Descripción general del RBAC de datos
El control de acceso basado en funciones de datos (RBAC de datos) es un modelo de seguridad que usa funciones de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. Con el RBAC de datos, los administradores pueden definir alcances y asignarlos a usuarios a fin de garantizar que estos puedan acceder solo a los datos necesarios para sus funciones de trabajo.
En esta página, se proporciona una descripción general del RBAC de datos y se ayuda a comprender cómo las etiquetas y los alcances funcionan en conjunto para definir los permisos de acceso a los datos.
Diferencia entre el RBAC de datos y el RBAC de funciones
El RBAC de datos y el RBAC de funciones son métodos para controlar el acceso dentro de un sistema, pero se enfocan en diferentes aspectos.
El RBAC de funciones controla el acceso a funciones o funcionalidades específicas dentro de un sistema. Determina a qué funciones pueden acceder los usuarios según sus funciones. Por ejemplo, un analista júnior podría tener acceso solo para ver paneles, pero no para crear o modificar reglas de detección, mientras que un analista sénior podría tener los permisos para crear y administrar reglas de detección. Para obtener más información sobre el RBAC de funciones, consulta Configura el control de acceso a las funciones con la IAM.
El RBAC de datos controla el acceso a información o datos específicos dentro de un sistema. Controla si un usuario puede ver, editar o borrar datos según sus roles. Por ejemplo, en un sistema de administración de relaciones con clientes (CRM), un representante de ventas puede tener acceso a los datos de contacto de los clientes, pero no a los datos financieros, mientras que un gerente de finanzas podría tener acceso a los datos financieros, pero no a los de contacto de los clientes.
El RBAC de datos y el RBAC de funciones a menudo se usan en conjunto para proporcionar un sistema de control de acceso integral. Por ejemplo, se le podría permitir a un usuario acceder a una función específica (RBAC de función) y, luego, dentro de esa función, su acceso a datos específicos podría restringirse según su función (RBAC de datos).
Planifica la implementación
Para planificar la implementación, revisa la lista de funciones y permisos predefinidos de Google SecOps en función de los requisitos de tu organización. Diseña una estrategia para definir permisos y etiquetar los datos entrantes. Identifica qué miembros de la organización deben tener acceso a los datos asociados con estos permisos. Si tu organización requiere políticas de IAM que difieren de las funciones predefinidas de Google SecOps, crea funciones personalizadas para admitir estos requisitos.
Funciones de usuario
Los usuarios pueden tener acceso a datos específicos (usuarios con alcance) o acceso a datos globales (usuarios globales).
Los usuarios con permiso tienen acceso limitado a los datos según los permisos asignados. Estos permisos restringen su visibilidad y acciones a datos específicos. En la siguiente tabla, se detallan los permisos específicos asociados con el acceso específico.
Los usuarios globales no tienen permisos asignados y tienen acceso ilimitado a todos los datos dentro de Google SecOps. En la siguiente tabla, se detallan los permisos específicos asociados con el acceso global.
Los administradores de RBAC de datos pueden crear permisos y asignarlos a usuarios para que controlen su acceso a los datos dentro de Google SecOps. Para restringir a un usuario a ciertos permisos, debes asignarle la función de acceso a datos restringido (roles/chronicle.restrictedDataAccess) de la API de Chronicle junto con una función predefinida o personalizada. El rol de acceso a los datos restringido
de la API de Chronicle identifica a un usuario. No es necesario asignar el rol de acceso a datos restringido
de Chronicle a los usuarios que necesitan acceso a datos globales.
Se pueden asignar los siguientes roles a los usuarios:
| Tipo de acceso | Roles | Permisos |
|---|---|---|
| Acceso global predefinido | A los usuarios globales se les puede otorgar cualquiera de los roles de IAM predefinidos. | |
| Acceso de solo lectura con alcance predefinido | Acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccess) y Visualizador de acceso a los datos restringido de la API de Chronicle (roles/chronicle.restrictedDataAccessViewer)
|
Visualizador de acceso a datos restringido de la API de Chronicle |
| Acceso con alcance personalizado | Acceso a los datos restringido (roles/chronicle.restrictedDataAccess) y rol personalizado de la API de Chronicle
|
Permisos personalizados en las funciones |
| Acceso global personalizado | Permiso chronicle.globalDataAccessScopes.permit y rol personalizado
|
Permisos globales dentro de las funciones |
A continuación, se incluye una descripción de cada tipo de acceso que se presenta en la tabla:
Acceso global predefinido: por lo general, este acceso es necesario para los usuarios que necesitan acceder a todos los datos. Puedes asignar uno o más roles a un usuario según los permisos necesarios.
