阿里云办公安全平台SASE完全对接指南:零信任架构下的企业安全接入实践
一、SASE平台概述:零信任架构下的办公安全新范式
阿里云办公安全平台SASE(Secure Access Service Edge)是阿里云推出的首个一站式办公安全管控平台。该平台基于零信任安全理念,将网络与安全能力深度融合,构建于阿里云遍布全国的海量边缘节点与专线接入网络之上。企业无需再投入大量资金购置复杂的安全硬件设备,即可快速构建涵盖零信任内网访问、办公数据防泄漏、上网行为管理与审计、办公访问加速等在内的完整办公安全体系。
SASE的核心价值在于将安全能力下沉至网络边缘,通过身份认证、设备健康检查、行为分析等多维度评估机制,实现对企业员工访问企业资源的动态精准管控。其技术底座基于软件定义边界SDP理念,在不暴露公网地址、不改造企业原有网络架构的前提下,实现应用级别的访问控制与隐身保护。这套架构从根本上改变传统以边界防御为中心的网络安全模型,真正实现“持续验证,永不信任”的零信任原则。
需要先登录阿里云控制台,点击:阿里云控制台,进入办公安全平台产品页面完成服务开通。
二、SASE服务开通与基础配置
企业接入SASE的第一步是完成服务开通与租户初始化。SASE目前支持包年包月预付费方式,提供内网访问安全(基础版/高级版)、互联网访问安全(办公数据保护版)、终端防护(防病毒版)等多种版本,企业可根据实际业务需求选择适合的版本组合。对于首次体验的企业,SASE还提供7天免费试用,能够快速验证方案的可行性。
开通服务后,管理员需要登录办公安全平台控制台,完成基础配置。首先要设置企业认证标识,这是企业员工成功登录SASE安全客户端的身份凭证,建议使用企业名称等便于记忆的信息,员工首次登录时需要手动输入该标识。同时可配置账户过期时间与过期策略,包括账号到期后立即注销或在网络切换时重新认证两种模式,分别对应安全策略优先与用户体验优先的场景。
SASE安全客户端是终端用户接入企业零信任网络的关键组件,支持Windows、macOS、Android、iOS等主流操作系统。员工安装客户端后,终端的上网流量会被引流至最近的阿里云SASE服务节点,由SASE进行身份验证、安全检测与访问管控。
三、身份源对接:打通企业身份认证体系
身份源配置是SASE接入流程中的首要环节,旨在为企业员工提供统一的身份认证入口。SASE支持对接多种第三方和自建的身份认证系统,目前支持的对接类型包括LDAP、钉钉、企业微信、飞书、IDaaS以及自定义身份源。企业可以根据现有身份基础设施的实际情况选择最适合的对接方式,也可以同时配置多个身份源,通过不同的身份源来管理和访问SASE服务。
3.1 对接阿里云IDaaS实现统一身份管理
阿里云IDaaS(Identity as a Service)是企业级云原生身份管理服务,与SASE深度集成。通过将SASE与IDaaS连接,企业员工可以直接使用IDaaS账号登录SASE客户端,无需再维护一套独立的SASE身份管理系统,大幅降低用户信息的管理成本。
对接IDaaS的配置流程分为两个主要步骤。第一步是在IDaaS控制台中创建SASE应用。管理员在应用市场的应用列表中搜索并添加阿里云SASE应用模板,IDaaS会自动生成SAML元配置文件。创建应用时,IDaaS默认启用单点登录,应用账户使用IDaaS账户名,授权范围默认为手动授权。第二步是在SASE控制台中添加身份源。在SASE的身份认证管理页面,企业身份源选择IDaaS,上传上一步下载的SAML元配置文件,完成SSO配置,随后启用该身份源即可生效。
如果企业需要SASE获取IDaaS中的部门结构信息以便按部门批量下发安全策略,还需要在IDaaS控制台中配置阿里云SASE应用的通用配置、账户同步和API开放信息,开放查询账户信息和查询组织信息权限,并获取同步接收地址完成配置。
3.2 对接LDAP与自定义身份源
