本文介紹從購買到使用Secure Access Service Edge (SASE)全流程,協助您快速瞭解SASE。
適用對象
首次使用SASE的使用者。
快速瞭解SASE
什麼是SASE
辦公安全平台基於阿里雲分布全國海量的邊緣節點與專線接入網路,基於零信任理念,將安全能力下沉至邊緣,為多分支或門店、遠程和隨處工作情境的企業客戶,提供即開即用的遠程零信任訪問、內網訪問行為審計、辦公資料保護、辦公網准入以及辦公應用加速等能力。具體資訊,請參見什麼是辦公安全平台。
瞭解SASE各版本支援的能力
目前SASE只支援訂用帳戶版(預付費)方式,可以參考下表選擇適合的SASE版本。如果您想瞭解更詳細的計費資訊(如計費方式、計費項目),請參見辦公安全平台計費概述。
版本名稱 | 能力說明 |
內網訪問安全 (基础版) | SASE內網訪問安全(基础版),具備零信任VPN,滿足員工遠端存取雲上或線下企業辦公。適用企業員工人數大於100,辦公頻寬需根據實際情況購買的企業。 |
內網訪問安全 (高级版) | SASE內網訪問安全(高级版),具備零信任VPN,滿足員工遠端存取雲上或線下企業辦公、辦公區Network Access Control、全球化辦公的能力。 |
互連網訪問安全 (办公数据保护版) | 互連網訪問安全(办公数据保护版),基於Cloud DLP的產品架構,滿足企業對辦公資料進行即時的識別、監控與保護。 |
終端防護 (防病毒版) | 終端防護(防病毒版),整合阿里雲惡意檔案檢測平台,提供檔案病毒即時防禦與終端安全警示事件的即時檢測功能。 |
瞭解SASE各功能的配置流程
前提條件
企業接入SASE的第一步,需要先配置企業的身份源和使用者組的配置。具體操作,請參見對接LDAP身份源、使用者組管理。
SASE支援第三方和自建的身份認證系統,該功能目的主要是為企業員工提供身份認證功能,企業員工可以通過分配的帳號和密碼口令登入 SASEApp進行認證。目前支援對接的第三方身份源包含LDAP、DingTalk、企業微信、飛書、IDaaS身份源,您也可以使用SASE的自訂身份源來管理企業的組織架構。
內網訪問安全配置流程
基於軟體定義程式邊界SDP(Software Defined Perimeter)技術,打造SaaS化零信任網路訪問功能。在不需暴露公網地址和改造企業原有網路架構的情況下,內網訪問可以指定應用,管控存取權限。
步驟一:配置內網業務應用資源
企業辦公應用是為企業員工辦公所使用的內部Web應用服務、伺服器或資料庫等IT資源,無需企業員工配置公網地址。企業員工需使用已安裝SASE App的辦公裝置,並通過身份與安全性原則校正,便可以訪問對應的區域網路應用或資源。具體操作,請參見配置辦公應用。
步驟二:打通業務應用網路
您需要根據企業的業務部署情況選擇網路打通的解決方案。
業務部署環境 | 解決方案 | 配置環境準備 |
企業的業務資源部署在阿里雲上 | 通過網路設定功能實現指定阿里雲VPC資源與SASE終端使用者的網路互連。 在頁面,開啟目標商務服務器所在VPC的網路打通開關。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里雲環境(例如AWS、騰訊雲等),且業務組網已經部署的阿里雲VBR、CCN、VPN網關 | 通過阿里雲提供的網路通道專線、SAG、IPsecVPN,實現SASE終端訪問非阿里雲環境的業務資源。 在頁簽,配置回源VPC並開啟網路打通開關即可。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里雲環境 | SASE提供連接器(connector)功能與您的非阿里雲網路環境組網串連,實現使用SASE App訪問非阿里雲環境的業務。 該方式不需要依賴其他網路產品即可實現業務組網的訪問。 在頁簽,手動添加SASE連接器,然後執行命令部署連接器並確保已開啟連接器執行個體開關。 | 辦公電腦要求:
本地連接器安裝部署的伺服器要求:
|
步驟三:建立零信任存取原則
零信任策略協助您管控企業員工、企業共同作業夥伴對應用和資源的存取權限。建立零信任策略的過程,就是將企業使用者組和業務應用進行資源許可權劃分,系統預設會有一條禁止所有訪問的策略,您需要配置允許存取策略,將不同的資源分派給不同的使用者組。具體操作,請參見配置零信任策略。
步驟四:企業使用者登入SASE App
