云安全访问服务SASE(Secure Access Service Edge)是阿里云一站式办公安全管控平台,帮助企业快速构建零信任内网访问和互联网访问的办公安全体系,并对企业的互联网办公行为进行管理与审计。本文介绍了云安全访问服务的使用流程。

前提条件

已授予云安全访问服务访问云资源的权限。具体操作,请参见授权SASE访问云资源

功能介绍

云安全访问服务主要提供如下功能:
  • 内网访问

    内网访问是基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能。在不需暴露公网地址和改造企业原有网络架构的情况下,内网访问可以指定应用,管控访问权限。

    关于使用流程,请参见内网访问使用流程

  • 互联网访问

    互联网访问是基于阿里云全球威胁情报数据,为企业的互联网办公行为进行实时的安全防护、行为管理和行为审计。在遵守网络安全法的前提下,互联网访问功能支持保存访问的日志。

    关于使用流程,请参见互联网访问使用流程

  • 办公数据保护
    办公数据保护是从数据下载、外发等方面,保障企业办公的商业数据不遭受非法泄露。云安全访问服务提供的办公数据保护包含如下功能:
  • 日志分析

    日志分析包含如下两个功能:

    • 日志审计

      日志审计功能帮助您实时审计您的网络流量,并为您对可疑流量进行相应的处理提供依据。

    • SLS日志

      SLS日志功能帮助您采集、存储接入到云安全访问服务的Web访问和攻击防护日志,并基于阿里云日志服务,支持查询分析、统计图表、告警服务等功能,帮助您专注于分析,远离琐碎的查询和整理工作。

说明 如果您需要以RAM用户使用云安全访问服务,请先为RAM用户配置相关权限。具体操作,请参见配置RAM权限

内网访问使用流程

内网访问流程
步骤 操作 详细说明
1 配置应用 云安全访问服务的内网访问功能支持以下两种应用:
  • 内网应用

    当您需要为企业员工配置办公所需要的局域网应用时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。

  • 公网应用

    当您需要为合作伙伴或承包商开放Web应用时,可以使用SASE提供的公网应用功能。企业合作伙伴或承包商通过浏览器与身份校验,便可以访问开放的Web应用。

2 (可选)配置可信终端 通过配置可信终端,您可以根据业务安全等级定制可信终端的检测标准。
3
  1. 配置IdP
  2. 配置用户组
在创建零信任策略之前,您需要配置IdP和用户组。通过配置IdP,获取企业目录结构。配置后,您可以按照企业目录结构批量下发安全策略。

例如,您可以根据企业员工的工种配置用户组,然后按照用户组创建零信任策略,以便快速下发应用的访问控制策略。

说明 配置IdP时,系统不会读取您的员工信息。
4 配置零信任策略 通过配置零信任策略,帮助您管控企业员工或者企业合作伙伴对应用或资源的访问权限。当添加完应用或资源,您需要通过零信任策略对访问企业应用或者资源的员工、终端设备进行检测和管控。
5 配置Web入侵防御 通过配置Web入侵防御,帮助您保障访问企业内部的Web应用流量是安全可信的,并有效检测和防御内部员工或外部合作伙伴的恶意入侵行为。
6 (可选)审计内网访问数据 通过审计内网访问数据,实时了解企业员工或者合作伙伴的访问活动,及时发现违规访问的安全风险。

互联网访问使用流程

互联网访问
步骤 操作 详细说明
1
  1. 配置IdP
  2. 配置用户组
在配置策略之前,您需要配置IdP和用户组。通过配置IdP,获取企业目录结构。配置后,您可以按照企业目录结构批量下发安全策略。

例如,您可以根据企业员工的工种配置用户组,然后按照用户组创建策略,以便快速下发应用的访问控制策略。

说明 配置IdP时,系统不会读取您的员工信息。
2 配置策略 配置并开启互联网访问策略后,如果检测到命中策略的事件,会即刻阻断该访问流量。您可以为以下类型的行为配置策略:
  • URL防护
  • 应用管控
  • 关键词过滤
3 配置威胁防护 通过配置威胁防护,对常见的互联网攻击行为进行威胁防护。您可以在威胁防护页面查看威胁扫描结果,并集中处理告警事件。
4 管理上网行为,包含如下功能: 通过行为管理和行为审计,实时了解企业员工或者合作伙伴的访问活动,及时发现违规访问的安全风险。
说明 当您需要对某个用户的网络访问行为默认是安全行为时,可以通过配置白名单实现。更多信息,请参见配置白名单