全部產品
Search

搜尋本產品

    Secure Access Service Edge:SASE代碼外發管控最佳實務

    文件中心

    Secure Access Service Edge:SASE代碼外發管控最佳實務

    更新時間:Mar 22, 2025

    本文介紹如何通過SASE的敏感性資料檢測、即時阻斷、傳輸通道管控、智能審計和許可權管理,有效管控代碼外發行為,保障企業核心資產安全。

    情境樣本

    某企業為保護核心代碼資產,同時滿足不同業務情境的需求,決定對代碼外發行為實施分級管控,以滿足不同類型的代碼外發行為,具體分為以下三類:

    1. Git渠道:嚴格管控Git渠道(如雲效Codeup)進行的代碼外發行為。對於可信任代碼倉庫可添加白名單。配置白名單後,SASE不再對該代碼倉庫的外發行為進行管控或攔截。

    2. 非Git渠道:對指定來源的渠道代碼外發進行管控。

    3. 其他類型:針對非指定來源的代碼外發,僅進行日誌審計。

    功能描述

    通過不同管控措施,可以有效保護資料的安全性,具體措施如下:

    • Git渠道代碼管控:

      • 全量阻斷:對Git渠道代碼倉庫的外發行為進行即時攔截。

      • 審批機制:高風險外發操作需經過審批次程序,審批通過後方可執行。

      • 審計記錄:所有操作均被記錄至審計日誌,確保可追溯性。

      • 代碼倉庫白名單:對於已信任的Git渠道代碼倉庫,配置白名單。

    • 非Git渠道代碼管控

      • 智能阻斷:對從指定代碼倉庫下載或匯出的代碼外發行為進行即時攔截。

      • 審批機制:對於指定來源的代碼倉庫外發行為需經過審批次程序,審批通過後方可執行。

      • 審計記錄:所有操作均被記錄至審計日誌,確保可追溯性。

    • 其他類型代碼:僅進行審計記錄。

    前提條件

    配置審批次程序

    用於對代碼外發行為配置策略時選擇審批次程序,審批通過後方可執行代碼外發。

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇核准中心 > 流程管理,單擊创建流程

    3. 创建审批流程面板中,按照如下內容配置審批次程序,並單擊確定

      image

    配置代碼外發策略

    為實現代碼外發行為的精細化分級管控,您需要基於不同代碼類型的特點,配置差異化的多重外發策略,以滿足不同代碼類型在外發時的安全需求。

    配置Git渠道外發攔截策略

    為確保Git渠道代碼倉庫的外發行為安全可控,需通過即時攔截機制對外發操作進行管控,所有外發請求必須經過審批次程序,審批通過後方可執行。對於已信任的Git代碼倉庫可添加白名單,配置白名單後,SASE不再對該代碼倉庫的外發行為進行管控或攔截。

    配置外發攔截策略

    1. 在左側導覽列,選擇辦公資料保護 > 策略中心 > 外发管理頁簽,並單擊建立策略

      image

    2. 按照如下內容配置,其他配置項保持預設即可,並單擊確定

      配置項

      說明

      策略名稱

      配置策略名稱稱。

      風險等級

      選擇极高

      動作

      選擇拦截并提示

      阻断类型

      選擇全量阻断

      傳輸通道

      選擇Git。

      生效範圍

      設定生效使用者組。可添加多個使用者組。

      審批流配置

      選擇支持员工报备审批。並在選擇審批次程序下拉式清單中選擇自訂的審批次程序。

      弹窗提示配置

      設定攔截代碼外發的提示資訊。支援設定中文和英文兩種提示資訊。

    配置通道白名單

    Git渠道的代碼倉庫可以配置白名單,SASE將不再對其外發行為進行管控或攔截。

    1. 在左側導覽列,選擇辦公資料保護 > 策略中心 > 通道白名单 > 代码仓库,單擊添加

      image

    2. 添加白名单面板中,配置Git渠道代码仓库地址。並單擊確定

    配置指定渠道外發攔截策略

    為實現指定來源的代碼倉庫外發策略,您需依次配置資料來源、檔案識別規則,並建立攔截策略。

    步驟一:配置資料來源

    您可以配置多個資料來源,統一對代碼倉庫進行管控。

    1. 在左側導覽列,選擇辦公資料保護 > 分类分级 > 資料元素 > 数据来源,單擊新增应用

      image

    2. 新增应用面板,按照如下內容,配置應用。並單擊確定

      配置項

      說明

      應用程式名稱

      配置應用程式名稱。

      應用地址

      設定代碼倉庫URL和檔案路徑。單擊添加設定多條應用地址。參考如下配置。

      • URL:codeup.aliyun.com

      • 路徑:depot/project(專案檔路徑)

    步驟二:建立識別規則

    識別規則用於檢測來自自訂的資料來原始碼,在外發操作時進行管控或攔截。

    1. 分类分级 > 识别规则頁簽中,單擊新建 > 新建分类

      image

    2. 新建分类對話方塊中設定分類名稱,並單擊確定

    3. 單擊新建 > 新建规则,在新建规则面板中,按照如下內容配置,並單擊確定

      image

    步驟三:建立代碼外發攔截策略

    1. 在左側導覽列,選擇辦公資料保護 > 策略中心

    2. 外发管理頁簽,單擊建立策略

    3. 建立策略面板中,根據如下內容配置策略,其他配置保持預設即可,並單擊確定

      配置項

      說明

      策略名稱

      配置策略名稱稱。

      風險等級

      選擇极高

      動作

      • 動作:選擇拦截并提示

      • 阻断类型:選擇智能阻断

      数据识别规则配置

      選擇自訂的資料來源的代碼的識別規則。

      傳輸通道

      根據實際業務需要,配置檢測代碼外發的傳輸通道。

      生效範圍

      設定生效使用者組。可添加多個使用者組。

      審批流配置

      選擇支持员工报备审批。並在選擇審批次程序下拉式清單中選擇自訂的審批次程序。

      弹窗提示配置

      設定攔截檔案外發的提示資訊。支援設定中文和英文兩種提示資訊。

    配置其他類型代碼外發審計策略

    對於非Git渠道或非指定渠道的代碼外發行為,僅進行審計記錄。

    1. 在左側導覽列,選擇辦公資料保護 > 策略中心

    2. 外发管理頁簽,單擊建立策略

    3. 建立策略面板中,根據如下內容配置策略,其他配置保持預設即可,並單擊確定

      配置項

      說明

      策略名稱

      配置策略名稱稱。

      風險等級

      選擇

      動作

      動作:選擇只審計

      数据识别规则配置

      選擇自訂的資料來源的代碼的識別規則。

      傳輸通道

      根據實際業務需要,配置檢測代碼外發的傳輸通道。

      生效範圍

      設定生效使用者組。可添加多個使用者組。

      審批流配置

      選擇支持员工报备审批。並在選擇審批次程序下拉式清單中選擇自訂的審批次程序。

      弹窗提示配置

      設定攔截檔案外發的提示資訊。支援設定中文和英文兩種提示資訊。

    查看審計日誌

    所有的檔案外發行為都會記錄日誌,您可以在日誌審計中查看外發操作及處置動作。

    1. 在左側導覽列,選擇日誌分析 > 日誌審計

    2. 敏感檔案檢測頁簽中,查詢企業員工外發的敏感檔案日誌。

      單擊詳情,可查看指定檔案的檔案資訊、關鍵資訊、敏感報文、命中策略、辦公終端、外發途徑、帳號資訊等。

      image

    相關文檔