi semuanya sehingga layanan SASE dapat digunakan dengan berbagai sumber identitas tersebut.
Topik ini menggunakan sumber identitas kustom sebagai contoh untuk menunjukkan cara memverifikasi fitur ini.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Klik tab Identity synchronization, lalu klik Create IdP.
Di panel Create IdP, pilih Custom IdP, lalu klik Configure.
Di bagian Basic Configurations, atur IdP Name dan IdP Status sesuai tabel berikut, lalu klik Next.
Parameter
Deskripsi
IdP Name
Nama sumber identitas kustom.
Nama harus terdiri dari 2 hingga 100 karakter dan dapat berisi karakter Tionghoa, huruf, angka, tanda hubung (-), dan garis bawah (_).
IdP Status
Atur status sesuai kebutuhan. Nilai yang valid:
Enabled: Jika tidak ada sumber identitas kustom lain yang diaktifkan, Anda dapat mengaktifkan sumber identitas yang sedang dibuat.
Closed: Jika sumber identitas kustom lain sudah diaktifkan, Anda dapat menonaktifkan yang baru dibuat. Setelah menonaktifkan sumber identitas kustom lainnya, Anda dapat mengaktifkan yang baru ini.
PentingJika Anda menonaktifkan sumber identitas kustom, pengguna akhir tidak dapat menggunakan klien SASE untuk mengakses aplikasi internal. Lakukan dengan hati-hati.
Di bagian Logon Settings, atur metode login.
Parameter
Deskripsi
PC Logon Method
Mendukung Logon with Account and Password dan Password-free Logon.
Saat menggunakan login dengan akun dan kata sandi, Anda dapat mengaktifkan Two-factor Authentication. Nilai yang valid:
OTP-based Authentication: Jika diaktifkan, Anda harus memilih OTP Mode. Mode berikut didukung:
Izinkan klien seluler SASE menampilkan token: Ini adalah OTP SASE bawaan, yang mengharuskan karyawan menginstal klien seluler SASE.
Izinkan token aplikasi pihak ketiga: Pastikan jam klien OTP disinkronkan. Perangkat lunak autentikasi OTP standar dan umum, seperti aplikasi Alibaba Cloud, didukung.
Izinkan token milik perusahaan: Untuk mendukung OTP perusahaan yang dikembangkan sendiri, konfigurasikan dengan bantuan personel dukungan teknis.
Verification Code-based Authentication: Mendukung kode verifikasi melalui pesan teks dan email. Pastikan nomor ponsel atau alamat email dicatat untuk setiap pengguna dalam sumber identitas yang dikonfigurasi.
Saat menggunakan login tanpa kata sandi, Anda harus terlebih dahulu mengunduh dan masuk ke klien seluler SASE, lalu melakukan autentikasi kode QR.
Mobile Device Logon Method
Mendukung Logon with Account and Password dan Fingerprint or Face Recognition.
Saat menggunakan login dengan akun dan kata sandi, Anda dapat mengaktifkan Two-factor Authentication. Nilai yang valid:
OTP-based Authentication: Sebelum mengaktifkan OTP-based Authentication, Anda harus mengaktifkan autentikasi OTP untuk PC dan memilih Allow Tokens on Third-party Applications atau Allow Enterprise-owned Tokens. Konfigurasi token seluler sama dengan konfigurasi PC.
Verification Code-based Authentication: Sebelum mengaktifkan Verification Code-based Authentication, pastikan nomor ponsel atau alamat email dicatat untuk setiap pengguna dalam sumber identitas yang dikonfigurasi.
Saat menggunakan autentikasi sidik jari atau pengenalan wajah, Anda tetap perlu memasukkan nama akun dan kata sandi saat login pertama kali ke klien SASE.
Klik Confirm untuk menyelesaikan konfigurasi.
Langkah 2: Tambahkan grup pengguna
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Di tab User Group Management, klik Create User Group.
Di panel Create User Group, masukkan informasi grup pengguna seperti dijelaskan dalam tabel berikut.
Parameter
Deskripsi
User Group Name
Nama grup pengguna.
Description
Deskripsi grup pengguna.
Group Scope
Atur cakupan untuk grup pengguna. Nilai yang valid:
Organizational Structure: Jika Anda memilih Organizational Structure, informasi Organizational Structure yang ada akan ditampilkan. Pilih struktur yang diperlukan.
Account Name: Jika Anda memilih Account Name, kotak input Configure Account Name akan muncul.
Email Address: Jika Anda memilih Email Address, kotak input Configure Email Address akan muncul.
Mobile Phone Number: Jika Anda memilih Mobile Phone Number, kotak input Configure Mobile Phone Number akan muncul.
Configure Relationship
Atur hubungan untuk grup pengguna. Nilai yang valid:
Equal To
Not Equal To
Klik OK.
Langkah 3: Lihat aturan klasifikasi data
SASE menyediakan aturan identifikasi bawaan untuk mengidentifikasi data perusahaan umum, data pelanggan, dan data pribadi. Anda dapat melihat aturan bawaan ini untuk memahami cakupannya serta menyesuaikannya sesuai kebutuhan. Misalnya, Anda dapat membuat aturan kustom untuk mendeteksi transfer file arah keluar yang berisi resume pribadi.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Di tab , lihat detail aturan identifikasi bawaan untuk resume pribadi di bagian Data Category di sebelah kiri.
Langkah 4: Konfigurasi kebijakan file arah keluar
Fitur deteksi file sensitif SASE secara otomatis mengidentifikasi file sensitif berdasarkan karakteristik elemen datanya. SASE menggunakan elemen data, tipe data, dan tingkat sensitivitas untuk membuat templat data. Templat ini kemudian digabungkan dengan kondisi, seperti tindakan penanganan, guna membuat kebijakan deteksi yang mengidentifikasi apakah file yang dikirim oleh karyawan bersifat sensitif.
