功能简介
传统 VPN 采用静态访问权限,一旦用户认证成功就赋予访问权限。如果员工账号被盗取、冒用将带来极大的信息安全风险。基于终端访问风险模型进行动态访问控制,可实现动态感知风险、响应治理风险收缩访问权限。
说明:
该功能仅支持隧道类资源。
终端访问风险模型采用风险要素综合评估、动态访问控制策略组合,有效管控用户访问资源。如上图所示,用于评估的风险要素包括应用进程、网络位置、访问时间、设备合规等级,其中设备合规等级评估要素包括密码强度、网络端口、系统服务、系统进程、应用软件等安全基线。动态访问控制策略包括受限访问、挑战认证后访问、禁止访问。
策略规则说明
策略将从上到下执行匹配,数字越小最先匹配。
当请求命中一条策略后,则不会继续匹配。
策略的顺序会决定最终的策略效果,需谨慎考量策略的具体位置。
尽量指明具体需要管控的人员或资源组内容,为了您的业务安全,谨慎使用完全放通或完全禁止的策略。
动态访问安全策略当前只支持 TCP 协议,不支持 UDP 协议。
查询策略
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择访问配置管理 > 业务资源管理。
2. 在访问安全策略页面,作用于可查看用户(组)名下的全部策略权限,便于回溯、排障、查看策略冲突情况等。
策略查询支持模糊查询,支持查询的字段有:
账户组名称:支持各级分组名称的搜索。
业务资源组名称:支持指定业务资源分组名称的搜索。
新增策略
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择访问安全策略 > 业务资源访问。
2. 在访问安全策略页面,单击添加访问策略。
3. 在新建策略页面,配置相关参数,单击保存。
3.1 基本信息:输入策略名称、策略说明等参数。
3.2 适用范围:当用户卡片中的人员尝试访问指定的资源时才会被执行对应的访问处置。
3.2.1 单击添加用户,选择需要配置策略的用户/用户组,单击确定。
3.2.2 单击添加资源,根据实际情况选择单个资源/资源组,单击确定。
3.3 访问处置:设定匹配适用范围下访问请求的处置类型,以达到您的管理诉求。
禁止访问:用户禁止访问业务资源。
挑战认证后访问:用户完成挑战认证后可访问业务资源。
注意:
3.4 高级条件设置:单击添加该条件,增加以下选项将细化访问处置的执行条件,匹配适用范围的请求会在满足高级条件时执行相应处置。
功能名称 | 详情 |
访问时间段 | 可选访问的时间段,在范围内执行策略响应动作;超出访问时间的覆盖范围即阻断访问。 单击限制指定访问时间,自动弹出设置时间。 基于精准时间段/星期/日期(且的关系)。 时间点精确到分钟。 |
指定网络位置 | 可以通过指定网络来实现特定条件的访问,任意区域意味着不校验终端所在的网络环境。 IP 分组:关联 IP 分组。支持按 IP 组名模糊搜索;支持全选。 地理位置:选项内容来源后台内置的国家标准 IP 库,此库基本确定不怎么变动,若变动可周期性更新(类病毒库)。 |
应用程序 | 目前仅支持 Windows 和 macOS。 关联的是可信应用-分组详情,根据实际情况选择。 |
违规风险等级 | 终端发起业务访问时,检测上一次的合规检测结果与动态策略的匹配情况。 自定义检测周期,下限可配“5分钟”(以前最低是30分钟,决定了客户端检测周期需整体优化缩短)。 在添加合规检测的时候设置该合规项违规等级。 违规等级高:命中至少1条高违规项。 违规等级中:无命中高违规项,至少命中1条中违规项。 违规等级低:无命中高及中违规项,至少命中1条低违规项。 合规:所有检测项都合规。 检测项违规等级配置路径:终端安全策略-终端管控-合规检测-新增策略(任一检测项内)。  |
编辑策略
1. 在访问安全策略页面,选择所需策略,单击编辑。
2. 在编辑策略页面,修改相关参数,单击保存。
删除策略
1. 在访问安全策略页面,选择所需策略,单击删除。
2. 在确认删除弹窗中,单击确定,即可删除该策略。
注意:
策略删除后将无法恢复,请确保设置了合适的替代策略。
调整策略顺序
1. 在访问安全策略页面,单击顺序框,输入相应数字,单击空白处。
2. 在确认调整弹窗中,单击确定,即可调整顺序。
修改认证方式
如需修改账户认证方式(例如:账密认证改为短信验证码认证),请参考以下步骤:
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择身份安全策略 > 认证安全。
2. 在认证策略页面,选择所需目录,单击策略名称。
3. 在编辑认证策略页面,选择挑战认证方式认证源的挑战方式,单击添加。
