办公安全平台
办公安全平台SASE(Secure Access Service Edge)是阿里云为企业用户提供的一体化办公安全管控平台。
功能集 |
功能 |
功能描述 |
参考文档 |
零信任内网访问功能(Private Access) |
网络配置 |
办公安全平台的零信任网关支持与企业在阿里云上的VPC、其他云的VPC、企业数据中心以及办公区机房进行网络打通,帮助企业实现办公应用的公网隐身或公网暴露面收敛的效果,同时通过零信任策略可以对员工访问企业办公应用时进行基于身份、域名/IP的细粒度访问管控。 |
|
应用管理 |
企业客户在完成网络配置后,可以通过应用管理来定义需要通过零信任网关来进行管控的办公应用,支持配置域名、泛域名、IP、IP段的形式来定义企业的办公应用。 |
配置办公应用 | |
零信任策略 |
在企业管理员完成网络配置及办公应用定义后,可以在零信任策略中进行访问控制策略配置,支持基于企业的组织架构进行批量的授权,也支持基于账号名进行单个策略的配置;同时支持关联安全基线策略,保障访问接入时终端的安全性。 |
配置零信任策略 | |
办公数据保护(DLP) |
敏感行为检测 |
帮助企业实时掌握企业员工外发敏感文件的态势,支持查看外发敏感文件类型占比、异常外发事件占比、主要外发途径、敏感文件外发趋势图等数据统计。同时支持按照员工粒度实时记录外发敏感文件的日志,管理员可自定义查看近30天的日志审计,且日志中可记录员工外发的源文件。 |
通过检测外发文件保障数据安全 |
检测策略 |
用于配置具体的敏感文件检测条件及生效范围,支持管理员定义企业的敏感文件的特征模版、具体的策略生效通道(如即时通讯通道、云盘、云笔记、U盘等)以及策略生效的员工范围。 |
- |
|
外设管理 |
提供电脑外接设备的使用管控,同时覆盖Windows、macOS设备,如U盘、移动硬盘、AirDrop、蓝牙等,同时支持自定义管控策略生效范围,可以按照组织架构批量下发,也支持按照单个员工进行下发。 |
通过管理外接设备保障数据安全 | |
水印管理 |
针对截图、拍照、打印导致的敏感文件外发泄漏场景,提供屏幕水印、打印水印的功能,提供安全威慑的同时,为事后追溯提供快速定位依据。 |
通过管理水印保障数据安全 | |
办公网准入(NAC) |
办公网准入 |
办公网准入功能基于阿里巴巴集团最佳办公实践,提升企业快速接入办公区网络的管控能力。相较于账密认证模式,办公网准入功能采用EAP-TLS认证技术,具备更安全、体验更佳的优势;办公网准入功能支持企业无线入网、有线入网的场景管控,同时覆盖Windows、macOS、Android、iOS、哑终端设备的入网管理。 |
办公网准入 |
终端管理 |
终端列表 |
支持统计展示企业安装了SASE App的所有设备在线趋势以及设备信息,包含终端名称、操作系统、所属用户、所属部门、MAC地址、CPU、内存、硬盘等信息,同时支持配置设备共享策略,开启此策略后SASE App会将员工账号与设备进行一一绑定,避免员工之间共享办公设备办公带来的安全管理与数据安全风险。 |
查看终端列表 |
终端注册 |
企业管理员可以通过设置终端注册策略限制员工安装SASE App的设备数量,防止员工随意使用一台设备就可以安装SASE App后访问企业办公网的场景,支持按照公司设备、个人设备(BYOD)的资产类型分别配置权限,同时支持管理员一键导入设备的Mac地址提前对公司设备进行预打标。另外亦支持SASE App防卸载策略配置,当企业开启了办公数据防泄漏或者防病毒等安全功能时,建议开启防卸载策略。 |
配置及审批终端注册信息 | |
终端安全基线 |
管理员可以通过设置终端安全基线策略,过滤不满足基线要求的终端设备,通过联动零信任内网访问策略,以实现不允许异常设备访问企业办公内网的场景。现支持配置安全访问时间范围、终端类型、安全WIFI、安全进程、终端防火墙开启状态等检查项。 |
创建安全基线 |