Topik ini menjelaskan proses pembelian hingga penggunaan Secure Access Service Edge (SASE) untuk membantu Anda memulai dengan SASE.
Pengguna yang dituju
Pengguna pertama kali dari SASE.
SASE pengenalan
SASE deskripsi
SASE menghadirkan kemampuan keamanan ke edge berdasarkan node edge nasional milik Alibaba Cloud, jalur sewa, dan model keamanan percaya nol. Untuk perusahaan dengan beberapa cabang atau toko serta perusahaan yang karyawannya bekerja secara remote atau dari lokasi berbeda, SASE menyediakan akses remote berbasis percaya nol, audit perilaku dalam jaringan internal, pencegahan kehilangan data (DLP), kontrol akses jaringan, dan akselerasi aplikasi. Untuk informasi lebih lanjut, lihat Apa itu SASE?
Kemampuan edisi-edisi SASE yang berbeda
SASE hanya mendukung metode penagihan berlangganan. Tabel berikut menjelaskan kemampuan setiap edisi SASE. Anda dapat memilih edisi SASE berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut tentang metode penagihan dan item yang dapat ditagih dari SASE, lihat Ikhtisar Penagihan.
Edisi | Deskripsi |
Akses Pribadi VPN | Private Access VPN dari SASE mendukung VPN percaya nol untuk memungkinkan pengguna mengakses aplikasi cloud atau on-premises di dalam perusahaan. Edisi ini cocok untuk perusahaan yang memiliki kurang dari 100 karyawan dan memerlukan bandwidth kantor kurang dari atau sama dengan 10 Mbit/s. |
Akses Pribadi Dasar | Private Access Basic dari SASE mendukung VPN percaya nol untuk memungkinkan pengguna mengakses aplikasi cloud atau on-premises di dalam perusahaan. Edisi ini cocok untuk perusahaan yang memiliki lebih dari 100 karyawan dan membeli sumber daya bandwidth kantor berdasarkan kebutuhan bisnis. |
Akses Pribadi Tingkat Lanjut | Private Access Advanced dari SASE mendukung VPN percaya nol untuk memungkinkan pengguna mengakses aplikasi cloud atau on-premises di dalam perusahaan. Edisi ini juga mendukung kontrol akses jaringan dan fitur kantor global. |
Akses Internet DLP | Internet Access DLP menggunakan arsitektur pencegahan kehilangan data (DLP) berbasis cloud untuk memungkinkan perusahaan mengidentifikasi, memantau, dan melindungi data kantor secara real-time. |
Konfigurasi setiap SASE fitur
Prasyarat
Penyedia identitas (IdP) dan grup pengguna suatu perusahaan harus dikonfigurasi sebelum menggunakan fitur-fitur SASE. Untuk informasi lebih lanjut, lihat Menghubungkan IdP LDAP ke SASE dan Konfigurasikan Kombinasi IdP.
SASE mendukung sistem otentikasi identitas pihak ketiga dan yang dikelola sendiri. Pengguna dapat menggunakan nama pengguna dan kata sandi yang diberikan untuk masuk ke klien SASE dan melakukan verifikasi identitas. SASE mendukung IdP pihak ketiga berikut: Lightweight Directory Access Protocol (LDAP), DingTalk, WeCom, Lark, dan Identity as a Service (IDaaS). Anda juga dapat menggunakan IdP SASE kustom untuk mengelola struktur organisasi perusahaan.
Konfigurasi akses pribadi
Fitur akses pribadi mendukung akses percaya nol berbasis SaaS dengan mengadopsi pendekatan perimeter yang ditentukan perangkat lunak (SDP). SaaS adalah singkatan dari Software as a Service. Fitur ini memungkinkan Anda mengelola izin akses karyawan tanpa perlu mengekspos alamat IP publik atau merekonstruksi arsitektur jaringan yang ada.
Langkah 1: Buat aplikasi kantor
Aplikasi kantor suatu perusahaan merujuk pada sumber daya TI seperti aplikasi internal-facing, server, atau database yang digunakan oleh pengguna saat bekerja. Pengguna tidak perlu mengonfigurasi alamat IP publik untuk aplikasi kantor. Jika pengguna ingin mengakses aplikasi atau sumber daya dalam LAN dari terminal, pengguna hanya perlu menginstal klien SASE di terminal dan melewati verifikasi identitas dan keamanan yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasikan Aplikasi Kantor.
Langkah 2: Aktifkan koneksi jaringan
Aktifkan koneksi jaringan berdasarkan penyebaran bisnis Anda.
