このトピックでは、機密データ検出、リアルタイムブロック、伝送チャネルの制御、インテリジェント監査、権限管理などの SASE の機能を使用して、コードのエクスポート動作を効果的に管理し、企業の重要な資産のセキュリティを保護する方法について説明します。
シナリオ例
ある企業が、さまざまなビジネスシナリオに対応しながらコアコード資産を保護することを目的として、コードの持ち出し動作に対する段階的な制御を実装することを決定しました。これは、次の 3 つのカテゴリに分類されます。
Git チャネル: Apsara Devops Codeup などの Git チャネルを介したコード配布を厳密に制御します。信頼できるコードリポジトリについては、ホワイトリストを作成できます。ホワイトリストが設定されると、SASE はコードリポジトリの配布アクティビティの制御またはブロックを停止します。
非 Git チャネル: 特定のソースチャネルからのコード配布を管理します。
その他のタイプ: 不特定のソースからのコード配布については、ログ監査のみを実行します。
機能の説明
さまざまな制御メジャーにより、データセキュリティを効果的に保護できます。具体的なメジャーは次のとおりです。
Git チャネルコード制御:
完全ブロック: Git チャネルコードリポジトリからのコード持ち出し動作をリアルタイムでインターセプトします。
承認メカニズム: リスクの高い持ち出し操作には承認プロセスが必要であり、承認後にのみ実行できます。
監査レコード: すべての操作は、トレーサビリティを確保するために監査ログに記録されます。
コードリポジトリのホワイトリスト: 信頼できる Git チャネルコードリポジトリのホワイトリストを設定します。
非 Git チャネルコード制御:
インテリジェントブロック: 指定されたコードリポジトリからダウンロードまたはエクスポートされたコードの持ち出し動作をリアルタイムでインターセプトします。
承認メカニズム: 指定されたソースコードリポジトリからのコード持ち出し動作には承認プロセスが必要であり、承認後にのみ実行できます。
監査レコード: すべての操作は、トレーサビリティを確保するために監査ログに記録されます。
その他のタイプのコード: 監査レコードのみが実行されます。
前提条件
SASE インターネットアクセスセキュリティオフィスデータ保護エディションが購入済みであること。 詳細については、「Secure Access Service Edge の課金概要」および「初心者ガイド」をご参照ください。
エンタープライズオフィスターミナルにインストールされている SASE アプリのバージョンが 4.3.1 以降であることを確認してください。
ポリシーが有効になるユーザーグループが追加されていること。 具体的な手順については、「ユーザーグループの追加」をご参照ください。
承認プロセスの設定
コードの持ち出し動作のポリシーを設定する際に、承認プロセスを選択するために使用します。コードの持ち出しは、承認後にのみ実行できます。
Secure Access Service Edge コンソールにログインします。
左側のナビゲーションバーで、 を選択し、Create Workflow をクリックします。
Create Approval Workflow パネルで、以下で説明するように承認プロセスを設定し、OK をクリックします。
コード持ち出しポリシーの設定
コードの持ち出し動作の詳細な段階的制御を実現するには、さまざまなコードタイプの持ち出し時のセキュリティニーズを満たすために、さまざまなコードタイプの特性に基づいて差別化された複数の持ち出しポリシーを設定する必要があります。
Git チャネル持ち出しインターセプトポリシーの設定
Git チャネルコードリポジトリのアクティビティの持ち出しのセキュリティと制御性を確保するには、リアルタイムのインターセプトメカニズムを介してこれらの操作を管理することが不可欠です。すべての持ち出しリクエストは承認プロセスを経る必要があり、承認後にのみ実行されます。信頼できる Git コードリポジトリについては、ホワイトリストを作成できます。ホワイトリストが設定されると、SASE はそのコードリポジトリの持ち出しアクティビティの制御またはブロックを停止します。
持ち出しインターセプトポリシーの設定
左側のナビゲーションバーで、 タブを選択し、Create Policy をクリックします。
次の設定を行い、他の設定項目はデフォルト値のままにして、OK をクリックします。
設定項目
説明
Policy Name
ポリシーの名前を入力します。
Risk Level
Extremely High を選択します。
Action
Block and Notify を選択します。
Action
Block All を選択します。
Transmission Channel
Git を選択します。
Effective Scope
有効なユーザーグループを設定します。複数のユーザーグループを追加できます。
Approval Process Configuration
Users can submit an application for approval. を選択します。Select Approval Workflow ドロップダウンリストで、カスタム承認プロセスを選択します。
Prompt Display Configuration
アウトバウンドコード転送がブロックされたときに表示されるメッセージを指定します。メッセージは中国語または英語で指定できます。
チャネルホワイトリストの設定
Git チャネルのコードリポジトリにホワイトリストを設定できます。その後、SASE はそのアウトバウンド動作の制御またはブロックを停止します。
