本文介绍如何结合办公安全平台SASE(Secure Access Service Edge),实现数据库应用全链路防护。
适用场景
希望限制只允许办公电脑设备访问数据库。
希望针对数据库至本地的文件外发行为进行审计和阻断。
办公安全平台介绍
SASE是阿里云首个一站式办公安全管控平台,企业无需再投资复杂且昂贵的安全硬件设备,即可快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系,通过将数据库应用收敛到办公零信任防护体系中,针对数据库应用访问进行控制,对数据库下载文件进行外发审计,必要时阻断,从而实现对数据库相关数据的全链路防护。
方案配置流程
步骤一:开通SASE实例
SASE支持免费试用7天,请参见SASE开通。更多计费说明,请参见办公安全平台计费概述。
步骤二:配置身份源
身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以一次性配置多种身份源信息(即多身份源),以便于您以不同的身份源使用SASE服务。
本文为了快速验证功能,以自定义身份源为例为您介绍。
步骤三:配置用户组
配置策略时,需要指定该策略生效的用户组。
在左侧导航栏,选择。
在用户组管理页签中,单击添加用户组。
在添加用户组面板中,配置用户组的组织架构、账户名称、邮箱、手机号等信息。并单击确定。具体操作,请参见用户组管理。
步骤四:开启网络打通开关
在左侧导航栏,选择。
在网络配置页面的页签,查看SASE同步的网络资源。
在指定CEN实例或者CEN实例关联的某个VPC实例右侧。开启网络打通开关。
在网络打通对话框中选择打通全部云应用或自定义打通云应用。
打通全部云应用:开启后,会自动打通所有云应用,非云应用可通过配置ACL规则实现打通。并且之后在该VPC下创建的云应用也会默认打通。
说明当前仅支持云数据库的部分云原生应用。具体支持的云应用类型,您可以在页签中,查看应用类型。
自定义打通云应用:
选择自定义打通云应用并单击确定。
在自定义打通云应用面板中,选择需要打通的云数据库实例,并单击确定。
步骤五:创建零信任策略
在左侧导航栏,选择。
在零信任策略页签中,单击添加策略。
在新增策略面板中,配置生效用户允许访问RDS应用,并单击确定。
步骤六:验证配置是否成功
打开您已安装的SASE App。
输入企业认证标识,然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面,获取企业认证标识。
使用邮箱或者手机接收到的初始账号名称和密码进行登录。
单击连接内网。
访问RDS应用,如果能够成功访问,表示您已配置成功。
步骤七:在SASE配置文件防泄漏策略
在SASE配置文件管控策略,可实现针对数据库导出至本地的文件外发的行为进行审计和阻断,如将导出文件通过网盘、微信、钉钉、外接USB设备等方式外发,识别到风险情况时进行警示或阻断。请参见通过检测外发文件保障数据安全。