云安全访问服务提供自定义安全基线的功能,方便您根据企业实际的情况,定制符合自身需求的办公终端访问合规性检测标准。

背景信息

SASE安全客户端可以实时采集指定的办公终端属性,通过配置安全基线模版可与内网访问的访问控制策略进行联动。只有满足安全基线配置的可信终端,才能连接企业内网。

操作步骤

  1. 登录云安全访问服务控制台
  2. 在左侧导航栏,选择终端管理 > 可信终端设置
  3. 单击添加可信终端属性,配置可信终端匹配策略。
    SASE安全客户端可以实时采集企业内网中办公终端的可信属性。支持的终端操作系统包括Windows、macOS、Android和iOS。添加终端可信属性组
    注意 在创建内网零信任策略时,需要绑定已有的终端属性组,对满足属性组配置的可信终端,访问企业内网的行为进行放行。关于创建内网零信任策略的详细内容,请参见配置零信任策略
    关键配置项说明:
    • 开启检测:检测指定的操作系统中是否有开启防火墙。该检测项需要手动开启。开启该检测项后,如果您企业的办公终端未开启系统防火墙,将无法访问零信任策略中指定的企业内网应用。
    • 终端防病毒软件:非必选项。检测客户端中是否有安装防病毒软件。添加该属性后,如果您企业的办公终端未安装此处指定的防病毒软件,将无法访问零信任策略中指定的企业内网应用。
    • WiFi名称:非必填项。添加您企业办公终端访问企业内网时使用的Wifi名称。添加该属性后,如果您企业的办公终端未通过此处指定的WiFi访问企业内网,将无法访问零信任策略中指定的企业内网应用。最多支持添加10个WiFi名称。
    • 进程名称源文件路径:非必填项。添加您企业办公终端设备中已安装的安全进程的名称和文件路径。添加该属性后,如果您企业的办公终端未安装此处指定的安全进程,将无法访问零信任策略中指定的企业内网应用。最多添加5个安全进程。
    • 文件:非必填项。添加您企业办公终端系统中特有的应用或程序文件,实现终端设备访问企业内网应用时,加强终端身份的验证。添加该属性后,如果您企业的办公终未安装此处指定的应用或程序,将无法访问零信任策略中指定的企业内网应用。最多添加5个文件。
  4. 单击完成
    完成后,创建的基线模板信息显示在安全基线列表中,SASE会对命中策略的终端访问行为按照您的设置进行处置。安全基线

    您可以根据实际情况,执行如下操作:

    • 编辑:单击详情,在详情面板,查看指定应用的信息,或者修改应用信息。
    • 删除:单击删除,删除指定应用。

后续步骤

您需要在配置零信任策略时,选择策略生效的可信终端。详细内容,请参见配置零信任策略