结合SASE实现阿里云控制台访问防护

更新时间:2025-02-08 09:46:44

本文介绍如何结合办公安全平台SASE(Secure Access Service Edge)实现阿里云控制台访问防护。

适用场景

配置访问策略实现仅允许通过办公终端登录阿里云控制台。

办公安全平台介绍

SASE是阿里云首个一站式办公安全管控平台,企业无需再投资复杂且昂贵的安全硬件设备,即可快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系。通过配置控制台访问策略,设置允许访问的IP地址,结合SASE固定出口IP,即可实现通过SASE对阿里云控制台访问进行管控与防护。

步骤一:配置访问策略

  1. 开通SASE实例

    SASE支持免费试用7天,参见SASE开通。更多计费说明,请参见办公安全平台计费概述

  2. 配置身份源

    SASE控制台配置企业对接的身份源信息,支持钉钉、微信、飞书、LDAP、IDaaS 等身份源登录。具体操作,请参见身份接入

  3. 配置零信任策略

    针对指定用户组配置零信任访问策略,帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和办公应用进行资源权限划分。具体操作,请参见配置零信任策略

  4. 下载登录SASE App

    在需要管控的终端设备上,使用对接的身份源登录SASE App。具体操作,请参见安装并登录SASE App

  5. 配置访问策略

    配置控制台访问策略,允许SASE出口IP访问。

    1. 使用阿里云主账号,在页面右上角账号栏中单击访问控制,配置RAM权限。

      image

    2. 在左侧导航栏选择权限管理 > 权限策略

    3. 权限策略页面中,单击创建权限策略

    4. 创建权限策略页面中,选择可视化编辑页签。

      1. 配置服务:设置服务控制台

      2. 添加条件:设置允许访问的IP地址为SASE对应的出口IP。

      具体操作,请参见创建自定义权限策略

      image

步骤二:为RAM用户授权

给对应RAM用户添加已创建的自定义权限策略,即可实现限制用户只能通过已登录SASE的办公终端设备才能访问阿里云控制台,从而增强访问安全性。具体操作,请参见通过RAM限制用户的访问IP地址

image

  • 本页导读 (1)
  • 适用场景
  • 办公安全平台介绍
  • 步骤一:配置访问策略
  • 步骤二:为RAM用户授权