Daten-RBAC – Übersicht
Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, das einzelne Nutzerrollen, um den Nutzerzugriff auf Daten innerhalb einer Organisation zu beschränken. Mit einer RBAC für Daten können Administratoren Bereiche definieren und sie zuweisen. damit die Nutzenden nur auf die für ihre Arbeit notwendigen Daten zugreifen können. Funktionen.
Diese Seite bietet einen Überblick über RBAC für Daten und erläutert, wie Labels und -Bereiche zusammen, um Datenzugriffsberechtigungen zu definieren.
Unterschied zwischen Daten-RBAC und Feature-RBAC
Daten-RBAC und Feature-RBAC sind beide Methoden zur Steuerung des Zugriffs innerhalb eines konzentrieren, konzentrieren sich aber auf unterschiedliche Aspekte.
Mit Feature RBAC wird der Zugriff auf bestimmte Funktionen in einem System. Es legt fest, welche Funktionen für Nutzende auf Grundlage ihrer Rollen. So hat beispielsweise eine Junior-Analysefachkraft möglicherweise nur Zugriff auf Dashboards, aber nicht, um Erkennungsregeln zu erstellen oder zu ändern. Berechtigungen zum Erstellen und Verwalten von Erkennungsregeln. Weitere Informationen zu Feature-RBAC finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren.
Mit RBAC für Daten wird der Zugriff auf bestimmte Daten oder Informationen in einem System gesteuert. Es legt fest, ob ein Nutzer Daten je nach Rolle ansehen, bearbeiten oder löschen darf. Für In einem CRM-System (Customer-Relationship-Management) kann ein Mitarbeiter Zugriff auf die Kontaktdaten der Kundschaft haben, Finanzdaten, während Finanzmanagende Zugriff auf die Finanzdaten haben. aber nicht die Kontaktdaten der Kundschaft.
Daten-RBAC und Feature-RBAC werden häufig zusammen verwendet, um eine umfassende Zugangskontrollsystem. Beispielsweise kann ein Nutzer auf eine bestimmte Feature (Feature-RBAC) und dann deren Zugriff auf bestimmte Daten basierend auf ihrer Rolle eingeschränkt werden (RBAC für Daten).
Implementierung planen
Sehen Sie sich die Liste der Google SecOps an, um die Implementierung zu planen vordefinierte Google SecOps-Rollen und -Berechtigungen Anforderungen Ihrer Organisation abzugleichen. Entwickeln Sie eine Strategie, um den Umfang zu definieren, die Ihr Unternehmen benötigt, und eingehende Daten mit Labels zu versehen. Identifizieren welche Mitglieder Ihrer Organisation Zugriff auf die Daten haben müssen, um diese Bereiche zu erweitern. Wenn Ihre Organisation IAM-Richtlinien benötigt, die sich vom vordefinierte Google SecOps-Rollen, benutzerdefinierte Rollen erstellen um diese Anforderungen zu erfüllen.
Nutzerrollen
Nutzer können entweder eingeschränkten Datenzugriff (Nutzer mit einem Umfang) oder globalen Datenzugriff haben (Nutzer weltweit).
Nutzer mit einer bestimmten Zugriffsebene haben je nach den zugewiesenen Bereichen eingeschränkten Zugriff auf Daten. Diese Umfänge beschränken ihre Sichtbarkeit und Aktionen auf bestimmte Daten. Die spezifischen Die mit dem eingeschränkten Zugriff verbundenen Berechtigungen sind in der folgenden Tabelle beschrieben.
Globale Nutzer haben keine zugewiesenen Bereiche und uneingeschränkten Zugriff auf alle Daten in Google SecOps. Die spezifischen Berechtigungen, die mit globalen erhalten Sie in der folgenden Tabelle.
Data-RBAC-Administratoren können Bereiche erstellen und Nutzern zur Steuerung zuweisen.
für den Datenzugriff in Google SecOps. Um einen Nutzer auf bestimmte
-Bereichen, müssen Sie ihnen den eingeschränkten Datenzugriff für die Chronicle API zuweisen.
