本文介紹從購買到使用辦公安全平臺 SASE(Secure Access Service Edge)全流程,幫助您快速了解SASE。
適用對象
首次使用SASE的用戶。
快速了解SASE
什么是SASE
辦公安全平臺基于阿里云分布全國海量的邊緣節點與專線接入網絡,基于零信任理念,將安全能力下沉至邊緣,為多分支或門店、遠程和移動辦公場景的企業客戶,提供即開即用的遠程零信任訪問、內網訪問行為審計、辦公數據保護、辦公網準入以及辦公應用加速等能力。具體信息,請參見什么是辦公安全平臺。
了解SASE各版本支持的能力
目前SASE只支持包年包月版(預付費)方式,可以參考下表選擇適合的SASE版本。如果您想了解更詳細的計費信息(如計費方式、計費項),請參見辦公安全平臺計費概述。
版本名稱 | 能力說明 |
內網訪問安全 (VPN版) | SASE內網訪問安全(VPN版),具備零信任VPN,滿足員工遠程訪問云上或線下企業辦公。適用企業員工人數小于100,辦公帶寬不超過10 Mbps的企業。 |
內網訪問安全 (基礎版) | SASE內網訪問安全(基礎版),具備零信任VPN,滿足員工遠程訪問云上或線下企業辦公。適用企業員工人數大于100,辦公帶寬需根據實際情況購買的企業。 |
內網訪問安全 (高級版) | SASE內網訪問安全(高級版),具備零信任VPN,滿足員工遠程訪問云上或線下企業辦公、辦公區網絡準入、全球化辦公的能力。 |
互聯網訪問安全 (辦公數據保護版) | 互聯網訪問安全(辦公數據保護版),基于Cloud DLP的產品架構,滿足企業對辦公數據進行即時的識別、監控與保護。 |
了解SASE各功能的配置流程
前提條件
企業接入SASE的第一步,需要先配置企業的身份源和用戶組的配置。具體操作,請參見對接LDAP身份源、配置用戶組。
SASE支持第三方和自建的身份認證系統,該功能目的主要是為企業員工提供身份認證功能,企業員工可以通過分配的賬號和密碼口令登錄 SASEApp進行認證。目前支持對接的第三方身份源包含LDAP、釘釘、企業微信、飛書、IDaaS身份源,您也可以使用SASE的自定義身份源來管理企業的組織架構。
內網訪問安全配置流程
基于軟件定義邊界SDP(Software Defined Perimeter)技術,打造SaaS化零信任網絡訪問功能。在不需暴露公網地址和改造企業原有網絡架構的情況下,內網訪問可以指定應用,管控訪問權限。
步驟一:配置內網業務應用資源
企業辦公應用是為企業員工辦公所使用的內部Web應用服務、服務器或數據庫等IT資源,無需企業員工配置公網地址。企業員工需使用已安裝SASE App的辦公設備,并通過身份與安全策略校驗,便可以訪問對應的局域網應用或資源。具體操作,請參見配置辦公應用。
步驟二:打通業務應用網絡
您需要根據企業的業務部署情況選擇網絡打通的解決方案。
業務部署環境 | 解決方案 | 配置環境準備 |
企業的業務資源部署在阿里云上 | 通過網絡配置功能實現指定阿里云VPC資源與SASE終端用戶的網絡互通。 在頁面,開啟目標業務服務器所在VPC的網絡打通開關。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里云環境(例如AWS、騰訊云等),且業務組網已經部署的阿里云VBR、CCN、VPN網關 | 通過阿里云提供的網絡通道專線、SAG、IPsecVPN,實現SASE終端訪問非阿里云環境的業務資源。 在頁簽,配置回源VPC并開啟網絡打通開關即可。 | 辦公電腦要求:
|
企業的業務資源部署在非阿里云環境 | SASE提供連接器(connector)功能與您的非阿里云網絡環境組網連接,實現使用SASE App訪問非阿里云環境的業務。 該方式不需要依賴其他網絡產品即可實現業務組網的訪問。 在頁簽,手動添加SASE連接器,然后執行命令部署連接器并確保已開啟連接器實例開關。 | 辦公電腦要求:
本地連接器安裝部署的服務器要求:
|
步驟三:創建零信任訪問策略
零信任策略幫助您管控企業員工、企業合作伙伴對應用和資源的訪問權限。創建零信任策略的過程,就是將企業用戶組和業務應用進行資源權限劃分,系統默認會有一條禁止所有訪問的策略,您需要配置放行策略,將不同的資源分配給不同的用戶組。具體操作,請參見配置零信任策略。
步驟四:企業用戶登錄SASE App
