瞭解涉及多個組織的總體策略選擇

簡介

本文檔介紹在某些情況下正在考慮的多個Umbrella組織的策略。

概觀

在某些情況下，可以考慮多個Umbrella組織的策略。例如，一個組織的漫遊客戶端或流動裝置連線到其他組織的網路。本文詳細說明了此案例中當前如何選擇策略，以及Umbrella為改善此行為打算進行哪些更改。

單個組織的策略選擇

當DNS查詢傳送到Umbrella時，可能會有多個身份與該查詢關聯。例如，來自受保護網路後方的漫遊客戶端(RC)的查詢將包括RC的裝置ID以及網路的IP地址。同樣，來自虛擬裝置的查詢包括站點ID、內部網路、AD使用者和AD組。

通常，查詢中包含的標識都與單個組織相關聯。在這種情況下，策略實施將使用文檔中詳述的策略優先規則：

https://docs.umbrella.com/deployment-umbrella/docs/policy-precedence

簡而言之，Umbrella根據策略在控制面板中的順序為每個策略分配優先順序，其中最頂層的策略具有最高的優先順序。Umbrella解析器選擇應用於查詢中存在的至少一個標識的最高優先順序策略。

例如，組織A可以定義以下策略：

mceclip0.png

漫遊電腦的策略的優先順序為2，而網路的策略的優先順序為1。因此，如果查詢來自已加入外部網路的漫遊電腦，則將應用策略2。但是，如果漫遊電腦已加入組織A的一個網路，則策略1將適用，因為網路的策略具有更高的優先順序。

多個組織的策略選擇

當查詢中包含多個組織的標識時，將應用相同的邏輯。但是，由於涉及多個組織，因此相對於每個組織的策略清單而言，考慮的是每個策略的相對優先順序。

一個例子最能說明這一點。組織A和組織B各自在其各自的Umbrella Dashboards中定義了以下策略：

mceclip2.png

然後，來自組織A的漫遊電腦加入屬於組織B的網路。因此，傳送到Umbrella的DNS查詢包含組織A的RC裝置ID和組織B的網路的IP地址。

使用單個組織的邏輯，我們可以獲得每個身份策略的優先順序。組織A的RC獲取策略A2（優先順序為2），而組織B的網路獲取策略B1（優先順序為1）。因此，組織B網路的策略（策略B1）被應用。

與多個組織進行報告

當查詢包含來自多個組織的標識時，查詢只出現在其策略被選定的組織的報告中。該組織的報告僅顯示屬於該組織的身份。組織永遠無法檢視查詢中屬於其他組織的其他標識。

對當前政策選擇行為的影響

由於所描述的策略選擇行為，屬於一個組織的身份可能會被另一個組織的策略覆蓋。這包括所有策略功能，包括安全和內容阻止、目標清單、阻止頁面設計和日誌記錄設定（注意報告的限制），但阻止頁面重定向除外。

涉及多個組織的方案的專用塊頁

截至2021年7月16日，當Umbrella解析器檢測到查詢包含來自多個組織的標識時，它將所有被阻止的查詢重定向到專用塊頁。此阻止頁面通知使用者檢測到多個組織，因此查詢可能由於另一個組織的策略而被阻止。

涉及多個組織的策略選擇的計畫更改

當涉及多個組織時，總括計畫更改策略選擇行為。未來的變更包括：

策略選擇行為

Umbrella修改策略選擇行為，以便為每個組織選擇並執行最高優先順序策略。然後，如果其中任何策略將阻止查詢，則阻止查詢。這樣，所有參與的組織都可以確保其策略不被繞過。用類比可以最好地解釋這種行為：

愛麗絲的父母說，她的個人規則比家庭規則更重要。Alice不允許在任何時間、任何地點吃冰淇淋。

Bob的父母說房屋規則比個人規則更重要。他們家從來都不許吃披薩。

當前型號:

愛麗絲去鮑勃家。Bob's house rules適用，而不是Alice's individual rules。愛麗絲可以吃冰淇淋，但是不能吃比薩。Bob的父母收到一份報告說，有人在他們家裡吃了冰淇淋，但並沒有說是Alice的名字。

推薦的模型：

愛麗絲去鮑勃家。Bob's house rules適用，Alice's individual rules適用。愛麗絲沒有冰淇淋和披薩。Bob的父母收到一份報告稱，有人被拒絕吃披薩和冰淇淋，但並沒有說是Alice的名字。

為所有相關組織報告

當策略選擇行為存在時，Umbrella還確保涉及來自多個組織的標識的任何查詢都包含在所有相關組織的報告中。報告僅包含屬於該組織的標識 — 給定組織從不檢視其他組織的標識。