Masuk ke Konsol Secure Access Service Edge.
Di panel navigasi sebelah kiri, pilih .
Di tab , klik Create Policy.
Di panel Create Policy, buat kebijakan file arah keluar seperti dijelaskan dalam tabel berikut, lalu klik OK.
Parameter
Deskripsi
Policy Information
Policy Name
Nama kebijakan.
Policy Description
Deskripsi kebijakan.
Risk Level
Anda dapat mengatur kebijakan ke salah satu dari empat tingkat risiko berikut:
Extremely High: peristiwa seperti transfer arah keluar dari grup pengguna yang mengundurkan diri, transfer arah keluar dari grup pengguna berisiko sangat tinggi, dan transfer arah keluar file L4.
High: peristiwa seperti transfer arah keluar dari grup pengguna berisiko tinggi dan transfer arah keluar file L3.
Medium: peristiwa seperti transfer arah keluar dari grup pengguna berisiko menengah dan transfer arah keluar file L2.
Low: semua transfer arah keluar untuk tujuan audit.
Action
Tindakan kebijakan. Nilai yang valid:
Audit Only
Audit and Prompt
Block and Notify
Block Only
Jika Anda mengatur tindakan ke Block and Notify atau Block Only, Anda juga harus memilih jenis pemblokiran.
Block All: Aplikasi SASE memblokir dan mengaudit semua transfer file arah keluar secara real-time.
Intelligently Block: Aplikasi SASE memblokir transfer file sensitif arah keluar secara real-time berdasarkan karakteristik yang ditentukan dalam templat data. Untuk memastikan pemblokiran real-time yang efektif, aplikasi SASE memindai file di titik akhir dan menetapkan tingkat sensitivitas terlebih dahulu. Sebelum tugas pemindaian selesai, semua transfer arah keluar diblokir secara default dan kebijakan pemblokiran belum berlaku. Pemindaian dan pelabelan dilakukan di titik akhir dan tidak dilaporkan.
Source File Retention
Menentukan apakah informasi file sumber akan disimpan.
Retain Screenshot File
Menentukan apakah bukti tangkapan layar akan disimpan.
Status
Status kebijakan. Nilai yang valid:
Enabled: Kebijakan berlaku. SASE mendeteksi file berdasarkan kebijakan tersebut.
Disabled: Kebijakan tidak berlaku.
Data Identification Rule Settings
Data Identification Rule
Pilih aturan identifikasi yang telah dikonfigurasi. Untuk informasi selengkapnya tentang cara mengonfigurasi aturan identifikasi, lihat Konfigurasi aturan deteksi untuk klasifikasi dan kategorisasi file arah keluar.
Transmission Channel
Pilih saluran transmisi data. Saat karyawan mentransfer file melalui saluran yang dipilih, deteksi file sensitif akan dipicu. Anda dapat memilih beberapa atau semua jenis saluran yang didukung berikut.
Instant Messaging (Perangkat Lunak), Email (Perangkat Lunak), Saluran FTP, Berbagi Jaringan, Cetak, Penyimpanan Seluler, Cloud Drive (Perangkat Lunak), Catatan Cloud (Perangkat Lunak), Desktop Jarak Jauh, Hosting Kode (Perangkat Lunak), Model Bahasa Besar (Perangkat Lunak), Cloud Drive (Web), Email (Web), Hosting Kode (Web), Catatan Cloud (Web), Blog Cloud, Model Bahasa Besar (Web), Media Sosial, Instant Messaging (Web), dan Lainnya.
Effective Scope
User Group
Pilih grup pengguna yang menjadi sasaran kebijakan.
Approval Process Configuration
Tentukan apakah karyawan dapat mengajukan laporan saat terdapat risiko transfer file arah keluar.
Jika Anda mengizinkan karyawan mengajukan laporan untuk persetujuan, pilih alur kerja persetujuan. Untuk informasi selengkapnya tentang cara membuat alur kerja persetujuan, lihat Konfigurasi alur kerja persetujuan.
Prompt Display Configuration
Atur pesan notifikasi yang muncul saat transfer file arah keluar diblokir. Anda dapat mengatur pesan dalam bahasa Tionghoa dan Inggris.
Langkah 5: Lihat log audit
Setelah konfigurasi selesai, Anda dapat melihat hasil deteksi transfer file sensitif arah keluar di log audit.
Di panel navigasi sebelah kiri, pilih .
Di tab , lihat log audit. Anda dapat memilih rentang waktu, seperti Last Hour, Last 6 Hours, Last Day, Last 7 Days, atau Last Month.
Temukan transfer arah keluar yang terdeteksi yang ingin Anda kelola dan klik Details di kolom Actions untuk melihat detail seperti Sensitive Message, Screenshot Evidence, Hit Policy, Office Terminal, Outbound Transfer Channel, dan Account Information.
Referensi
Untuk informasi selengkapnya tentang cara menambahkan sumber identitas lainnya, lihat Identity access.
Untuk informasi selengkapnya tentang cara menambahkan operasi repositori kode dan perangkat USB tertentu ke daftar putih, lihat Konfigurasi daftar putih saluran.
Untuk informasi selengkapnya tentang mengelola watermark layar dan cetak untuk karyawan perusahaan, lihat Pastikan keamanan data dengan mengelola watermark.
Untuk informasi selengkapnya tentang mengelola perangkat periferal, seperti flashdisk dan perangkat Bluetooth, untuk karyawan perusahaan, lihat Pastikan keamanan data dengan mengelola perangkat periferal.