動的ポリシーを使用すると、Secure Access Service Edge (SASE) は従業員のデバイス、動作、コンプライアンスステータスを継続的に評価し、条件が満たされたときにセキュリティ応答を自動的に適用できます。動的ポリシーを使用して、脅威をリアルタイムで検出し、非準拠デバイスのアクセスを制限し、組織のデータとリソースを保護します。
前提条件
開始する前に、次のことを確認してください:
アクティブな SASE サブスクリプション。SASE をアクティベートしていない場合は、「サービスの購入」をご参照ください。7 日間の無料トライアルも利用できます。詳細については、「無料トライアルの申請」をご参照ください。
Alibaba Cloud アカウント、または SASE のアクセス権限を持つ Resource Access Management (RAM) ユーザー。RAM ユーザーに権限を付与するには、「RAM ユーザーへの権限付与」をご参照ください。
オフィスデバイスに SASE クライアントバージョン 4.5.1 以降がインストールされていること。
動的ポリシーの作成
Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、[動的決定] > [動的ポリシー] を選択します。[動的ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] パネルで、次の表で説明されているパラメーターを設定します。
[OK] をクリックします。
ポリシーパラメーター
基本情報
| パラメーター | 説明 |
|---|---|
| ポリシー名 | 動的ポリシーの名前を入力します。 |
| ポリシーステータス | 動的ポリシーを有効または無効にします。 |
| 有効範囲 | ポリシーを適用するユーザーグループを選択します。 |
トリガー設定
[トリガーモード] は、デフォルトで [動的] に設定されています。ポリシーは、デバイスプロパティ、ネットワーク環境、デバイスコンプライアンスベースラインが変更されたとき、またはユーザーに関連するセキュリティイベントが発生したときにリアルタイムでトリガーされます。
次のいずれかの方法を使用してトリガー条件を設定します:
| メソッド | 手順 |
|---|---|
| ポリシーの手動設定 | [デバイス情報]、[動作情報]、[コンプライアンスベースライン]、および [時間ルール] に基づいて条件を設定します。1 つ以上の条件を設定し、それらの間の論理関係を設定します。この設定を再利用するには、[テンプレートとして保存] をクリックします。パラメーターの詳細については、「トリガー設定パラメーター」をご参照ください。 |
| 既存のテンプレートのインポート | [既存のテンプレートのインポート] をクリックします。ダイアログボックスで、トリガーテンプレートを選択し、[OK] をクリックします。トリガーテンプレートの作成については、「トリガーテンプレートの設定」をご参照ください。 |
処理設定
ポリシーがトリガーされると、SASE は以下の応答アクションの 1 つ以上を適用します:
| 操作 | 説明 |
|---|---|
| アプリによる内部ネットワークへの接続を禁止 | SASE アプリが内部ネットワークへの接続を開始するのをブロックします。SASE で設定されたネットワークアクセスポリシーが必要です。 警告 SASE アプリバージョン 4.7.0 以降が必要です。 |
| ソフトウェアの使用を禁止 | 従業員が指定されたソフトウェアを使用するのを防ぎます。対象となるデバイスにのみ適用されます。 |
| オフィスネットワークへの接続を禁止 | デバイスがオフィスネットワークに接続するのをブロックします。SASE で設定されたネットワークアクセスポリシーが必要です。ネットワークアクセスポリシーを持つユーザーまたはデバイスの場合、制限は次回の接続時に有効になります。 |
| アクセスコントロールのダウングレード | 非準拠ユーザーの権限をダウングレードします。事前にダウングレードポリシーを設定する必要があります。 |
通知と監査
| オプション | 説明 |
|---|---|
| 監査 | 応答および回復操作を記録します。[ログ監査] でログを表示します。詳細については、「応答プロセスの表示」をご参照ください。 |
| ユーザーへのクライアント内通知 | ポリシーがトリガーされたときにポップアップ通知を送信します。ポップアップのタイトルと内容を中国語と英語の両方で設定します。通知が表示されると、SASE クライアントは強制的にログオフされます。 |
| システム管理者への CloudMonitor 通知 | 応答イベントを CloudMonitor に配信し、システム管理者にアラートを送信します。 |
復元方法
ポリシーがトリガーされた後、影響を受けるユーザーまたはデバイスがどのように回復するかを設定します:
| メソッド | 説明 |
|---|---|
| 修正後の自動復元 | 次回のポリシーチェック時にデバイスまたはユーザーがトリガー条件を満たさなくなった場合、応答を自動的に回復します。 |
| 認証と報告後の復元 | SASE クライアントは強制的にログオフされます。ユーザーは再度ログインしてアクセスを再開できます。[報告有効時間] を設定します。この期間内は動的ポリシーは再度トリガーされません。デフォルトの [認証方法] は [再ログイン] です。 |
例:手動で設定されたトリガーポリシー
次の例は、SASE クライアントのバージョンが v4.5.1 より前の場合、またはオフィスデバイスで QQ アプリケーションが検出された場合にトリガーされる動的ポリシーを示しています。
| トリガー条件 | 論理演算子 | 値 |
|---|---|---|
| SASE クライアントバージョン | より小さい | v4.5.1 |
| デバイスソフトウェア情報 | 次のいずれかを含む |
2 つの条件は OR 関係を使用しており、いずれかの条件が満たされるとポリシーがトリガーされます。
トリガー設定パラメーター
ポリシーの管理
ポリシーを作成すると、動的ポリシーリストに表示されます。SASE は、設定に基づいてポリシーに一致するデバイスに応答を適用します。
| 操作 | 方法 |
|---|---|
| フィルター | [ポリシー名] でリストをフィルタリングします。 |
| 編集 | [詳細] をクリックして、ポリシー設定を表示または変更します。 |
| 削除 | [削除] をクリックしてポリシーを削除します。複数のポリシーを選択して一括で削除します。 |
| 有効化または無効化 | [ステータス] 列のスイッチをクリックして、ポリシーを有効または無効にします。 |
次のステップ
CloudMonitor に報告された SASE プロダクトイベントを表示するには、「システムイベントの表示」をご参照ください。