本文介紹如何結合SASE實現大模型零信任安全訪問。涵蓋開通執行個體、配置身份源與使用者組、添加AI服務、建立零信任策略及驗證配置等步驟,旨在限制辦公終端上的 Agent 對大模型的訪問,保障企業資料安全。
適用情境
希望限制辦公終端上的 Agent 訪問大模型。
配置步驟
步驟一:開通SASE執行個體
SASE支援免費試用7天,請參見SASE開通。更多計費說明,請參見辦公安全平台計費概述。
步驟二:配置身份源
身份源主要為企業員工提供身份認證功能,SASE從身份源同步處理的使用者資訊並完成使用者認證。
下文以自訂身份源配置為例。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在身份同步頁簽,定位到自訂身份源,單擊操作列的編輯,根據設定精靈配置自訂身份源。
詳細資料請查看對接自訂身份源。
步驟三:配置使用者組
配置策略時,需要指定該策略生效的使用者組。
在左側導覽列,選擇。
在用户组管理頁簽中,單擊添加使用者組。
在添加使用者組面板中,配置使用者組的組織架構、賬戶名稱、郵箱、手機號等資訊,完成配置。
詳細資料請查看使用者組管理。
步驟四:配置 AI 應用
在左側導覽列,選擇 Agent 辦公安全 > AI服务管理。
在AI服务管理頁面,單擊添加AI服务。
填寫以下配置資訊:
服务名称:AI 服務名稱,用於控制台展示。
大模型供应商:選擇大模型供應商。
服务协议:選擇大模型協議。部分大模型供应商支援多種協議。
服务域名:選擇大模型協議後,自動填滿對應大模型供应商的公網網域名稱。如使用其它供應商,可修改為對應供應商的網域名稱。
API-KEY:大模型的 API Key。
自定义代理地址前缀:可設定代理服務網域名稱的首碼。需將 agent 中的大模型 baseUrl 修改為代理服務網域名稱,通過SASE代理訪問大模型的服务域名。
模型配置:配置模型 id。支援 * 和 ? 匹配,* 匹配零個或多個任一字元。 ? 匹配單個任一字元。
完成配置後,可在AI服务管理頁面查看到添加的 AI 服務資訊。
步驟五:建立零信任策略
在左側導覽列,選擇。
在零信任策略頁簽中,單擊添加策略。
在新增策略面板中,策略詳情下添加使用者和AI服務,完成策略配置。
詳細資料可查看配置零信任策略。
步驟六:驗證配置是否成功
開啟您已安裝的SASE App。
輸入企業認證標識。企業認證標識可在辦公安全平台控制台左側導覽列的設定頁面擷取。
使用郵箱或者手機接收到的初始帳號名稱和密碼進行登入。
使用 Agent 訪問指定的大模型進行測試。
預期結果:
零信任策略中允許存取的使用者可正常使用 Agent 訪問大模型,禁止的使用者無法使用 Agent 訪問大模型。
如果禁止的使用者也可以正常訪問大模型,請檢查 Agent 中是否將大模型的 basrUrl 指向了 SASE 代理網域名稱。