Ringkasan RBAC Data
Kontrol akses berbasis peran data (RBAC data) adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. Dengan RBAC data, administrator dapat menentukan cakupan dan menetapkannya kepada pengguna untuk membantu memastikan bahwa pengguna hanya dapat mengakses data yang diperlukan untuk fungsi pekerjaan mereka.
Halaman ini memberikan ringkasan tentang RBAC data, dan membantu Anda memahami cara kerja label dan cakupan untuk menentukan izin akses data.
Perbedaan antara RBAC data dan RBAC fitur
RBAC data dan RBAC fitur adalah metode untuk mengontrol akses dalam sistem, tetapi keduanya berfokus pada aspek yang berbeda.
RBAC fitur mengontrol akses ke fitur atau fungsi tertentu dalam sistem. Fitur ini menentukan fitur yang dapat diakses pengguna berdasarkan peran mereka. Misalnya, analis junior mungkin hanya memiliki akses untuk melihat dasbor, tetapi tidak dapat membuat atau mengubah aturan deteksi, sedangkan analis senior mungkin memiliki izin untuk membuat dan mengelola aturan deteksi. Untuk mengetahui informasi selengkapnya tentang RBAC fitur, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM.
RBAC data mengontrol akses ke data atau informasi tertentu dalam sistem. Kebijakan ini mengontrol apakah pengguna dapat melihat, mengedit, atau menghapus data berdasarkan perannya. Misalnya, dalam sistem pengelolaan hubungan pelanggan (CRM), perwakilan penjualan mungkin memiliki akses ke data kontak pelanggan, tetapi tidak data keuangan, sedangkan pengelola keuangan mungkin memiliki akses ke data keuangan, tetapi tidak ke data kontak pelanggan.
RBAC data dan RBAC fitur sering digunakan bersama untuk menyediakan sistem kontrol akses yang komprehensif. Misalnya, pengguna mungkin diizinkan untuk mengakses fitur tertentu (RBAC fitur), lalu, dalam fitur tersebut, aksesnya ke data tertentu mungkin dibatasi berdasarkan perannya (RBAC data).
Merencanakan penerapan
Untuk merencanakan penerapan, tinjau daftar perizinan dan peran Google SecOps bawaan Google SecOps berdasarkan persyaratan organisasi Anda. Buat strategi untuk menentukan cakupan yang diperlukan organisasi Anda dan untuk memberi label pada data yang masuk. Identifikasi anggota organisasi Anda yang harus memiliki akses ke data yang terkait dengan cakupan ini. Jika organisasi Anda memerlukan kebijakan IAM yang berbeda dengan peran Google SecOps yang telah ditetapkan, buat peran kustom untuk mendukung persyaratan ini.
Peran pengguna
Pengguna dapat memiliki akses data terbatas (pengguna terbatas) atau akses data global (pengguna global).
Pengguna dengan cakupan memiliki akses terbatas ke data berdasarkan cakupan yang ditetapkan. Cakupan ini membatasi visibilitas dan tindakannya ke data tertentu. Izin khusus yang terkait dengan akses terbatas dijelaskan dalam tabel berikut.
Pengguna global tidak memiliki cakupan yang ditetapkan dan memiliki akses tidak terbatas ke semua data dalam Google SecOps. Izin spesifik yang terkait dengan akses global dijelaskan dalam tabel berikut.
Administrator RBAC data dapat membuat cakupan dan menetapkannya kepada pengguna untuk mengontrol akses data mereka dalam Google SecOps. Untuk membatasi pengguna ke cakupan
tertentu, Anda harus menetapkan peran Akses Data Terbatas
(roles/chronicle.restrictedDataAccess) Chronicle API bersama dengan
peran bawaan atau kustom. Peran Akses Data Terbatas Chronicle API
mengidentifikasi pengguna sebagai pengguna dengan cakupan. Anda tidak perlu menetapkan peran Akses Data Terbatas
Chronicle kepada pengguna yang memerlukan akses data global.
Peran berikut dapat ditetapkan kepada pengguna:
| Jenis akses | Peran | Izin |
|---|---|---|
| Akses global standar | Pengguna global dapat diberi salah satu peran IAM yang telah ditetapkan. | |
| Akses hanya baca dengan cakupan yang telah ditentukan sebelumnya | Chronicle API Restricted Data Access (roles/chronicle.restrictedDataAccess) dan Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer)
|
Chronicle API Restricted Data Access Viewer |
| Akses cakupan kustom | Akses Data yang Dibatasi Chronicle API (roles/chronicle.restrictedDataAccess) dan peran kustom
|
Izin kustom dalam fitur |
| Akses global kustom | Izin chronicle.globalDataAccessScopes.permit dan peran khusus
|
Izin global dalam fitur |
Berikut adalah deskripsi setiap jenis akses yang ditampilkan dalam tabel:
Akses global standar: akses ini biasanya diperlukan untuk pengguna yang memerlukan akses ke semua data. Anda dapat menetapkan satu atau beberapa peran kepada pengguna berdasarkan izin yang diperlukan.
