文档

配置零信任策略

更新时间:

零信任策略功能主要是帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和办公应用进行资源权限划分。本文介绍如何配置零信任策略。

为什么要配置零信任策略

当您将企业办公应用添加到SASE内网应用中,基于对所有应用采用零信任的原则,SASE默认创建一条禁止所有访问的策略。此时,您需要配置放行策略,将不同的资源分配给不同的用户组。

前提条件

  • 已添加需要管控的办公应用。具体步骤,请参见配置办公应用

  • 已添加策略生效的用户组。具体步骤,请参见添加用户组

  • 已配置满足企业办公的安全基线模板。具体步骤,请参见创建安全基线

配置零信任策略

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 零信任策略

  3. 零信任策略页面,单击添加策略

  4. 添加策略面板,根据如下参数说明设置基础信息,然后单击确定

    您可以根据实际业务需要,创建多条策略。

    不同版本可创建策略数量不同 :轻量版默认可创建200条策略;基础版默认可创建500条策略;高级版默认可创建1000条策略。

    配置项

    说明

    策略名称

    添加零信任策略的名称。

    长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。

    优先级

    设置策略的优先级。最高优先级为1,新创建策略的优先级取值上限即当前账号下配置的零信任策略条数+1。例如,当前账号已配置的零信任策略条数为17,此时新创建的策略优先级的取值范围:1~18。

    在策略存在冲突的情况下,优先级高的策略生效。

    动作

    设置策略的访问权限。取值:

    • 允许访问:表示该条策略是允许用户或者终端访问指定应用。

    • 禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。

    生效用户

    设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。

    单击添加,用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见配置用户组

    已选应用

    设置策略生效用户组允许访问的应用。

    单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。

    安全基线

    选择满足企业办公的安全基线模板。具体信息,请参见创建安全基线

    策略状态

    为策略设置生效状态。

编辑和删除策略

您可以根据实际情况,进行如下操作:

  • 编辑:单击编辑,在编辑面板,修改策略内容。

  • 删除:单击删除,可删除指定策略。

    重要

    删除指定策略后,可能会导致企业员工访问应用不符合办公安全的要求。请谨慎操作。

相关文档