使用場景

邊緣安全加速平臺的零信任服務秉承“持續驗證，永不信任”的原則，在基于身份認證和應用授權構建的訪問信任基礎之上，持續驗證每個網絡請求，及時識別并攔截攻擊行為，全方位地保障您的企業資源安全，本文將重點介紹企業訪問安全相關策略。

操作限制

• 進行相關安全策略前提需購買零信任服務，且產品服務處于服務中。

安全策略

重點介紹常用的企業辦公安全所需的安全策略，主要策略如下：

• 身份識別與登錄認證：通過密碼強校驗、二次認證等策略進行強化登錄過程中的安全系數。
• 細粒度的應用資源管控：針對應用、身份進行最小權限限制，避免越權。
• 持續認證的高級安全防護：通過橫向掃描防護、準入管控、終端環境感知來持續動態評估接入內容的訪問請求的安全性，如有異常及時進行相關處置。
• 靈活的訪問控制：可針對用戶、IP、應用等進行靈活組合限制，滿足企業安全管控需求。

身份識別與登錄認證

您可以在控制臺的身份管理模塊為企業員工創建對應的零信任用戶賬號。企業員工通過零信任客戶端登錄鑒權后才能訪問相關應用資源。零信任服務支持您自定義配置密碼合規策略、密碼校驗失敗鎖定、二次認證等策略，來加強用戶登錄過程的安全系數，詳情請見身份管理。

細粒度的應用資源管控

用戶登錄零信任客戶端后并不代表就可以在內部網絡中暢通無阻，零信任服務能精準得限制登錄用戶的訪問范圍，每個用戶只能訪問自己有權限的應用資源。零信任服務支持按組織、用戶和用戶組三個維度對用戶和應用進行授權。您可以在邊緣安全加速平臺-零信任控制臺中配置應用訪問策略，詳細操作見配置應用授權。

持續認證的高級安全防護

目前控制臺尚未開放這些高級防護功能的策略配置，如有自定義配置的需求請通過聯系我們。

準入管控

在終端用戶的登錄過程中，零信任不僅通過賬號密碼、手機短信進行身份認證，還會基于用戶登錄行為和登錄環境進行準入管控。準入管控功能支持檢測計算機操作系統版本、限定訪問時間、限定訪問地點、是否異地登錄、是否運行指定殺毒軟件等12個維度進行檢測和管控，及時阻斷不符合要求的登錄行為。

橫向滲透防護

零信任服務會持續驗證終端用戶的訪問請求，識別出異常的訪問行為，避免攻擊者突破身份認證邊界后進行橫向滲透。橫向滲透防護功能支持設備、賬號、IP等不同的統計粒度，對訪問行為的請求頻率和請求維度進行實時統計分析，還可以選擇挑戰認證、訪問阻斷和注銷登錄等方式對具有橫向滲透特征的異常行為進行及時處置。

動態授權

零信任服務會定時分析用戶的終端環境和訪問行為。當用戶的終端環境或訪問行為觸發終端環境感知策略，零信任就會對該訪問終端進行及時處置。該功能提供了包括識別訪問時間、訪問地點、計算機操作系統版本、是否運行指定殺毒軟件等16個維度進行分析用戶的環境或行為是否存在異常。

靈活的訪問控制策略

零信任服務支持您自定義配置訪問控制策略，通過協議、域名、用戶、設備ID等16個維度對用戶請求進行檢測，對不符合訪問控制策略的行為立即進行處置，處置動作包括攔截、監控、丟棄。您可以根據實際業務場景進行不同維度的組合配置以達到最好的效果。除了對可疑的訪問請求進行管控處置之外，零信任服務還特別增加了加白動作，可以對特殊請求進行放行，以便全方位滿足您在實際業務使用過程的需求。詳細操作見訪問控制.