Konfigurasikan kebijakan dinamis - Secure Access Service Edge

Kebijakan dinamis memungkinkan SASE untuk terus-menerus mengevaluasi perangkat karyawan, perilaku, dan status kepatuhan—serta secara otomatis menerapkan respons keamanan ketika suatu kondisi terpenuhi. Gunakan kebijakan dinamis untuk mendeteksi ancaman secara real time, membatasi akses bagi perangkat yang tidak memenuhi standar, serta melindungi data dan resource organisasi Anda.

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

Langganan SASE aktif. Jika belum mengaktifkan SASE, lihat Purchase the service. Uji coba gratis selama 7 hari juga tersedia. Lihat Apply for a free trial.
Akun Alibaba Cloud atau Pengguna Resource Access Management (RAM) dengan izin akses SASE. Untuk memberikan izin kepada Pengguna RAM, lihat Grant permissions to a RAM user.
Versi client SASE 4.5.1 atau lebih baru yang diinstal pada perangkat kantor.

Buat kebijakan dinamis

Login ke Konsol Secure Access Service Edge.
Pada panel navigasi kiri, pilih Dynamic Decision-making > Dynamic Policy. Pada halaman Dynamic Policy, klik Create Policy.
Pada panel Create Policy, konfigurasikan parameter yang dijelaskan dalam tabel berikut.
Klik OK.

Parameter kebijakan

Informasi dasar

Parameter	Deskripsi
Policy Name	Masukkan nama untuk kebijakan dinamis.
Policy Status	Aktifkan atau nonaktifkan kebijakan dinamis.
Effective Scope	Pilih kelompok pengguna yang menjadi sasaran kebijakan ini.

Pengaturan pemicu

Trigger Mode diatur ke Dynamic secara default. Kebijakan dipicu secara real time ketika properti perangkat, lingkungan jaringan, garis dasar kepatuhan perangkat berubah, atau ketika terjadi event keamanan yang terkait dengan pengguna.

Konfigurasikan kondisi pemicu menggunakan salah satu metode berikut:

Metode	Langkah
Manually set policy	Tetapkan kondisi berdasarkan Device Information, Behavior Information, Compliance Baseline, dan Time Rule. Konfigurasikan satu atau beberapa kondisi dan tetapkan hubungan logis di antara mereka. Untuk menggunakan kembali konfigurasi ini, klik Save as Template. Untuk detail parameter, lihat Trigger configuration parameters.
Import existing template	Klik Import Existing Template. Pada kotak dialog, pilih templat pemicu lalu klik OK. Untuk informasi tentang pembuatan templat pemicu, lihat Configure a trigger template.

Pengaturan penanganan

Ketika kebijakan dipicu, SASE menerapkan satu atau beberapa aksi respons berikut:

Action	Deskripsi
Prohibit App-initiated Connections to Internal Networks	Memblokir aplikasi SASE dari memulai koneksi ke jaringan internal. Memerlukan kebijakan akses jaringan yang dikonfigurasi di SASE. Peringatan Memerlukan versi aplikasi SASE 4.7.0 atau lebih baru.
Prohibit Use of Software	Mencegah karyawan menggunakan perangkat lunak tertentu. Hanya berlaku pada perangkat yang memenuhi syarat.
Prohibit Connection to Office Network	Memblokir perangkat dari terhubung ke jaringan kantor. Memerlukan kebijakan akses jaringan yang dikonfigurasi di SASE. Untuk pengguna atau perangkat yang memiliki kebijakan akses jaringan, pembatasan ini berlaku pada koneksi berikutnya.
Access Control Downgrade	Menurunkan tingkat izin pengguna yang tidak memenuhi standar. Memerlukan kebijakan downgrade yang telah dikonfigurasi sebelumnya.

Notifikasi dan audit

Opsi	Deskripsi
Audit	Mencatat operasi respons dan pemulihan. Lihat log di Log Audit. Untuk detailnya, lihat View the response process.
In-client Notification to User	Mengirim notifikasi pop-up saat kebijakan dipicu. Tetapkan judul dan konten pop-up dalam bahasa Tiongkok dan Inggris. Client SASE akan dipaksa logout saat notifikasi muncul.
CloudMonitor Notification to System Administrator	Mengirimkan event respons ke Cloud Monitor untuk peringatan administrator sistem.