Acceso de solo lectura con alcance predefinido: Este acceso es para usuarios que necesitan acceso de solo lectura. El rol de acceso a los datos restringido de la API de Chronicle identifica a un usuario como un usuario con permiso. El rol Visualizador de acceso a los datos restringido a la API de Chronicle otorga acceso de lectura a los usuarios dentro de sus funciones.
Acceso con alcance personalizado: El rol de acceso a datos restringido de la API de Chronicle identifica a un usuario como un usuario con permiso. El rol personalizado especifica las funciones a las que puede acceder el usuario. Los permisos agregados a la función de acceso a datos restringido de la API de Chronicle especifican los datos a los que los usuarios pueden acceder en las funciones.
Acceso global personalizado: Este acceso está destinado a los usuarios que necesitan permisos sin restricciones dentro de sus funciones asignadas. Para otorgar acceso global personalizado a un usuario, debes especificar el permiso chronicle.globalDataAccessScopes.permit además de la función personalizada que se le asigna al usuario.
Control de acceso con permisos y etiquetas
Google SecOps te permite controlar el acceso a los datos de los usuarios a través de permisos. Los alcances se definen con la ayuda de etiquetas que definen los datos a los que tiene acceso un usuario dentro del alcance. Durante la transferencia, los metadatos se asignan a los datos en forma de etiquetas, como el espacio de nombres (opcional), los metadatos de transferencia (opcional) y el tipo de registro (obligatorio). Estas son etiquetas predeterminadas que se aplican a los datos durante la transferencia. Además, puede crear etiquetas personalizadas. Puedes usar etiquetas predeterminadas y personalizadas para definir tus alcances y el nivel de acceso a los datos que definirán los permisos.
Visibilidad de los datos con etiquetas de permiso y denegación
Cada alcance contiene una o más etiquetas de acceso permitido y, de forma opcional, etiquetas de denegación de acceso. Permitir etiquetas de acceso otorga a los usuarios acceso a los datos asociados con la etiqueta. Las etiquetas de denegación de acceso rechazan a los usuarios el acceso a los datos asociados con la etiqueta. Las etiquetas de denegación anulan las etiquetas de permiso en la restricción del acceso del usuario.
En una definición de alcance, las etiquetas de acceso del mismo tipo (por ejemplo, tipo de registro) se combinan con el operador OR, mientras que las etiquetas de diferentes tipos (por ejemplo, tipo de registro y una etiqueta personalizada) se combinan con el operador AND. Las etiquetas de denegación de acceso se combinan con el operador OR. Cuando se aplican varias etiquetas de denegación de acceso dentro de un permiso, el acceso se rechaza si coinciden con CUALQUIERA de esas etiquetas.
Por ejemplo, considera un sistema de Cloud Logging que categorice los registros con los siguientes tipos de etiquetas:
Tipo de registro: Acceso, sistema, firewall
Espacio de nombres: App1, App2, Database
Gravedad: Crítica, Advertencia
Considera un permiso llamado registros restringidos que tiene el siguiente acceso:
| Tipo de etiqueta | Valores permitidos | Valores denegados |
|---|---|---|
| Tipo de registro | Acceso, firewall | Sistema |
| Espacio de nombres | App1 | Aplicación2, base de datos |
| Gravedad | Con advertencias | Esencial |
La definición del alcance se ve de la siguiente manera:
Permitir: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Rechazar: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Ejemplos de registros que coinciden con el alcance:
- Registro de acceso de App1 con gravedad: Advertencia
- Registro de firewall de la App1 con gravedad: Advertencia
Estos son algunos ejemplos de registros que no coinciden con el alcance:
- Registro del sistema de la App1 con gravedad: Advertencia
- Registro de acceso desde la base de datos con gravedad: Advertencia
- Registro de firewall de la App2 con gravedad: Crítica
Visibilidad de datos en eventos enriquecidos
Los eventos enriquecidos son eventos de seguridad que se mejoraron con información y contexto adicionales, más allá de lo que contienen los datos de registro sin procesar. Se puede acceder a los eventos enriquecidos dentro de un permiso solo si se puede acceder a su evento base dentro del permiso y si alguna de las etiquetas enriquecidas no incluye ninguna de las etiquetas de denegación del permiso.
Por ejemplo, considera un registro sin procesar que indica un intento de acceso fallido desde una dirección IP y tiene una etiqueta enriquecida user_risk: high (indica un usuario de alto riesgo).
Un usuario con un permiso que tiene la etiqueta de denegación user_risk: high no puede ver los intentos de acceso fallidos de los usuarios de alto riesgo.
Impacto del RBAC de datos en las funciones de Google Security Operations
Después de configurar el RBAC de datos, los usuarios comienzan a ver datos filtrados en las funciones de Google Security Operations. El impacto depende de cómo se integra la función en los datos subyacentes. Para comprender cómo el RBAC de datos afecta cada función, consulta Impacto de las funciones de RBAC de los datos de las operaciones de seguridad de Google.