企業使用者使用系統分配的帳號和密碼登入SASE App,並串連內網。此時,企業使用者的內網訪問會根據您的配置策略受限。具體操作,請參見安裝並登入SASE App、開啟或關閉內網訪問的安全防護。
辦公網准入
辦公網准入功能採用EAP-TLS認證(認證認證)技術接入企業辦公網,無需您輸入賬戶名和密碼。使用SASE接入企業辦公網時,會根據您配置的IP白名單來確定SASE App使用者的接入許可權。
步驟一:建立企業無線網路執行個體
在SASE上建立企業無線網路執行個體,通過EAP-TLS認證(認證認證)技術接入企業辦公網。
步驟二:擷取SASENetwork Access Control伺服器資訊
接入企業辦公網路之前,您需要在企業NAC(即網路接入控制器)上配置SASE Radius伺服器(即Network Access Control伺服器)的地區、IP、UDP連接埠、密鑰等,建立SASE Radius伺服器和企業NAC的網路連接。
如果您需要對接入辦公網的企業員工進行網路隔離和管理,可以配置入網許可權,通過VLAN ID將不同使用者和裝置的入網許可權進行更細粒度的劃分,以滿足企業業務需要。
如果自動下發的認證不適用企業的業務情境,您可以修改認證的安裝範圍、有效期間或者更換為企業的自訂認證。
辦公資料保護配置流程
辦公資料保護包含三個功能,即敏感檔案檢測、裝置外接管理和浮水印管理,您需要根據業務需求選擇合適的保護方案。如果您對企業的資料管控非常嚴格,建議您同時開啟三種保護方案。
通過檢測外發檔案保障資料安全配置流程
如果您需要檢測企業員工通過多渠道(例如即時通訊、郵件通道等)傳輸內部檔案是否存在敏感性資料。您可以使用敏感檔案檢測功能,設定敏感性資料字典,並搭建資料範本,建立檢測策略。然後統計企業員工的外發資料資訊。具體操作,請參見通過檢測外發檔案保障資料安全。
步驟一:設定檔外發檢測策略
SASE敏感檔案檢測功能通過自訂的關鍵字作為敏感檔案的特徵進行敏感內容的自動化識別,通過特徵、資料類型、敏感定級組成敏感性資料模板,再結合處置動作等條件形成檢測策略幫您識別企業員工外發的檔案是否為敏感檔案。
配置SASE檢測策略步驟如下:
建立敏感性資料字典,即設定敏感內容的識別特徵。
根據敏感性資料字典搭建資料範本。
建立檢測策略關聯合適的資料範本,包括設定策略下發的對象、檢測通道、處置動作。
步驟二:查看敏感檔案檢測統計結果
策略配置完成後,辦公資料保護功能會自動檢測企業員工傳輸的檔案,並根據檢測結果為您分析最近30天、7天、24小時觸發的敏感檔案外發行為和例外狀況事件行為。
敏感檔案檢測可幫您檢測企業員工外發小於等於30 MB的敏感檔案,並對觸發Top 5的敏感檔案類型及其佔比進行統計。
例外狀況事件可幫您記錄企業員工外發檔案大於30 MB、通過外接裝置拷貝的檔案、同一使用者外發檔案綜合超過1 GB的行為,但是檔案不會被檢測,需要重點關注例外狀況事件,手動檢測檔案是否涉及敏感資訊。
通過管理外接裝置保障資料安全配置流程
如果您需要對企業員工的外接裝置(例如隨身碟、印表機、光碟機等)檢測是否傳輸敏感性資料。可以使用外接裝置管理功能,為指定的外接裝置建立禁用策略。具體操作,請參見通過管理外接裝置保障資料安全。
步驟一:配置外接裝置的管控策略
您可以設定生效的使用者組以及Windowns和macOS系統的外接裝置的管控策略。
步驟二:查看敏感檔案檢測統計結果
如果您配置的隨身碟及USB儲存為讀寫使用,當企業員工通過隨身碟或者USB傳輸內部檔案時,會觸發敏感行為檢測,並根據檢測結果為您分析最近30天、7天、24小時的資料。
通過管理浮水印保證資料安全配置流程
如果您需要對螢幕和列印資料開啟浮水印配置,保障辦公資料安全。可以使用浮水印管理功能,為指定的企業使用者的螢幕和列印資料開啟浮水印模式。具體操作,請參見通過管理浮水印保障資料安全。
步驟一:配置浮水印的管控策略
您可以設定生效的使用者組以浮水印的配置。當前支援對螢幕浮水印和列印浮水印進行自訂配置。
步驟二:查看敏感檔案檢測結果
如果企業員工有列印操作,會觸發敏感行為檢測。辦公資料保護功能會自動檢測企業員工列印的檔案,並根據檢測結果為您分析最近30天、7天、24小時的資料。
反饋與建議
如果在使用辦公安全平台過程中,有任何疑問和建議,您可以通過以下方式反饋並擷取支援人員,獲得更優質的服務和更好的產品體驗。
智能線上:您可通過諮詢相關問題,也可擷取線上人工協助。
提交工單:您可通過,聯絡支援人員擷取協助。
文檔反饋:如果發現產品文檔的問題,如連結、內容和API錯誤等,您可以在文檔頁右側的懸浮菜單中單擊文檔反饋或直接選中存在問題的內容進行反饋。