本文介绍如何结合办公安全平台SASE(Secure Access Service Edge),实现云效代码数据泄露防护。
适用场景
希望限制只允许办公电脑设备访问云效。
希望针对克隆至本地的代码文件外发行为进行审计和阻断。
办公安全平台介绍
SASE是阿里云首个一站式办公安全管控平台,企业无需再投资复杂且昂贵的安全硬件设备,即可快速构建零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的办公安全体系,通过将云效应用收敛到办公零信任防护体系中,针对云效应用访问进行控制,对云效下载文件进行外发审计,必要时阻断,从而实现对代码数据的防护。
方案配置流程
步骤一:开通SASE实例
SASE支持免费试用7天,请参见SASE开通。更多计费说明,请参见办公安全平台计费概述。
步骤二:进行身份源管理配置
登录SASE,支持钉钉、微信、飞书、LDAP、IDaaS 等身份源登录。配置身份源操作,请参见身份接入。
步骤三:配置零信任策略
针对指定用户组配置零信任访问策略,帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和办公应用进行资源权限划分。
同时支持配置指定Mac地址的设备访问规则,以实现只允许办公电脑设备访问云效。请参见配置零信任策略。
步骤四:在云效IP白名单中配置SASE的出口IP
云效的IP白名单用于限制指定IP才能够访问服务,以保护数据安全。
将SASE的出口IP设置在白名单范围中,可实现仅允许SASE管控的网络对云效数据进行访问。具体操作,请参见设置IP白名单。
配置IP白名单后,可实现仅允许安装了SASE的设备访问云效服务,实现访问来源的管控。
步骤五:在SASE配置文件防泄漏策略
在SASE配置文件管控策略,可实现针对克隆至本地的代码文件外发的行为进行审计和阻断,如将代码文件通过微信、钉钉、外接U盘、外接USB设备等方式外发,识别到风险情况时进行警示或阻断。请参见通过检测外发文件保障数据安全。
该文章对您有帮助吗?