对于已经部署LDAP目录服务的企业,SASE提供了标准化的LDAP对接方案。通过在SASE控制台中配置LDAP服务器地址、Base DN、管理员DN及密码等信息,即可实现从LDAP同步用户信息,员工可以使用LDAP账号密码登录SASE客户端完成认证。同时,SASE还支持基于OIDC协议的扩展认证源对接,只要身份提供方(如Okta、Azure AD、自研系统)支持标准的OIDC授权码模式,即可作为SASE的身份提供方。
对于希望快速验证功能或尚未建立统一身份体系的企业,SASE提供了自定义身份源方案。管理员可以在SASE控制台中创建自定义身份源,手动录入企业员工信息,包括用户名、部门、邮箱、手机号等。配置完成后,系统会为每位员工自动生成初始账号和密码,并发送到员工邮箱或手机。这种方式无需依赖第三方身份系统,开箱即用,非常适合概念验证和小规模团队。
四、内网业务应用接入与网络打通
完成身份源配置后,企业需要将需要管控的办公应用添加到SASE平台中。SASE支持配置的办公应用类型非常灵活,既包括使用私网IP或私网域名可访问的内部应用(如企业内部的Web系统、服务器、数据库等),也包括使用公网IP或公网域名但已配置白名单访问机制的公开应用。
4.1 添加办公应用
在SASE控制台的办公应用页面,管理员可以通过手动添加或批量导入的方式添加应用。配置时需要填写应用名称、访问模式、应用地址及端口信息。SASE提供两种访问模式:App访问模式要求终端安装SASE客户端,支持四层和七层应用访问,同时支持丰富的终端安全检测与管控策略;浏览器访问模式无需安装客户端即可访问Web办公应用,但不支持终端安全检测。
配置应用地址时支持精确IP、IP段、精确域名、泛域名等多种匹配方式。端口配置支持全局匹配和精细匹配两种模式,全局匹配适用于一个资源内所有域名或IP发布相同端口的场景,精细匹配则适用于不同域名或IP发布不同端口的复杂场景。
4.2 打通业务网络与SASE的连接
添加应用后,需要打通SASE与业务资源所在网络之间的连接通道。SASE通过Private Access功能,在用户的SASE客户端与私有网络之间建立安全的加密隧道。根据企业业务资源的部署位置,网络打通方案有所不同。
对于部署在阿里云VPC内的资源(如ECS、RDS等),SASE提供了基于云企业网(CEN)的网络打通方案。在SASE控制台的网络配置页面,查看SASE同步的网络资源列表,找到目标VPC实例,开启网络打通开关即可。SASE网关会自动与CEN关联的网络资源构建回源链路,经过零信任策略校验的访问流量会被SASE网关转发至目的地址。SASE需要选择用于回源的VPC,并自动分配回源地址,同时自动为ECS资源的安全组添加入方向规则放行回源地址的流量。对于已关联CEN的VBR、SAG等资源,若已有ACL策略,需要手动对回源地址放行。
对于部署在本地数据中心或其他云平台的资源,企业可以通过安装SASE网络连接器(Connector)来建立安全通道。网络连接器部署在企业私有网络内部,负责连接VPC与SASE云控制平面,当用户通过SASE客户端发起访问请求时,请求经控制平面验证后路由至连接器,再由连接器转发至目标应用。
五、零信任策略配置:精细化访问控制
零信任策略是SASE实现精细化访问控制的核心机制。基于对所有应用采用零信任的安全原则,SASE默认建立一条禁止所有访问的策略,管理员需要主动创建允许策略,指定哪些用户可以访问哪些应用。这种默认拒绝的机制确保即使是合法用户,未经明确授权也无法访问企业内部资源。
5.1 策略组成要素
SASE的零信任策略由三个核心要素构成:谁可以访问(用户/用户组)、访问什么(办公应用)、在什么条件下可以访问(安全基线与动态条件)。策略配置时,管理员首先需要定义策略生效的用户组,这需要提前在用户组管理中配置好企业的组织架构和人员信息。然后在办公应用列表中选择该策略允许访问的目标应用,可以是单个应用或多个应用的组合。
策略优先级是决定多条策略命中顺序的关键参数,优先级范围为1至43,数值越小优先级越高。当多条策略同时命中访问请求时,SASE会按照优先级顺序执行匹配,一旦命中允许或拒绝的动作即停止后续匹配。
5.2 安全基线配置
SASE提供了安全基线功能,允许管理员定义访问内网应用时终端设备必须满足的安全标准。只有满足安全基线配置的可信终端才能连接到企业内网。安全基线支持配置终端类型限制(不限/仅允许电脑/仅允许移动终端)、安全Wi-Fi名称、安全进程(终端必须安装的安全软件进程)、防火墙状态检查等条件。