企業用戶使用系統分配的賬號和密碼登錄SASE App,并連接內網。此時,企業用戶的內網訪問會根據您的配置策略受限。具體操作,請參見安裝并登錄SASE App、開啟或關閉內網訪問的安全防護。
辦公網準入
辦公網準入功能采用EAP-TLS認證(證書認證)技術接入企業辦公網,無需您輸入賬戶名和密碼。使用SASE接入企業辦公網時,會根據您配置的IP白名單來確定SASE App用戶的接入權限。
步驟一:創建企業無線網絡實例
在SASE上創建企業無線網絡實例,通過EAP-TLS認證(證書認證)技術接入企業辦公網。
步驟二:獲取SASE網絡準入服務器信息
接入企業辦公網絡之前,您需要在企業NAC(即網絡接入控制器)上配置SASE Radius服務器(即網絡準入服務器)的區域、IP、UDP端口、密鑰等,建立SASE Radius服務器和企業NAC的網絡連接。
如果您需要對接入辦公網的企業員工進行網絡隔離和管理,可以配置入網權限,通過VLAN ID將不同用戶和設備的入網權限進行更細粒度的劃分,以滿足企業業務需要。
如果自動下發的證書不適用企業的業務場景,您可以修改證書的安裝范圍、有效期或者更換為企業的自定義證書。
辦公數據保護配置流程
辦公數據保護包含三個功能,即敏感文件檢測、設備外接管理和水印管理,您需要根據業務需求選擇合適的保護方案。如果您對企業的數據管控非常嚴格,建議您同時開啟三種保護方案。
通過檢測外發文件保障數據安全配置流程
如果您需要檢測企業員工通過多渠道(例如即時通訊、郵件通道等)傳輸內部文件是否存在敏感數據。您可以使用敏感文件檢測功能,設置敏感數據字典,并搭建數據模板,創建檢測策略。然后統計企業員工的外發數據信息。具體操作,請參見通過檢測外發文件保障數據安全。
步驟一:配置文件外發檢測策略
SASE敏感文件檢測功能通過自定義的關鍵字作為敏感文件的特征進行敏感內容的自動化識別,通過特征、數據類型、敏感定級組成敏感數據模板,再結合處置動作等條件形成檢測策略幫您識別企業員工外發的文件是否為敏感文件。
配置SASE檢測策略步驟如下:
創建敏感數據字典,即設定敏感內容的識別特征。
根據敏感數據字典搭建數據模板。
創建檢測策略關聯合適的數據模板,包括設定策略下發的對象、檢測通道、處置動作。
步驟二:查看敏感文件檢測統計結果
策略配置完成后,辦公數據保護功能會自動檢測企業員工傳輸的文件,并根據檢測結果為您分析最近30天、7天、24小時觸發的敏感文件外發行為和異常事件行為。
敏感文件檢測可幫您檢測企業員工外發小于等于30 MB的敏感文件,并對觸發Top 5的敏感文件類型及其占比進行統計。
異常事件可幫您記錄企業員工外發文件大于30 MB、通過外接設備拷貝的文件、同一用戶外發文件綜合超過1 GB的行為,但是文件不會被檢測,需要重點關注異常事件,手動檢測文件是否涉及敏感信息。
通過管理外接設備保障數據安全配置流程
如果您需要對企業員工的外接設備(例如U盤、打印機、光驅等)檢測是否傳輸敏感數據。可以使用外接設備管理功能,為指定的外接設備創建禁用策略。具體操作,請參見通過管理外接設備保障數據安全。
步驟一:配置外接設備的管控策略
您可以設置生效的用戶組以及Windowns和macOS系統的外接設備的管控策略。
步驟二:查看敏感文件檢測統計結果
如果您配置的U盤及USB存儲為讀寫使用,當企業員工通過U盤或者USB傳輸內部文件時,會觸發敏感行為檢測,并根據檢測結果為您分析最近30天、7天、24小時的數據。
通過管理水印保證數據安全配置流程
如果您需要對屏幕和打印數據開啟水印配置,保障辦公數據安全。可以使用水印管理功能,為指定的企業用戶的屏幕和打印數據開啟水印模式。具體操作,請參見通過管理水印保障數據安全。
步驟一:配置水印的管控策略
您可以設置生效的用戶組以水印的配置。當前支持對屏幕水印和打印水印進行自定義配置。
步驟二:查看敏感文件檢測結果
如果企業員工有打印操作,會觸發敏感行為檢測。辦公數據保護功能會自動檢測企業員工打印的文件,并根據檢測結果為您分析最近30天、7天、24小時的數據。
開發者工具
如果您熟悉網絡服務協議和一種以上編程語言,推薦您調用API管理您的云上資源和開發自己的應用程序。具體操作,請參見API概覽。
OpenAPI能根據需要動態生成SDK代碼功能,便于您簡單便捷使用SDK。
反饋與建議
如果在使用辦公安全平臺過程中,有任何疑問和建議,您可以通過以下方式反饋并獲取技術支持,獲得更優質的服務和更好的產品體驗。