零信任策略功能主要是幫助您管控企業員工、企業合作伙伴對應用和資源的訪問權限。創建零信任策略的過程,就是將企業用戶組和辦公應用進行資源權限劃分。本文介紹如何配置零信任策略。
為什么要配置零信任策略
當您將企業辦公應用添加到SASE內網應用中,基于對所有應用采用零信任的原則,SASE默認創建一條禁止所有訪問的策略。此時,您需要配置放行策略,將不同的資源分配給不同的用戶組。
前提條件
配置零信任策略
登錄辦公安全平臺控制臺。
在左側導航欄,選擇。
在零信任策略頁面,單擊添加策略。
在添加策略面板,根據如下參數說明設置基礎信息,然后單擊確定。
您可以根據實際業務需要,創建多條策略。
不同版本可創建策略數量不同 :輕量版默認可創建200條策略;基礎版默認可創建500條策略;高級版默認可創建1000條策略。
配置項
說明
策略名稱
添加零信任策略的名稱。
長度為2~100個字符,支持輸入漢字、字母、數字、中劃線(-)和下劃線(_)。
優先級
設置策略的優先級。最高優先級為1,新創建策略的優先級取值上限即當前賬號下配置的零信任策略條數+1。例如,當前賬號已配置的零信任策略條數為17,此時新創建的策略優先級的取值范圍:1~18。
在策略存在沖突的情況下,優先級高的策略生效。
動作
設置策略的訪問權限。取值:
允許訪問:表示該條策略是允許用戶或者終端訪問指定應用。
禁止訪問:表示該條策略是拒絕用戶或者終端訪問指定應用。
生效用戶
設置策略生效的用戶組,即零信任策略針對指定用戶組的終端設備生效。SASE對命中策略的訪問行為進行相應的處理,即放行或者攔截該訪問行為。
單擊添加,在用戶組頁簽,選擇生效的用戶組。如果當前用戶組不能滿足您的需求,可以在自定義用戶組頁簽重新配置用戶組。關于如何配置用戶組,請參見配置用戶組。
已選應用
設置策略生效用戶組允許訪問的應用。
單擊添加,在標簽頁簽,根據配置的標簽選擇指定的應用。您也可以在應用頁簽,直接選擇應用。
安全基線
選擇滿足企業辦公的安全基線模板。具體信息,請參見創建安全基線。
策略狀態
為策略設置生效狀態。
編輯和刪除策略
您可以根據實際情況,進行如下操作:
編輯:單擊編輯,在編輯面板,修改策略內容。
修改優先級:單擊優先級列的圖標,修改策略優先級。
策略狀態:單擊策略狀態列的開關按鈕,開啟或關閉策略。
刪除:單擊刪除,可刪除指定策略。
批量刪除:單擊復選框選擇需要刪除的策略,單擊列表下方刪除,可批量刪除策略。
重要刪除指定策略后,可能會導致企業員工訪問應用不符合辦公安全的要求。請謹慎操作。
相關文檔
如果您想快速體驗內網訪問安全的配置,請參見如何快速搭建安全的內網辦公環境。
如果企業員工在您可信的區域內辦公,您無需對員工訪問辦公應用的流量進行分析和審計時,您可以配置可信辦公區。具體操作,請參見配置辦公區識別。