动态授权
更新时间 2025-06-27 18:02:21
最近更新时间: 2025-06-27 18:02:21
本文介绍动态授权的适用场景和配置方法。
功能介绍
动态授权基于零信任永不信任持续验证的理念,会根据用户访问行为和环境的不断变化而作出新的策略。基于终端的设备基线、安全风险、数据风险、合规风险、行为基线、地理位置、时间等因素对终端进行动态可信分析,提供对风险人员、风险终端告警通知、阻断内网访问、注销登录等处置能力。系统内置多个动态授权配置模板,您可以通过引用现有的策略或者进行调整后的自定义策略,来实现对办公场景的管控。
- 持续动态评估:基于零信任多维度综合分析引擎,根据采集和上报的不同指标数据,对用户访问行为进行可信评估并实时联动处置。
- 阻断恶意访问:零信任网关能将内网请求和用户身份进行绑定,根据用户的访问可信评分和综合分析引擎下发的处置动作,实时阻断恶意的内网访问,可通过配置策略,配置处置动作进行处置。
- 可视化处置能力:通过上方点击威胁事件数tab,企业可查看当前被处置中的异常账号和异常设备记录,并提供检测详情协助企业管理员对处置事件进行审计追溯 ,满足企业管理员可视化处置管理需求。具体功能说明见处置记录。
操作步骤
- 登录边缘安全加速控制台。
- 在左侧导航栏AOne零信任-安全-动态授权,查看动态授权的配置和管理。
- 可根据业务需求进行相关配置。
配置说明
整体配置区分基础信息、管控对象、策略条件、处置动作几个维度进行配置。
基础信息
| 配置字段 | 是否必填 | 配置说明 |
|---|---|---|
| 策略名称 | 是 | 可定义策略名称,以便更好的管理策略。 |
| 任务开关 | 是 | 即策略状态,开启时才进行策略处置。 |
| 策略描述 | 否 | 可定义策略的信息,用于管理策略。 |
管控对象
| 配置字段 | 是否必填 | 配置说明 |
|---|---|---|
| 生效用户范围 | 是 | 可选择该策略生效的范围,若有多个策略可同时生效。 |
| 例外用户 | 否 | 基于策略例外用户优先级高于生效用户,如生效用户范围(配置全部)与例外用户(A组织)有存在重叠,则除了A组织外其他全部用户生效。 |
策略条件
| 配置字段 | 是否必填 | 配置说明 |
|---|---|---|
| 触发校验 | 是 | 若配置策略触发条件为登录时校验,则该策略会在登录时进行校验。若配置的是周期性检测,则会在访问过程中周期性触发校验。 |
| 条件匹配 | 是 | 需要根据条件进行配置(可配置维度见下方),可配置“且”或者“或”。 |
条件匹配内容:
一级 二级 说明 访问行为 访问时间 配置可访问或不可访问的时间。 访问IP 设置可访问或不可访问的IP。 访问地点 设置可访问或不可访问的地点。 异常行为 根据历史常用的登录时间、登录IP、访问IP、登录地点等多维条件进行综合研判,若非常用行为,则判断为异常。 设备信息 操作系统版本 可选择Mac、Windows、Linux、XC等多个不同的操作系统版本。 Mac地址 设置可访问或不可访问的Mac地址。 安全风险 指定运行的杀毒软件 可选择常用的杀毒软件。 计算机开启高危端口 可选择计算机各类高危端口。 合规风险 合规风险等级 根据合规检测设置的维度进行等级划分。 合规风险行为 可选择常用的如开启FTP服务、开启Telnet服务等行为。
处置动作
| 配置字段 | 是否必填 | 配置说明 |
|---|---|---|
| 处置动作 | 是 | 监控观察:仅监控观察,不对网络连接、访问权限进行任何干预。 挑战认证:需通过配置的认证方式完成身份认证,才能继续访问内网。 注销登录:退出当前客户端登录状态,若账号不符合安全要求,将持续触发注销。 禁止访问内网:关闭对内网环境资源的访问权限,即无法连接公司 / 单位内部系统、共享文件等内网资源。 降权访问:限制用户仅能访问指定的对应等级应用,其他均无法访问。 |
| 处置通知 | 否 | 配置为监控观察处置动作时,可选是否从客户端通知员工,其他处置动作默认会通过客户端提示员工。 |
| 处置提示语 | 是 | 可自定义,自定义提示语可针对英文、中文进行分别自定义。 |
| 自动恢复 | 是 | 默认勾选,且不可配置,若用户被处置后,自主进行了修复,下次触发该动态授权未命中匹配条件,则自动恢复处置。 |