Penyebaran Sumber Daya Bisnis | Solusi | Persyaratan Lingkungan |
Sumber daya bisnis ditempatkan di Alibaba Cloud. | Anda dapat menggunakan fitur pengaturan jaringan untuk mengaktifkan koneksi jaringan antara sumber daya bisnis di VPC Alibaba Cloud dan klien SASE. Anda dapat mengakses halaman konsol SASE dan mengaktifkan Koneksi Jaringan untuk VPC tempat server Anda ditempatkan. | Persyaratan komputer:
|
Sumber daya bisnis ditempatkan di luar Alibaba Cloud dan Virtual Border Routers (VBR), instance Cloud Connect Network (CCN), dan gateway VPN Alibaba Cloud digunakan untuk sumber daya tersebut. Contohnya, sumber daya bisnis ditempatkan di Amazon Web Services (AWS) atau Tencent Cloud. | Anda dapat menggunakan Express Connect, Smart Access Gateway (SAG), and IPsec-VPN untuk memungkinkan akses dari klien SASE ke sumber daya bisnis di luar Alibaba Cloud. Anda dapat mengakses tab konsol SASE, konfigurasikan VPC back-to-origin, dan aktifkan Koneksi Jaringan untuk konektor Anda. | Persyaratan komputer:
|
Sumber daya bisnis ditempatkan di luar Alibaba Cloud. | SASE menyediakan fitur konektor. Anda dapat menerapkan konektor untuk memungkinkan akses dari klien SASE ke sumber daya bisnis yang ditempatkan di luar Alibaba Cloud. Solusi ini memungkinkan pengguna mengakses sumber daya bisnis tanpa perlu menggunakan layanan jaringan lainnya. Anda dapat mengakses tab konsol SASE, buat konektor, dan kemudian jalankan perintah untuk menerapkan konektor. Pastikan bahwa konektor diaktifkan. | Persyaratan komputer:
Persyaratan pada server tempat Anda dapat menerapkan konektor:
|
Langkah 3: Buat kebijakan percaya nol
Kebijakan percaya nol membantu mengelola akses ke aplikasi dan sumber daya untuk pengguna dan mitra perusahaan. Proses membuat kebijakan percaya nol adalah untuk membedakan izin sumber daya grup pengguna perusahaan dari aplikasi kantor. Sistem memiliki kebijakan bawaan yang melarang semua akses. Anda harus mengonfigurasi kebijakan izin untuk mengalokasikan sumber daya yang berbeda ke grup pengguna yang berbeda. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Percaya Nol.
Langkah 4: Masuk ke klien SASE
Pengguna menggunakan nama pengguna dan kata sandi yang diberikan oleh sistem untuk masuk ke klien SASE dan terhubung ke jaringan internal. Kebijakan yang dikonfigurasi digunakan untuk mengelola akses pribadi dari pengguna. Untuk informasi lebih lanjut, lihat Instal dan Masuk ke Klien SASE dan Aktifkan atau Nonaktifkan Perlindungan Jaringan untuk Akses Pribadi.
Kontrol akses jaringan
Fitur kontrol akses jaringan memungkinkan Anda menggunakan standar Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) untuk mengakses jaringan kantor. Dengan cara ini, Anda tidak perlu memasukkan nama pengguna atau kata sandi. Saat menggunakan SASE untuk terhubung ke jaringan kantor, izin akses pengguna klien SASE ditentukan berdasarkan daftar putih alamat IP yang telah dikonfigurasi.
Langkah 1: Buat instance jaringan nirkabel
Buat instance jaringan nirkabel di SASE dan gunakan EAP-TLS untuk terhubung ke jaringan kantor.
Langkah 2: Dapatkan informasi tentang server akses jaringan SASE
Sebelum terhubung ke jaringan kantor, Anda harus mengonfigurasi wilayah, alamat IP, port UDP, dan kunci server RADIUS SASE pada kontroler akses jaringan perusahaan Anda untuk membangun koneksi jaringan antara server RADIUS SASE dan kontroler akses jaringan. Server RADIUS adalah server akses jaringan.
Jika Anda ingin mengisolasi dan mengelola pengguna, Anda dapat mengonfigurasi izin akses jaringan dan menggunakan ID VLAN untuk membagi izin akses jaringan pengguna dan terminal secara lebih rinci.
Jika sertifikat yang diterbitkan secara otomatis tidak sesuai dengan skenario bisnis Anda, Anda dapat mengubah ruang lingkup instalasi dan periode validitas sertifikat atau mengganti sertifikat dengan sertifikat kustom perusahaan Anda.
Konfigurasi DLP
DLP menyediakan metode berikut untuk memastikan keamanan data: deteksi file sensitif, manajemen periferal, dan manajemen watermark. Anda dapat memilih metode berdasarkan kebutuhan bisnis Anda. Jika Anda memerlukan manajemen data yang sangat ketat, kami sarankan untuk mengaktifkan semua metode.
Deteksi file yang ditransfer keluar untuk memastikan keamanan data
Jika Anda ingin memeriksa apakah pengguna mentransfer file yang berisi data sensitif melalui beberapa saluran, seperti pesan instan dan email, Anda dapat menggunakan deteksi file sensitif untuk menentukan kamus data sensitif, membangun template data, dan membuat kebijakan deteksi. Dengan cara ini, Anda bisa mendapatkan statistik tentang transfer file keluar. Untuk informasi lebih lanjut, lihat Deteksi File yang Ditransfer Keluar untuk Memastikan Keamanan Data.