Akses hanya baca dengan cakupan yang telah ditentukan: akses ini ditujukan untuk pengguna yang memerlukan akses hanya baca. Peran Akses Data Terbatas Chronicle API mengidentifikasi pengguna sebagai pengguna cakupan. Peran Chronicle API Restricted Data Access Viewer memberikan akses lihat kepada pengguna dalam fitur mereka.
Akses cakupan kustom: peran Akses Data Terbatas Chronicle API
mengidentifikasi pengguna sebagai pengguna cakupan. Peran khusus menentukan fitur yang
dapat diakses pengguna. Cakupan yang ditambahkan ke peran Akses Data Terbatas Chronicle API menentukan data yang dapat diakses pengguna dalam fitur.
Untuk memastikan cakupan khusus RBAC berfungsi dengan benar, jangan sertakan izin chronicle.DataAccessScopes.permit atau chronicle.globalDataAccessScopes.permit saat membuat peran khusus. Izin ini mungkin disertakan
jika Anda telah menggunakan Chronicle API Editor atau Chronicle API Admin bawaan sebagai
titik awal untuk peran kustom Anda.
Akses global kustom: akses ini ditujukan untuk pengguna yang memerlukan izin
tanpa batasan dalam fitur yang ditetapkan. Untuk memberikan akses global kustom kepada pengguna, Anda harus menentukan izin chronicle.globalDataAccessScopes.permit selain peran kustom yang ditetapkan kepada pengguna.
Kontrol akses dengan cakupan dan label
Google SecOps memungkinkan Anda mengontrol akses data ke pengguna menggunakan cakupan. Cakupan ditentukan dengan bantuan label yang menentukan data yang dapat diakses oleh pengguna dalam cakupan. Selama proses transfer, metadata ditetapkan ke data dalam bentuk label seperti namespace (opsional), metadata transfer (opsional), dan jenis log (wajib). Ini adalah label default yang diterapkan ke data selama proses transfer. Selain itu, Anda dapat membuat label kustom. Anda dapat menggunakan label default dan kustom untuk menentukan cakupan dan tingkat akses data yang akan ditentukan cakupan.
Visibilitas data dengan label izinkan dan tolak
Setiap cakupan berisi satu atau beberapa label izinkan akses dan secara opsional, label tolak akses. Label izin akses memberi pengguna akses ke data yang dikaitkan dengan label. Label akses tolak akan menolak akses pengguna ke data yang terkait dengan label. Label akses tolak akan mengganti label akses izinkan dalam membatasi akses pengguna.
Dalam definisi cakupan, izinkan label akses dari jenis yang sama (misalnya, jenis log) digabungkan menggunakan operator ATAU, sedangkan label dari jenis yang berbeda (misalnya, jenis log dan label kustom) digabungkan menggunakan operator DAN. Label akses tolak digabungkan menggunakan operator OR. Jika beberapa label akses ditolak diterapkan dalam cakupan, akses akan ditolak jika cocok dengan SALAH SATU label tersebut.
Misalnya, pertimbangkan sistem Cloud Logging yang mengategorikan log menggunakan jenis label berikut:
Jenis log: Akses, Sistem, Firewall
Namespace: App1, App2, Database
Keseriusan: Kritis, Peringatan
Pertimbangkan cakupan yang disebut Log terbatas yang memiliki akses berikut:
| Jenis label | Nilai yang diizinkan | Nilai yang ditolak |
|---|---|---|
| Jenis log | Akses, Firewall | Sistem |
| Namespace | App1 | App2, Database |
| Keparahan | Peringatan | Kritis |
Definisi cakupan terlihat seperti ini:
Izinkan: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Tolak: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Contoh log yang cocok dengan cakupan:
- Log akses dari App1 dengan Tingkat Keparahan: Peringatan
- Log firewall dari App1 dengan Tingkat Keparahan: Peringatan
Contoh log yang tidak cocok dengan cakupan:
- Log sistem dari App1 dengan Tingkat Keparahan: Peringatan
- Log akses dari Database dengan Tingkat Keparahan: Peringatan
- Log firewall dari App2 dengan Tingkat Keparahan: Kritis
Visibilitas data dalam peristiwa yang diperkaya
Peristiwa yang diperkaya adalah peristiwa keamanan yang telah ditingkatkan dengan konteks dan informasi tambahan di luar yang terdapat dalam data log mentah. Peristiwa yang diperkaya hanya dapat diakses dalam cakupan jika peristiwa dasarnya dapat diakses dalam cakupan dan label yang diperkaya tidak menyertakan label tolak cakupan.
Misalnya, pertimbangkan log mentah yang menunjukkan upaya login yang gagal dari alamat IP dan memiliki label yang diperkaya user_risk: high (menunjukkan pengguna berisiko tinggi).
Pengguna dengan cakupan yang memiliki label user_risk: high tolak tidak dapat melihat upaya login yang gagal oleh pengguna berisiko tinggi.
Dampak RBAC data pada fitur Google Security Operations
Setelah RBAC data dikonfigurasi, pengguna akan mulai melihat data yang difilter di fitur Google Security Operations. Dampaknya bergantung pada cara fitur diintegrasikan dengan data pokok. Untuk memahami dampak RBAC data terhadap setiap fitur, lihat Dampak fitur Google Security Operations RBAC data.