例如,企业可以创建一个安全基线模板,要求终端设备必须安装指定的防病毒软件、开启操作系统内置防火墙、并通过指定的企业Wi-Fi接入,只有同时满足这些条件的设备才能访问核心业务系统。SASE安全客户端会实时采集终端的属性信息,并与安全基线模板进行比对,动态决定访问是否放行。
5.3 动态策略与实时响应
SASE的动态策略功能进一步增强了零信任架构的实时响应能力。基于企业员工的操作行为、设备状态和网络安全环境进行动态决策,SASE能够实时检测和响应安全威胁,自动调整安全措施。动态策略的触发方式包括手动设定策略条件和导入现有模板两种。触发条件可以涵盖设备属性变化、网络环境切换、合规基线状态变更、人员安全事件等多种维度。
当触发条件被命中时,SASE可以执行多种处置动作,包括禁止用户使用App连接内网、禁止连接企业办公网等。同时支持审计日志记录、APP内提示、客户端弹窗通知等交互方式,管理员可以在日志审计中查看处置及恢复操作的完整记录。
六、场景化应用实践
6.1 结合SASE实现数据库应用全链路防护
数据库是企业最核心的数据资产之一,SASE为数据库访问提供了全链路防护方案。通过将数据库应用收敛到办公零信任防护体系中,SASE能够实现对数据库访问行为的细粒度控制,并对从数据库导出文件的行为进行审计和阻断,有效防止数据泄露。
配置数据库全链路防护需要依次完成以下步骤:开通SASE实例并配置身份源;在SASE中添加用户组;开启网络打通开关实现SASE与数据库所在VPC的连接;创建零信任策略,指定特定用户组允许访问目标数据库应用;验证配置是否成功,确保仅安装SASE客户端的办公电脑可安全访问数据库服务;在SASE中配置文件管控策略,针对数据库导出至本地的文件进行实时拦截和审批。这一方案实现了从身份认证到网络连接再到数据流转的全过程安全防护,有效控制数据泄漏风险。
6.2 结合SASE实现云上ECS安全访问
云上ECS实例是企业承载业务应用的核心基础设施,通过SASE接入ECS可以避免将管理端口暴露到公网,大幅降低安全风险。企业管理员只需要配置身份源和用户组,在员工终端安装SASE客户端,打通ECS所在VPC的网络连接,最后创建零信任策略指定哪些用户可以访问哪些ECS应用即可。
这种方案的独特优势在于,ECS实例不再需要绑定公网IP,也不需要配置复杂的VPN或堡垒机,员工使用SASE客户端就能安全接入内网访问ECS。未安装SASE客户端的终端无法得到零信任策略的管控,从根本上杜绝了非授权访问。对于通过云企业网关联多VPC的企业,SASE还支持按CEN实例级别一键打通,大幅降低多VPC场景下的配置复杂度。
6.3 结合SASE实现大模型零信任安全访问
随着大语言模型在企业办公场景中的广泛应用,如何安全地管控终端Agent对大模型的访问成为新的安全挑战。SASE针对这一场景提供了专门的大模型安全访问方案。管理员可以在SASE中添加AI服务配置,指定大模型供应商、服务域名、API-KEY等信息,通过SASE代理访问大模型的服务域名。
配置完成后,Agent中的大模型baseUrl需要修改为SASE代理域名。SASE会基于零信任策略管控哪些用户组的用户可以访问哪些AI服务,禁止的用户将无法通过Agent访问大模型。这一方案确保企业的AI使用行为受到安全管控,防止敏感数据通过AI服务外泄。
七、办公数据防泄漏与终端安全管控
7.1 数据防泄漏(DLP)能力
SASE的办公数据保护功能基于Cloud DLP产品架构,能够帮助企业实时掌握敏感数据外发动态,监控和阻止数据泄露风险。管理员可以配置针对即时通讯工具、邮件、网盘等渠道的文件外发检测策略,识别并拦截包含敏感信息的文件外发行为。所有敏感文件外发行为都会被记录并形成审计日志,管理员可以及时分析潜在的数据泄露风险。
在数据保护配置中,SASE还支持将特定文件、数据存储空间、外接设备或水印添加到白名单中,白名单中的对象将不再受到SASE的管控或拦截,便于处理可信的业务场景。
