本文介绍从购买到使用办公安全平台 SASE(Secure Access Service Edge)全流程,帮助您快速了解SASE。
适用对象
首次使用SASE的用户。
快速了解SASE
什么是SASE
办公安全平台基于阿里云分布全国海量的边缘节点与专线接入网络,基于零信任理念,将安全能力下沉至边缘,为多分支或门店、远程和移动办公场景的企业客户,提供即开即用的远程零信任访问、内网访问行为审计、办公数据保护、办公网准入以及办公应用加速等能力。具体信息,请参见什么是办公安全平台。
了解SASE各版本支持的能力
目前SASE只支持包年包月版(预付费)方式,可以参考下表选择适合的SASE版本。如果您想了解更详细的计费信息(如计费方式、计费项),请参见办公安全平台计费概述。
版本名称 | 能力说明 |
内网访问安全 (VPN版) | SASE内网访问安全(VPN版),具备零信任VPN,满足员工远程访问云上或线下企业办公。适用企业员工人数小于100,办公带宽不超过10 Mbps的企业。 |
内网访问安全 (基础版) | SASE内网访问安全(基础版),具备零信任VPN,满足员工远程访问云上或线下企业办公。适用企业员工人数大于100,办公带宽需根据实际情况购买的企业。 |
内网访问安全 (高级版) | SASE内网访问安全(高级版),具备零信任VPN,满足员工远程访问云上或线下企业办公、办公区网络准入、全球化办公的能力。 |
互联网访问安全 (办公数据保护版) | 互联网访问安全(办公数据保护版),基于Cloud DLP的产品架构,满足企业对办公数据进行即时的识别、监控与保护。 |
了解SASE各功能的配置流程
前提条件
企业接入SASE的第一步,需要先配置企业的身份源和用户组的配置。具体操作,请参见对接LDAP身份源、配置用户组。
SASE支持第三方和自建的身份认证系统,该功能目的主要是为企业员工提供身份认证功能,企业员工可以通过分配的账号和密码口令登录 SASEApp进行认证。目前支持对接的第三方身份源包含LDAP、钉钉、企业微信、飞书、IDaaS身份源,您也可以使用SASE的自定义身份源来管理企业的组织架构。
内网访问安全配置流程
基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能。在不需暴露公网地址和改造企业原有网络架构的情况下,内网访问可以指定应用,管控访问权限。
步骤一:配置内网业务应用资源
企业办公应用是为企业员工办公所使用的内部Web应用服务、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用已安装SASE App的办公设备,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。具体操作,请参见配置办公应用。
步骤二:打通业务应用网络
您需要根据企业的业务部署情况选择网络打通的解决方案。
业务部署环境 | 解决方案 | 配置环境准备 |
企业的业务资源部署在阿里云上 | 通过网络配置功能实现指定阿里云VPC资源与SASE终端用户的网络互通。 在页面,开启目标业务服务器所在VPC的网络打通开关。 | 办公电脑要求:
|
企业的业务资源部署在非阿里云环境(例如AWS、腾讯云等),且业务组网已经部署的阿里云VBR、CCN、VPN网关 | 通过阿里云提供的网络通道专线、SAG、IPsecVPN,实现SASE终端访问非阿里云环境的业务资源。 在页签,配置回源VPC并开启网络打通开关即可。 | 办公电脑要求:
|
企业的业务资源部署在非阿里云环境 | SASE提供连接器(connector)功能与您的非阿里云网络环境组网连接,实现使用SASE App访问非阿里云环境的业务。 该方式不需要依赖其他网络产品即可实现业务组网的访问。 在页签,手动添加SASE连接器,然后执行命令部署连接器并确保已开启连接器实例开关。 | 办公电脑要求:
本地连接器安装部署的服务器要求:
|
步骤三:创建零信任访问策略
零信任策略帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和业务应用进行资源权限划分,系统默认会有一条禁止所有访问的策略,您需要配置放行策略,将不同的资源分配给不同的用户组。具体操作,请参见配置零信任策略。
步骤四:企业用户登录SASE App