(roles/chronicle.restrictedDataAccess) Rolle zusammen mit
eine vordefinierte oder eine benutzerdefinierte Rolle. Die Chronicle API-Rolle für eingeschränkten Datenzugriff
identifiziert einen Nutzer als Nutzer mit Umfang. Sie müssen die Chronicle nicht
die Rolle „Eingeschränkter Datenzugriff“ für Nutzer, die globalen Datenzugriff benötigen.
Die folgenden Rollen können Nutzern zugewiesen werden:
| Zugriffstyp | Rollen | Berechtigungen |
|---|---|---|
| Vordefinierter globaler Zugriff | Globale Nutzern kann jede der vordefinierten IAM-Rollen zugewiesen werden. | |
| Vordefinierter Lesezugriff | Eingeschränkter Datenzugriff auf Chronicle API (roles/chronicle.restrictedDataAccess) und Betrachter von eingeschränktem Datenzugriff in Chronicle API (roles/chronicle.restrictedDataAccessViewer)
|
Betrachter von eingeschränktem Datenzugriff auf der Chronicle API |
| Benutzerdefinierter Zugriff | Eingeschränkter Datenzugriff auf Chronicle API (roles/chronicle.restrictedDataAccess) und benutzerdefinierte Rolle
|
Benutzerdefinierte Berechtigungen innerhalb von Funktionen |
| Benutzerdefinierter globaler Zugriff | Berechtigung chronicle.globalDataAccessScopes.permit und benutzerdefinierte Rolle
|
Globale Berechtigungen innerhalb von Funktionen |
Im Folgenden finden Sie eine Beschreibung der einzelnen Zugriffstypen in der Tabelle:
Vordefinierter globaler Zugriff:Dieser Zugriff ist in der Regel für Nutzer erforderlich, die auf alle Daten zugreifen müssen. Sie können Ihrem Konto eine oder mehrere Rollen für einen Nutzer basierend auf den erforderlichen Berechtigungen.
Vordefinierter Lesezugriff:Dieser Zugriff ist für Nutzer gedacht, die nur Lesezugriff benötigen. Zugriff haben. Die Chronicle API-Rolle „Eingeschränkter Datenzugriff“ identifiziert einen Nutzer als Nutzer mit Geltungsbereich. Die Chronicle API-Rolle „Eingeschränkter Datenzugriff“ gibt Aufschluss darüber, in den Funktionen für Nutzer verfügbar ist.
Benutzerdefinierter Zugriff:Die Chronicle API-Rolle für eingeschränkten Datenzugriff identifiziert einen Nutzer als Nutzer mit Geltungsbereich. Die benutzerdefinierte Rolle gibt die Funktionen an, auf die der Nutzer zugreifen kann. Die Bereiche, die der Rolle „Eingeschränkter Datenzugriff der Chronicle API“ hinzugefügt werden, geben Folgendes an: Daten, auf die die Nutzer in den Funktionen zugreifen können.
Benutzerdefinierter globaler Zugriff: Dieser Zugriff ist für Nutzer, die uneingeschränkten Zugriff benötigen.
Berechtigungen innerhalb der ihnen zugewiesenen Funktionen. Um benutzerdefinierten globalen Zugriff auf ein
Nutzer, müssen Sie die Berechtigung chronicle.globalDataAccessScopes.permit angeben
zusätzlich zur benutzerdefinierten Rolle, die dem Nutzer zugewiesen ist.
Zugriffssteuerung mit Bereichen und Labels
Mit Google SecOps können Sie den Datenzugriff für Nutzer mithilfe von Bereichen steuern. Bereiche werden mithilfe von Labels definiert, die die Daten definieren, innerhalb des Geltungsbereichs Zugriff hat. Während der Aufnahme werden Daten Metadaten zugewiesen in Form von Labels wie Namespace (optional), Aufnahmemetadaten (optional), und Logtyp (erforderlich). Dies sind Standardlabels, die auf Daten angewendet werden während der Datenaufnahme. Darüber hinaus können Sie benutzerdefinierte Labels erstellen. Sie können sowohl Standard- als auch benutzerdefinierte Labels verwenden, um den Umfang und die Daten zu definieren die durch die Bereiche definiert wird.