7.2 终端安全与网络行为管理
SASE提供终端防病毒能力,集成阿里云恶意文件检测平台,提供文件病毒实时防御与终端安全告警事件的实时检测功能。管理员需要创建扫描任务,配置扫描方式、性能消耗及对恶意文件的处置方式,SASE会根据扫描任务对企业办公终端进行定期或实时扫描,发现病毒文件后及时处置。
上网行为管理功能可以对员工的互联网访问行为进行精细化管控,管理员可以针对特定用户、用户组或域名配置访问策略,拦截非法网站访问、限制非工作相关的内容。同时可以配置互联网访问白名单,将确认安全的网站访问放行,SASE不再对这些行为进行审计和管控。
八、通过OpenAPI与SDK进行自动化集成
除了通过可视化控制台进行配置管理,SASE还提供了完整的OpenAPI接口和SDK,支持企业将SASE的能力集成到自有运维体系中,实现自动化管理。SASE的OpenAPI版本号为2023-01-20,接口风格为RPC风格,目前支持通过阿里云SDK方式进行调用。
阿里云为开发者提供了多种编程语言的SDK,包括Java、C#、Go、Python、Node.js/TypeScript、PHP、C++等。开发者只需集成SDK,通过SDK暴露的方法直接调用OpenAPI,SDK统一封装了签名逻辑、超时机制、重试机制,并提供了接口请求Request对象和接口返回Response对象,开发体验非常便捷。
以下是使用Python SDK调用SASE OpenAPI的示例代码,演示如何查询用户组信息:
# -*- coding: utf-8 -*-
import os
from alibabacloud_csas20230120.client import Client as CsasClient
from alibabacloud_tea_openapi import models as open_api_models
from alibabacloud_csas20230120 import models as csas_models
# 配置阿里云访问凭证
def create_client():
config = open_api_models.Config(
access_key_id=os.environ.get('ALIBABA_CLOUD_ACCESS_KEY_ID'),
access_key_secret=os.environ.get('ALIBABA_CLOUD_ACCESS_KEY_SECRET'),
region_id='cn-hangzhou'
)
config.endpoint = 'csas.aliyuncs.com'
return CsasClient(config)
# 查询用户组列表
def list_user_groups():
client = create_client()
request = csas_models.ListUserGroupsRequest()
response = client.list_user_groups(request)
return response.body.to_map()
if __name__ == '__main__':
result = list_user_groups()
print(result)上述代码展示了如何使用阿里云Credentials工具管理访问密钥、创建SASE客户端、发起API请求的完整流程。通过这种方式,企业可以实现自动化的用户组同步、策略批量配置、日志收集分析等运维任务,将SASE深度融入企业DevOps体系。API的调用身份建议使用RAM用户,根据业务实际需求按需分配权限,避免使用主账号带来的安全风险。
九、SASE安全客户端使用与多端体验
SASE安全客户端是终端用户访问企业零信任网络的入口,支持Windows(64位、32位)、macOS、Android、iOS等多平台。员工首次使用时,需要输入管理员预先配置的企业认证标识,选择对应的身份源,输入账号密码或扫码完成登录。登录成功后,客户端进入内网访问页面,单击连接内网按钮即可接入企业内网,访问被零信任策略授权的应用和资源。
