AI 助理
备案控制台
官方文档
输入文档关键字查找
首页办公安全平台实践教程办公数据保护最佳实践SASE代码外发管控

SASE代码外发管控最佳实践

更新时间:2025-03-21 07:14:56
产品详情
我的收藏

本文介绍如何通过SASE的敏感数据检测、实时阻断、传输通道管控、智能审计和权限管理,有效管控代码外发行为,保障企业核心资产安全。

场景示例

某企业为保护核心代码资产,同时满足不同业务场景的需求,决定对代码外发行为实施分级管控,以满足不同类型的代码外发行为,具体分为以下三类:

image

  1. Git渠道:严格管控Git渠道(如云效Codeup)进行的代码外发行为。对于可信任代码仓库可添加白名单。配置白名单后,SASE不再对该代码仓库的外发行为进行管控或拦截。

  2. Git渠道:对指定来源的渠道代码外发进行管控。

  3. 其他类型:针对非指定来源的代码外发,仅进行日志审计。

功能描述

通过不同管控措施,可以有效保护数据的安全性,具体措施如下:

  • Git渠道代码管控:

    • 全量阻断:Git渠道代码仓库的外发行为进行实时拦截。

    • 审批机制:高风险外发操作需经过审批流程,审批通过后方可执行。

    • 审计记录:所有操作均被记录至审计日志,确保可追溯性。

    • 代码仓库白名单:对于已信任的Git渠道代码仓库,配置白名单。

  • Git渠道代码管控

    • 智能阻断:对从指定代码仓库下载或导出的代码外发行为进行实时拦截。

    • 审批机制:对于指定来源的代码仓库外发行为需经过审批流程,审批通过后方可执行。

    • 审计记录:所有操作均被记录至审计日志,确保可追溯性。

  • 其他类型代码:仅进行审计记录。

前提条件

配置审批流程

用于对代码外发行为配置策略时选择审批流程,审批通过后方可执行代码外发。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择审批中心 > 流程管理,单击创建流程

  3. 创建审批流程面板中,按照如下内容配置审批流程,并单击确定

    image

配置代码外发策略

为实现代码外发行为的精细化分级管控,您需要基于不同代码类型的特点,配置差异化的多重外发策略,以满足不同代码类型在外发时的安全需求。

配置Git渠道外发拦截策略
配置指定渠道外发拦截策略
配置其他类型代码外发审计策略

为确保Git渠道代码仓库的外发行为安全可控,需通过实时拦截机制对外发操作进行管控,所有外发请求必须经过审批流程,审批通过后方可执行。对于已信任的Git代码仓库可添加白名单,配置白名单后,SASE不再对该代码仓库的外发行为进行管控或拦截。

配置外发拦截策略

  1. 在左侧导航栏,选择办公数据保护 > 策略中心 > 外发管理页签,并单击创建策略

    image

  2. 按照如下内容配置,其他配置项保持默认即可,并单击确定

    配置项

    说明

    策略名称

    配置策略名称。

    风险等级

    选择极高

    动作

    选择拦截并提示

    阻断类型

    选择全量阻断

    传输通道

    选择Git。

    生效范围

    设置生效用户组。可添加多个用户组。

    审批流配置

    选择支持员工报备审批。并在选择审批流程下拉列表中选择自定义的审批流程。

    弹窗提示配置

    设置拦截代码外发的提示信息。支持设置中文和英文两种提示信息。

配置通道白名单

Git渠道的代码仓库可以配置白名单,SASE将不再对其外发行为进行管控或拦截。

  1. 在左侧导航栏,选择办公数据保护 > 策略中心 > 通道白名单 > 代码仓库,单击添加

    image

  2. 添加白名单面板中,配置Git渠道代码仓库地址。并单击确定

为实现指定来源的代码仓库外发策略,您需依次配置数据来源、文件识别规则,并创建拦截策略。

步骤一:配置数据来源

您可以配置多个数据来源,统一对代码仓库进行管控。

  1. 在左侧导航栏,选择办公数据保护 > 分类分级 > 数据元素 > 数据来源,单击新增应用

    image

  2. 新增应用面板,按照如下内容,配置应用。并单击确定

    配置项

    说明

    应用名称

    配置应用名称。

    应用地址

    设置代码仓库URL和文件路径。单击添加设置多条应用地址。参考如下配置。

    • URL:codeup.aliyun.com

    • 路径:depot/project(项目文件路径)

步骤二:创建识别规则

识别规则用于检测来自自定义的数据来源代码,在外发操作时进行管控或拦截。

  1. 分类分级 > 识别规则页签中,单击新建 > 新建分类

    image

  2. 新建分类对话框中设置分类名称,并单击确定

  3. 单击新建 > 新建规则,在新建规则面板中,按照如下内容配置,并单击确定

    image

步骤三:创建代码外发拦截策略

  1. 在左侧导航栏,选择办公数据保护 > 策略中心

  2. 外发管理页签,单击创建策略

  3. 创建策略面板中,根据如下内容配置策略,其他配置保持默认即可,并单击确定

    配置项

    说明

    策略名称

    配置策略名称。

    风险等级

    选择极高

    动作

    • 动作:选择拦截并提示

    • 阻断类型:选择智能阻断

    数据识别规则配置

    选择自定义的数据来源的代码的识别规则。

    传输通道

    根据实际业务需要,配置检测代码外发的传输通道。

    生效范围

    设置生效用户组。可添加多个用户组。

    审批流配置

    选择支持员工报备审批。并在选择审批流程下拉列表中选择自定义的审批流程。

    弹窗提示配置

    设置拦截文件外发的提示信息。支持设置中文和英文两种提示信息。

对于非Git渠道或非指定渠道的代码外发行为,仅进行审计记录。

  1. 在左侧导航栏,选择办公数据保护 > 策略中心

  2. 外发管理页签,单击创建策略

  3. 创建策略面板中,根据如下内容配置策略,其他配置保持默认即可,并单击确定

    配置项

    说明

    策略名称

    配置策略名称。

    风险等级

    选择

    动作

    动作:选择只审计

    数据识别规则配置

    选择自定义的数据来源的代码的识别规则。

    传输通道

    根据实际业务需要,配置检测代码外发的传输通道。

    生效范围

    设置生效用户组。可添加多个用户组。

    审批流配置

    选择支持员工报备审批。并在选择审批流程下拉列表中选择自定义的审批流程。

    弹窗提示配置

    设置拦截文件外发的提示信息。支持设置中文和英文两种提示信息。

查看审计日志

所有的文件外发行为都会记录日志,您可以在日志审计中查看外发操作及处置动作。

  1. 在左侧导航栏,选择日志分析 > 日志审计

  2. 敏感文件检测页签中,查询企业员工外发的敏感文件日志。

    单击详情,可查看指定文件的文件信息、关键信息、敏感报文、命中策略、办公终端、外发途径、账号信息等。

    image

相关文档

上一篇:办公数据保护最佳实践下一篇:无影内置SASE办公安全保护
  • 本页导读 (1)
  • 场景示例
  • 功能描述
  • 前提条件
  • 配置审批流程
  • 配置代码外发策略
  • 查看审计日志
  • 相关文档