Datensichtbarkeit mit Zulassungs- und Sperrlabels
Jeder Bereich enthält ein oder mehrere Labels für Zugriff erlauben. Optional: Zugriff verweigern. Labels zum Zulassen von Zugriffsrechten gewähren Nutzern Zugriff auf die Daten, die mit dem Label verknüpft sind. Labels zum Ablehnen des Zugriffs verweigern Nutzern den Zugriff auf die Daten, die mit dem Label verknüpft ist. Labels zum Ablehnen von Zugriffsrechten überschreiben die Zugriffsrechte für die Beschränkung des Nutzerzugriffs zu verwenden.
Erlauben Sie in einer Bereichsdefinition Zugriffslabels desselben Typs (z. B. Logtyp) werden mit dem ODER-Operator kombiniert, während Labels unterschiedlicher Typen (z. B. Logtyp und ein benutzerdefiniertes Label) werden mit dem UND-Operator kombiniert. Labels zum Ablehnen von Zugriffsrechten werden mit dem ODER-Operator kombiniert. Bei mehreren Zugriffsverweigerungen Labels innerhalb eines Bereichs angewendet werden, wird der Zugriff verweigert, wenn sie mit EINEM dieser Angaben übereinstimmen Labels.
Stellen Sie sich beispielsweise ein Cloud Logging-System vor, das Logs mithilfe der Methode folgenden Labeltypen:
Logtyp:Zugriff, System, Firewall
Namespace:App1, App2, Datenbank
Schweregrad:Kritisch, Warnung
Sehen wir uns einen Bereich namens „Eingeschränkte Logs“ an, der die folgenden Zugriffsrechte hat:
| Labeltyp | Zulässige Werte | Abgelehnte Werte |
|---|---|---|
| Logtyp | Zugriff, Firewall | System |
| Namespace | App1 | App2, Datenbank |
| Schweregrad | Warnung | Kritisch |
Die Umfangsdefinition sieht so aus:
Zulassen:(Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Ablehnen: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Beispiele für Logs, die dem Bereich entsprechen:
- Zugriffsprotokoll von App1 mit Schweregrad: Warnung
- Firewall-Log von App1 mit Schweregrad: Warnung
Beispiele für Logs, die nicht dem Bereich entsprechen:
- Systemprotokoll von App1 mit Schweregrad: Warnung
- Zugriffsprotokoll aus Datenbank mit Schweregrad: Warnung
- Firewall-Log von App2 mit dem Schweregrad: Kritisch
Datensichtbarkeit in angereicherten Ereignissen
Angereicherte Ereignisse sind Sicherheitsereignisse, die durch Kontext und Informationen, die über die Logrohdaten hinausgehen. Angereicherte Ereignisse sind in einem Bereich nur zugänglich, wenn ihr Basisereignis innerhalb dieses Bereichs zugänglich ist Die angereicherten Labels enthalten keine Ablehnungslabels für den Bereich.
Sehen wir uns zum Beispiel ein Rohprotokoll an, das auf einen fehlgeschlagenen Anmeldeversuch von einer IP-Adresse hinweist.
Adresse und das angereicherte Label user_risk: high (gibt an, dass es sich um einen Nutzer mit hohem Risiko handelt).
Ein Nutzer mit einem Bereich mit dem Ablehnungslabel „user_risk: high“ kann den Status „Fehlgeschlagen“ nicht sehen
Anmeldeversuchen von Nutzern mit hohem Risiko.
Auswirkungen der RBAC für Daten auf Google Security Operations-Features
Nachdem die RBAC für Daten konfiguriert wurde, sehen Nutzer gefilterte Daten in Google Security Operations-Funktionen Die Auswirkungen hängen davon ab, wie die Funktion integriert ist. mit den zugrunde liegenden Daten. Informationen dazu, wie sich RBAC für Daten auf die einzelnen Funktionen auswirkt, finden Sie unter Auswirkungen der RBAC-Features von Google Security Operations für Daten