Metode pemulihan

Konfigurasikan cara pengguna atau perangkat yang terdampak pulih setelah kebijakan dipicu:

Metode	Deskripsi
Automatic Restoration After Remediation	Secara otomatis memulihkan respons jika perangkat atau pengguna tidak lagi memenuhi kondisi pemicu pada pemeriksaan kebijakan berikutnya.
Restoration After Authentication and Reporting	Client SASE dipaksa logout. Pengguna dapat login kembali untuk melanjutkan akses. Tetapkan Reported Effective Time—kebijakan dinamis tidak akan dipicu lagi dalam periode ini. Authentication Method default adalah Log On Again.

Contoh: kebijakan pemicu yang dikonfigurasi secara manual

Contoh berikut menunjukkan kebijakan dinamis yang dipicu jika versi client SASE lebih lama dari v4.5.1 atau aplikasi QQ terdeteksi pada perangkat kantor.

Kondisi pemicu	Operator logis	Nilai
SASE Client Version	Less than	v4.5.1
Device Software Information	Includes any of	QQ

Kedua kondisi menggunakan hubungan OR—kebijakan dipicu jika salah satu kondisi terpenuhi.

Trigger configuration parameters

Device information

Basic device information

Opsi	Operator logis	Nilai
SASE Client Version	Greater than, Greater than or equal to, Less than, Less than or equal to	Masukkan nomor versi client.
Terminal Type	Is in, Is not in	Windows, macOS, iOS, Linux, Android (dukungan pilihan ganda).
Wi-Fi Connection	Is, Is not	Masukkan satu atau beberapa SSID. Maksimal 10 SSID.
Device MAC Address	Includes any of, Does not include any of	Masukkan satu atau beberapa alamat MAC. Maksimal 10 alamat MAC.
LAN IPv4 Address	Is in, Is not in	Masukkan satu atau beberapa alamat IP atau Blok CIDR. Maksimal 10 entri.
Mac Disk Access	Equals	Enabled, Not enabled.
Screenshot Permissions on Mac	Equals	Enabled, Not enabled.

Device application information

Opsi	Operator logis	Nilai
Device Software Information	Includes any of, Does not include any of	Daftar aplikasi dari manajemen perangkat lunak.

Behavior information

Logons

Opsi	Operator logis	Nilai
IP Address of Most Recent Logon	Belongs To, Does Not Belong To	Masukkan satu atau beberapa alamat IP atau Blok CIDR. Maksimal 10 entri.

Compliance baseline

Windows

Opsi	Operator logis	Nilai
Windows Version	Version Later Than, Version Equal To or Later Than, Version Earlier Than, Version Equal To or Earlier Than	Pilih dari Windows 7, 8, 9, 10, atau 11.
System Firewall	Include Any, Not Include	Enable Private Network Firewall; Enable Guest and Public Network Firewall; Enable Domain Network Firewall; System Firewall. Dukungan pilihan ganda.
Process Detection	Include Any, Not Include	Masukkan satu atau beberapa nama proses.
Baseline Element	Include All	Windows Automatic Updates Not Enabled; High-risk Port Enabled; Antivirus Software Disabled; High-risk Software Used. Untuk detail konfigurasi elemen garis dasar, lihat Configure baseline elements.

macOS

Opsi	Operator logis	Nilai
macOS Version	Version Later Than, Version Equal To or Later Than, Version Earlier Than, Version Equal To or Earlier Than	Pilih dari macOS 10, 11, 12, 13, 14, atau 15.
System Firewall	Include Any, Not Include	System Firewall.
Process Detection	Include Any, Not Include	Masukkan satu atau beberapa nama proses.
Baseline Element	Include All	High-risk Port Enabled; Antivirus Software Disabled; High-risk Software Used. Untuk detail konfigurasi elemen garis dasar, lihat Configure baseline elements.

Linux

Opsi	Operator logis	Nilai
Process Detection	Include Any, Not Include	Masukkan satu atau beberapa nama proses.
System Firewall	Include Any, Not Include	System Firewall.

Time rules

Opsi	Operator logis	Nilai
Effective Time	Greater Than, Less Than, Validity Period	Tetapkan waktu spesifik atau rentang waktu.

Manage policies

Setelah membuat kebijakan, kebijakan tersebut akan muncul dalam daftar kebijakan dinamis. SASE menerapkan respons ke perangkat yang sesuai dengan kebijakan berdasarkan pengaturan Anda.

Operasi	Cara
Filter	Filter daftar berdasarkan Policy Name.
Edit	Klik Details untuk melihat atau mengubah konfigurasi kebijakan.
Delete	Klik Delete untuk menghapus kebijakan. Pilih beberapa kebijakan untuk menghapusnya secara Batch.
Enable or disable	Klik sakelar pada kolom Status untuk mengaktifkan atau menonaktifkan kebijakan.

What's next

Untuk melihat event produk SASE yang dilaporkan ke CloudMonitor, lihat View system events.