左側のナビゲーションバーで、 を選択し、Add をクリックします。
Add to Whitelist パネルで、Git チャネルの Code Repository URL を設定します。次に、OK をクリックします。
指定されたチャネルの持ち出しインターセプトポリシーの設定
指定されたソースからのコードリポジトリの持ち出しポリシーを実装するには、データソース、ファイル認識ルールを設定し、インターセプトポリシーを順に作成する必要があります。
ステップ 1: データソースの設定
複数のデータソースを設定して、コードリポジトリを統一的に制御できます。
左側のナビゲーションバーで、 を選択し、Create Application をクリックします。
Create Application パネルで、提供された指示に従ってアプリケーションを設定します。次に、OK をクリックします。
設定項目
説明
Application Name
アプリケーション名を入力します。
Application Address
Add をクリックして、コードリポジトリの URL とファイルパスを設定します。複数のアプリケーションアドレスを設定できます。次の設定を参照してください。
URL: codeup.aliyun.com
パス: depot/project (プロジェクトファイルパス)
ステップ 2: 認識ルールの作成
認識ルールは、カスタムデータソースからのコードを検出し、持ち出し操作中にそれを制御またはインターセプトするために使用されます。
タブで、 をクリックします。
Create Category ダイアログボックスで、分類名を設定し、OK をクリックします。
をクリックし、Create Rule パネルで、次のように設定を構成し、OK をクリックします。
ステップ 3: コード持ち出しインターセプトポリシーの作成
左側のナビゲーションバーで、 を選択します。
Outbound Transfer Management タブで、Create Policy をクリックします。
Create Policy パネルで、説明に従ってポリシーを設定し、他の設定はデフォルト値のままにして、OK をクリックします。
設定項目
説明
Policy Name
ポリシーの名前を入力します。
Risk Level
Extremely High を選択します。
Action
Action: Block and Notify を選択します。
Action: Intelligently Block を選択します。
Data Identification Rule Settings
カスタムデータソースからのコードの認識ルールを選択します。
Transmission Channel
実際のビジネスニーズに応じて、コードの持ち出しを検出するための伝送チャネルを設定します。
Effective Scope
有効なユーザーグループを設定します。複数のユーザーグループを追加できます。
Approval Process Configuration
Users can submit an application for approval. を選択します。Select Approval Workflow ドロップダウンリストで、カスタム承認プロセスを選択します。
Prompt Display Configuration
アウトバウンドファイル転送がブロックされたときに表示されるメッセージを指定します。メッセージは中国語または英語で指定できます。
他のタイプのコード持ち出しに対する監査ポリシーの設定
非 Git チャネルまたは非指定チャネルからのコード持ち出し動作については、監査レコードのみが実行されます。
左側のナビゲーションバーで、 を選択します。
Outbound Transfer Management タブで、Create Policy をクリックします。
Create Policy パネルで、指示に従ってポリシーを設定し、他の設定はデフォルト値のままにして、OK をクリックします。
設定項目
説明
Policy Name
ポリシーの名前を入力します。
Risk Level
Low を選択します。
Action
Action: Audit Only を選択します。
Data Identification Rule Settings
カスタムデータソースからのコードの認識ルールを選択します。
Transmission Channel
実際のビジネスニーズに応じて、コードの持ち出しを検出するための伝送チャネルを設定します。
Effective Scope
有効なユーザーグループを設定します。複数のユーザーグループを追加できます。
Approval Process Configuration
Users can submit an application for approval. を選択します。Select Approval Workflow ドロップダウンリストで、カスタム承認プロセスを選択します。
Prompt Display Configuration
アウトバウンドファイル転送がブロックされたときに表示されるメッセージを指定します。メッセージは中国語または英語で指定できます。
監査ログの表示
すべてのファイルの持ち出し動作はログに記録されます。ログ監査で持ち出し操作と処分アクションを表示できます。
左側のナビゲーションバーで、 を選択します。
Sensitive File Detection タブでは、企業の従業員によって共有された機密ファイルのログを検索できます。
Details をクリックすると、指定したファイルのファイル詳細、キーデータ、機密メッセージ、ヒットしたポリシー、オフィス端末、持ち出しチャネル、アカウント詳細などの情報を表示できます。