SASE客户端支持多身份源自动识别,当企业配置了多种身份源时,客户端登录页面会自动展示可选的认证方式。例如,企业微信用户可以通过企业微信扫码登录,LDAP用户可以通过LDAP账号密码登录。这种多身份源并存的能力让企业可以在不同场景下灵活选择身份认证方式,实现平滑过渡。
对于移动端用户,SASE客户端支持指纹和人脸识别等生物特征认证方式,进一步提升登录便捷性与安全性。移动端与PC端使用同一套身份体系和访问策略,确保员工无论使用何种设备都能获得一致的安全访问体验。
SASE客户端在后台运行时会实时监控终端设备的安全状态,包括操作系统补丁情况、防病毒软件状态、进程信息等。一旦发现设备不合规,SASE会依据动态策略对访问进行阻断或提醒,确保只有健康可信的终端才能接入企业内网。
十、总结与问答
阿里云办公安全平台SASE通过将身份认证、网络连接、安全管控三大能力深度整合,为企业提供了一站式零信任办公安全解决方案。企业无需复杂的VPN配置和昂贵的硬件设备,即可实现员工在任何地点使用任何设备安全接入企业内网,同时获得数据防泄漏、上网行为管理和终端安全防护的全方位保障。SASE基于零信任模型的技术设计从根本上改变了安全边界的概念,让安全能力伴随着员工的业务行为无处不在,无论是云上资产、本地数据中心还是大模型等新型服务,都能纳入统一的零信任管控体系。从实际操作层面看,SASE的配置流程直观清晰,企业可以按身份源配置、应用接入、网络打通、零信任策略配置的顺序快速上线,7天免费试用机制也大幅降低了企业的尝试门槛。随着数字化转型的深入,SASE所代表的SASE架构将成为企业办公安全建设的重要方向。
常见问题与解答
问1:SASE与传统的VPN方案相比有什么核心优势?
答:传统VPN基于边界防护模型,一旦用户接入VPN即可访问整个内网,存在横向移动攻击风险。SASE基于零信任模型,实行默认拒绝、按需授权的策略,用户只能访问被明确授权的特定应用,而非整个内网。同时SASE集成身份认证、终端安全检查、行为审计、数据防泄漏等多重能力,提供远比VPN完善的安全管控体系,且不需要暴露公网接入点,实现了应用级隐身。
问2:SASE支持对接哪些第三方身份源?
答:SASE目前支持对接的身份源类型包括LDAP、钉钉、企业微信、飞书、阿里云IDaaS,同时支持自定义身份源。此外,SASE还支持基于OIDC协议的扩展认证源,理论上任何支持标准OIDC授权码模式的身份提供方(如Okta、Azure AD、自研系统)都可以作为SASE的身份提供方。
问3:SASE中“默认拒绝所有访问”的原则,如何在添加应用后允许用户访问?
答:SASE基于零信任安全原则,在管理员添加办公应用后,系统会自动创建一条禁止所有访问的默认策略。要让用户访问应用,管理员需要在零信任策略页面手动添加允许策略,指定生效的用户组和目标应用。只有同时满足身份认证和设备安全检查的用户才会被放行,这是零信任架构的核心机制。
问4:如何通过SASE实现数据库访问的全链路防护?
答:首先需要将数据库应用添加到SASE的办公应用中,然后打通SASE与数据库所在VPC的网络通道。接着创建零信任策略,限制只有特定用户组(如安装了SASE客户端的办公电脑)才能访问数据库服务。最后配置数据防泄漏策略,对从数据库导出至本地的文件外发行为进行实时审计和阻断,实现从身份认证到网络连接到数据流转的全链路防护。
问5:SASE是否支持通过API进行自动化管理?
答:支持。SASE提供了完整的OpenAPI接口,版本号为2023-01-20,接口风格为RPC风格。阿里云为多种编程语言(Java、Python、Go、C#等)提供了SDK,开发者可以通过SDK调用OpenAPI实现用户组管理、策略配置、日志查询等自动化运维任务。
问6:SASE如何确保终端设备的安全合规?
答:SASE提供安全基线功能,管理员可以自定义终端合规检测标准,包括要求安装指定的安全进程、开启防火墙、使用特定的安全Wi-Fi等。SASE客户端会实时采集终端属性并与安全基线模板比对,只有满足所有条件的可信终端才能连接企业内网。对于不合规的终端,动态策略可以实时阻断其访问,并通知用户进行修复。
