零信任策略功能主要是帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和办公应用进行资源权限划分。本文介绍如何配置零信任策略。
为什么要配置零信任策略
当您将企业办公应用添加到SASE内网应用中,基于对所有应用采用零信任的原则,SASE默认创建一条禁止所有访问的策略。此时,您需要配置放行策略,将不同的资源分配给不同的用户组。
前提条件
配置零信任策略
登录办公安全平台控制台。
在左侧导航栏,选择 。
在零信任策略页面,单击添加策略。
在添加策略面板,根据如下参数说明设置基础信息,然后单击确定。
您可以根据实际业务需要,创建多条策略。
不同版本可创建策略数量不同 :轻量版默认可创建200条策略;基础版默认可创建500条策略;高级版默认可创建1000条策略。
配置项
说明
策略名称
添加零信任策略的名称。
长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。
优先级
设置策略的优先级。最高优先级为1,新创建策略的优先级取值上限即当前账号下配置的零信任策略条数+1。例如,当前账号已配置的零信任策略条数为17,此时新创建的策略优先级的取值范围:1~18。
在策略存在冲突的情况下,优先级高的策略生效。
动作
设置策略的访问权限。取值:
允许访问:表示该条策略是允许用户或者终端访问指定应用。
禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。
生效用户
设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。
单击添加,在用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见配置用户组。
已选应用
设置策略生效用户组允许访问的应用。
单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。
安全基线
选择满足企业办公的安全基线模板。具体信息,请参见创建安全基线。
策略状态
为策略设置生效状态。
编辑和删除策略
您可以根据实际情况,进行如下操作:
编辑:单击编辑,在编辑面板,修改策略内容。
删除:单击删除,可删除指定策略。
重要删除指定策略后,可能会导致企业员工访问应用不符合办公安全的要求。请谨慎操作。
相关文档
如果您想快速体验内网访问安全的配置,请参见如何快速搭建安全的内网办公环境。
如果企业员工在您可信的区域内办公,您无需对员工访问办公应用的流量进行分析和审计时,您可以配置可信办公区。具体操作,请参见配置办公区识别。