Langkah 1: Konfigurasikan kebijakan untuk mendeteksi file yang ditransfer keluar
Deteksi file sensitif dari SASE menggunakan kata kunci kustom sebagai karakteristik untuk secara otomatis mengidentifikasi konten sensitif dalam file, membangun template data sensitif berdasarkan karakteristik, tipe data, dan tingkat sensitivitas, lalu membuat kebijakan deteksi berdasarkan tindakan penanganan. Dengan cara ini, Anda dapat menentukan apakah file yang ditransfer keluar adalah file sensitif.
Untuk mengonfigurasi kebijakan deteksi, lakukan langkah-langkah berikut:
Buat kamus data sensitif untuk menentukan karakteristik konten sensitif.
Bangun template data berdasarkan kamus data sensitif.
Buat kebijakan deteksi dan asosiasikan kebijakan dengan template data. Anda harus menentukan objek yang berlaku, saluran deteksi, dan tindakan penanganan dalam kebijakan.
Langkah 2: Lihat hasil deteksi file sensitif
Setelah kebijakan dikonfigurasi, DLP secara otomatis mendeteksi file yang ditransfer oleh pengguna. Kemudian, DLP menganalisis peristiwa transfer keluar dan peristiwa abnormal yang dipicu dalam 30 hari terakhir, 7 hari, dan 24 jam berdasarkan hasil deteksi.
Deteksi file sensitif membantu Anda mendeteksi file sensitif hingga ukuran 30 MB, dan mengumpulkan statistik tentang 5 jenis file sensitif teratas dan proporsinya.
Peristiwa abnormal mencatat transfer keluar file yang lebih besar dari 30 MB, penyalinan file oleh periferal, dan transfer keluar file yang total ukurannya lebih besar dari 1 GB dari pengguna yang sama. Namun, isi file tidak diperiksa. Perhatikan peristiwa abnormal dan periksa secara manual apakah file tersebut berisi data sensitif.
Kelola periferal untuk memastikan keamanan data
Jika Anda ingin memeriksa periferal pengguna, seperti flash drive USB, printer, dan drive optik, untuk menentukan apakah pengguna mentransfer data sensitif, Anda dapat menggunakan manajemen periferal untuk membuat kebijakan untuk menonaktifkan periferal tertentu. Untuk informasi lebih lanjut, lihat Kelola Periferal untuk Memastikan Keamanan Data.
Langkah 1: Konfigurasikan kebijakan untuk mengelola periferal
Anda dapat menentukan grup pengguna yang berlaku. Anda juga dapat mengonfigurasi kebijakan untuk mengelola periferal untuk Windows dan macOS.
Langkah 2: Lihat hasil deteksi file sensitif
Jika Anda mengatur USB Flash Drive and USB Storage ke Read/Write, deteksi perilaku sensitif dipicu ketika pengguna menggunakan flash drive USB atau penyimpanan USB untuk mentransfer file internal. Kemudian, DLP menganalisis data dalam 30 hari terakhir, 7 hari, atau 24 jam berdasarkan hasil deteksi.
Kelola watermark untuk memastikan keamanan data
Jika Anda ingin mengonfigurasi watermark untuk layar dan printer untuk memastikan keamanan data, Anda dapat menggunakan manajemen watermark untuk mengonfigurasi watermark untuk layar dan printer pengguna tertentu. Untuk informasi lebih lanjut, lihat Kelola Watermark untuk Memastikan Keamanan Data.
Langkah 1: Konfigurasikan kebijakan manajemen watermark
Anda dapat menentukan grup pengguna yang berlaku dan mengonfigurasi watermark. Anda dapat membuat watermark layar dan printer kustom.
Langkah 2: Lihat hasil deteksi file sensitif
Jika pengguna mencetak data, deteksi perilaku sensitif dipicu. DLP secara otomatis mendeteksi file yang dicetak oleh pengguna dan menganalisis data dalam 30 hari terakhir, 7 hari, dan 24 jam berdasarkan hasil deteksi.
Umpan balik dan saran
Jika Anda memiliki pertanyaan atau saran tentang SASE, Anda dapat menggunakan metode berikut untuk memberikan umpan balik dan mendapatkan dukungan teknis:
Bantuan online: Anda dapat mendapatkan dukungan teknis online.
Ajukan tiket: Anda dapat mengajukan tiket untuk menghubungi dukungan teknis.
Umpan balik pada dokumentasi: Jika Anda menemukan kesalahan dalam dokumentasi, termasuk kesalahan tautan, kesalahan konten, dan kesalahan operasi API, Anda dapat memilih konten yang salah atau klik Feedback di bagian bawah halaman dokumentasi dan kirimkan umpan balik Anda.