企业用户使用系统分配的账号和密码登录SASE App,并连接内网。此时,企业用户的内网访问会根据您的配置策略受限。具体操作,请参见安装并登录SASE App、开启或关闭内网访问的安全防护。
办公网准入
办公网准入功能采用EAP-TLS认证(证书认证)技术接入企业办公网,无需您输入账户名和密码。使用SASE接入企业办公网时,会根据您配置的IP白名单来确定SASE App用户的接入权限。
步骤一:创建企业无线网络实例
在SASE上创建企业无线网络实例,通过EAP-TLS认证(证书认证)技术接入企业办公网。
步骤二:获取SASE网络准入服务器信息
接入企业办公网络之前,您需要在企业NAC(即网络接入控制器)上配置SASE Radius服务器(即网络准入服务器)的区域、IP、UDP端口、密钥等,建立SASE Radius服务器和企业NAC的网络连接。
如果您需要对接入办公网的企业员工进行网络隔离和管理,可以配置入网权限,通过VLAN ID将不同用户和设备的入网权限进行更细粒度的划分,以满足企业业务需要。
如果自动下发的证书不适用企业的业务场景,您可以修改证书的安装范围、有效期或者更换为企业的自定义证书。
办公数据保护配置流程
办公数据保护包含三个功能,即敏感文件检测、设备外接管理和水印管理,您需要根据业务需求选择合适的保护方案。如果您对企业的数据管控非常严格,建议您同时开启三种保护方案。
通过检测外发文件保障数据安全配置流程
如果您需要检测企业员工通过多渠道(例如即时通讯、邮件通道等)传输内部文件是否存在敏感数据。您可以使用敏感文件检测功能,设置敏感数据字典,并搭建数据模板,创建检测策略。然后统计企业员工的外发数据信息。具体操作,请参见通过检测外发文件保障数据安全。
步骤一:配置文件外发检测策略
SASE敏感文件检测功能通过自定义的关键字作为敏感文件的特征进行敏感内容的自动化识别,通过特征、数据类型、敏感定级组成敏感数据模板,再结合处置动作等条件形成检测策略帮您识别企业员工外发的文件是否为敏感文件。
配置SASE检测策略步骤如下:
创建敏感数据字典,即设定敏感内容的识别特征。
根据敏感数据字典搭建数据模板。
创建检测策略关联合适的数据模板,包括设定策略下发的对象、检测通道、处置动作。
步骤二:查看敏感文件检测统计结果
策略配置完成后,办公数据保护功能会自动检测企业员工传输的文件,并根据检测结果为您分析最近30天、7天、24小时触发的敏感文件外发行为和异常事件行为。
敏感文件检测可帮您检测企业员工外发小于等于30 MB的敏感文件,并对触发Top 5的敏感文件类型及其占比进行统计。
异常事件可帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为,但是文件不会被检测,需要重点关注异常事件,手动检测文件是否涉及敏感信息。
通过管理外接设备保障数据安全配置流程
如果您需要对企业员工的外接设备(例如U盘、打印机、光驱等)检测是否传输敏感数据。可以使用外接设备管理功能,为指定的外接设备创建禁用策略。具体操作,请参见通过管理外接设备保障数据安全。
步骤一:配置外接设备的管控策略
您可以设置生效的用户组以及Windowns和macOS系统的外接设备的管控策略。
步骤二:查看敏感文件检测统计结果
如果您配置的U盘及USB存储为读写使用,当企业员工通过U盘或者USB传输内部文件时,会触发敏感行为检测,并根据检测结果为您分析最近30天、7天、24小时的数据。
通过管理水印保证数据安全配置流程
如果您需要对屏幕和打印数据开启水印配置,保障办公数据安全。可以使用水印管理功能,为指定的企业用户的屏幕和打印数据开启水印模式。具体操作,请参见通过管理水印保障数据安全。
步骤一:配置水印的管控策略
您可以设置生效的用户组以水印的配置。当前支持对屏幕水印和打印水印进行自定义配置。
步骤二:查看敏感文件检测结果
如果企业员工有打印操作,会触发敏感行为检测。办公数据保护功能会自动检测企业员工打印的文件,并根据检测结果为您分析最近30天、7天、24小时的数据。
开发者工具
如果您熟悉网络服务协议和一种以上编程语言,推荐您调用API管理您的云上资源和开发自己的应用程序。具体操作,请参见API概览。
OpenAPI能根据需要动态生成SDK代码功能,便于您简单便捷使用SDK。
反馈与建议
如果在使用办公安全平台过程中,有任何疑问和建议,您可以通过以下方式反馈并获取技术支持,获得更优质的服务和更好的产品体验。