您可以通过设置零信任策略,对企业员工访问内网的行为进行精细化的管控。本文介绍如何配置零信任策略。

背景信息

通过零信任策略,您可以对访问企业内网应用的员工、终端设备进行检测和管控。可创建的策略数量不限。

前提条件

  • 已添加需要管控的应用。相关内容,请参见添加应用
  • 已添加策略生效的用户组。相关内容,请参见添加用户组
  • 已配置可信终端属性。相关内容,请参见设置可信终端

配置策略

  1. 登录云安全访问服务控制台
  2. 在左侧导航栏,单击内网访问 > 零信任策略
  3. 零信任策略页面,单击添加策略
  4. 添加策略对话框中,配置策略,包括策略的基本信息、该策略管控的应用、策略生效的范围。添加策略配置
    您需要执行以下操作:
    1. 基础配置向导页面,设置策略的基本信息。

      关键配置项说明:动作可选允许访问禁止访问两种类型。选择允许访问时,表示满足策略中关联的用户组身份和可信终端配置的办公终端允许访问策略中指定的应用;选择拒绝访问,表示满足策略中关联的用户组身份和可信终端配置的办公终端被拒绝访问策略中指定的应用。

    2. 单击下一步
    3. 选择应用向导页面,设置策略管控的应用类型。配置项说明:
      • 选择类型:选择内网应用。零信任访问策略仅针对使用可信终端访问的内网应用生效。
      • 选择应用:对企业员工访问指定的应用进行管控。
    4. 单击下一步
    5. 生效范围向导页面,设置策略生效的范围,即零信任策略针对指定的用户组和终端设备生效。CSAS对命中策略的内网访问行为进行相应的处理,即放行该访问或拦截该访问。配置项说明:
      • 用户组:该策略对指定用户组中的所有用户生效。
      • 可信终端属性:该策略对指定的终端设备生效。
      • 优先级:设置策略的优先级。设置范围为1~5,最高优先级为1。在策略存在冲突的情况下,优先级高的策略生效。
      • 状态:策略完成创建后,开启还是禁用该策略。
  5. 单击确定,完成策略的创建。

如果需要修改已创建的策略,您可以在零信任策略页面,单击操作列的详情,在详情页面对策略的内容进行修改。

后续操作

策略创建完成后,如果企业员工的内网访问行为命中该策略,您可以在内网审计查看具体的访问行为记录。