通过策略保护访问
背景
David 是一家拥有 120 人的制药实验室的 IT 总监。由于最近发生了一起来自国外的入侵尝试,管理层要求他加强访问控制。一些关键应用——如患者数据、临床试验结果——只能在严格条件下访问。
没有 SmartLink 的问题
- SaaS 应用可以从任何设备、任何地点访问
- 无法按地理位置限制访问
- 无法确保所用设备符合要求
- 传统 VPN 管理繁琐,用��户体验差
使用 SmartLink
第一步 — 定义访问策略(DAP)
David 在 SmartLink 中配置了设备访问策略(Device Access Policies)。对于关键应用,他设定:
- 允许的浏览器:仅限最新版 Chrome 和 Firefox
- 操作系统:仅限 Windows 10+ 和 macOS 12+
- 允许的 IP 范围:仅限公司网络和 VPN
- VaultysID 安全等级:必须进行生物识别认证
第二步 — 按文件夹应用策略
David 将这些策略关联到包含敏感应用的文件夹。"临床数据"文件夹要求最高安全等级,而"日常工具"(如 Slack、邮件)文件夹则允许任何受保护设备访问。
第三步 — 实时验证
当一位研究员试图用个人电脑在咖啡馆访问临床数据时,SmartLink 会阻止访问并显示解释信息。而在实验室工位上,使用生物识别 VaultysID 时则可立即访问。
第四步 — 可追溯性与报告
每一次访问尝试——无论成功还是被拒绝——都会被记录在审计日志(Audit Trail)中。David 可以筛选Bastion 事件(审批请求、认证成功、拒绝)以监控可疑尝试。从咖啡馆发起的访问会显示为“连接被拒绝”,并记录相关 IP、浏览器和操作系统。
每月,David 会查看安全负责人报告(RSSI 报告),该报告汇总了安全事件,包括因 Bastion 策略被拦截的访问。
带来的变化
| 没有 SmartLink | 使用 SmartLink |
|---|---|
| 可从任何地方访问 | 按 IP、浏览器、操作系统进行控制 |
| 无设备验证 | 按 VaultysID 安全等级设定策略 |
| VPN 繁琐且限制多 | 无需 VPN 的细粒度控制 |
| 所有人规则一致 | 可按文件夹区分不同策略 |
| 无法追踪访问尝试 | 每次尝试(成功/拒绝)均有审计日志 |
| 无安全报告 | 每月 RSSI 报告,包含 Bastion 相关安全事件 |