办公安全平台SASE(Secure Access Service Edge)是阿里云一站式办公安全管控平台,帮助企业快速构建零信任内网访问和互联网访问的办公安全体系,并对企业的互联网办公行为进行管理与审计。本文介绍了办公安全平台的使用流程。

前提条件

已授予办公安全平台访问云资源的权限。具体操作,请参见授权SASE访问云资源

功能介绍

办公安全平台主要提供如下功能:
  • 内网访问

    内网访问是基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能。在不需暴露公网地址和改造企业原有网络架构的情况下,内网访问可以指定应用,管控访问权限。

    关于使用流程,请参见内网访问使用流程

  • 互联网访问

    互联网访问是基于阿里云全球威胁情报数据,为企业的互联网办公行为进行实时的安全防护、行为管理和行为审计。在遵守网络安全法的前提下,互联网访问功能支持保存访问的日志。

    关于使用流程,请参见互联网访问使用流程

  • 办公数据保护
    办公数据保护是从数据下载、外发等方面,保障企业办公的商业数据不遭受非法泄露。办公安全平台提供的办公数据保护包含如下功能:
  • 日志分析

    日志分析包含如下两个功能:

    • 日志审计

      日志审计功能帮助您实时审计您的网络流量,并为您对可疑流量进行相应的处理提供依据。

    • SLS日志

      SLS日志功能帮助您采集、存储接入到办公安全平台的Web访问和攻击防护日志,并基于阿里云日志服务,支持查询分析、统计图表、告警服务等功能,帮助您专注于分析,远离琐碎的查询和整理工作。

说明 如果您需要以RAM用户使用办公安全平台,请先为RAM用户配置相关权限。具体操作,请参见为RAM用户授权

内网访问使用流程

内网应用
步骤操作详细说明
1管理应用

内网应用:当您需要为企业员工配置办公所需要的局域网应用时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。

2(可选)配置可信终端通过配置可信终端,您可以根据业务安全等级定制可信终端的检测标准。
3
  1. 配置身份源
  2. 配置用户组
在创建零信任策略之前,您需要配置身份源和用户组。通过配置身份源,获取企业目录结构。配置后,您可以按照企业目录结构批量下发安全策略。

例如,您可以根据企业员工的工种配置用户组,然后按照用户组创建零信任策略,以便快速下发应用的访问控制策略。

说明 配置身份源时,系统不会读取您的员工信息。
4配置零信任策略通过配置零信任策略,帮助您管控企业员工或者企业合作伙伴对应用或资源的访问权限。当添加完应用或资源,您需要通过零信任策略对访问企业应用或者资源的员工、终端设备进行检测和管控。
5配置Web入侵防御通过配置Web入侵防御,帮助您保障访问企业内部的Web应用流量是安全可信的,并有效检测和防御内部员工或外部合作伙伴的恶意入侵行为。
6(可选)审计内网访问数据通过审计内网访问数据,实时了解企业员工或者合作伙伴的访问活动,及时发现违规访问的安全风险。

互联网访问使用流程

互联网
步骤操作详细说明
1
  1. 配置身份源
  2. 配置用户组
在配置策略之前,您需要配置身份源和用户组。通过配置身份源,获取企业目录结构。配置后,您可以按照企业目录结构批量下发安全策略。

例如,您可以根据企业员工的工种配置用户组,然后按照用户组创建策略,以便快速下发应用的访问控制策略。

说明 配置身份源时,系统不会读取您的员工信息。
2配置策略配置并开启互联网访问策略后,如果检测到命中策略的事件,会即刻阻断该访问流量。
3配置威胁防护通过配置威胁防护,对常见的互联网攻击行为进行威胁防护。您可以在威胁防护页面查看威胁扫描结果,并集中处理告警事件。
4管理上网行为通过行为管理,实时了解企业员工或者合作伙伴的访问活动,及时发现违规访问的安全风险。
说明 当您需要对某个用户的网络访问行为默认是安全行为时,可以通过配置白名单实现。更多信息,请参见(下线)配置白名单