Panoramica di Data RBAC
Il controllo degli accessi basato su ruoli ai dati (RBAC di dati) è un modello di sicurezza che utilizza ruoli utente individuali per limitare l'accesso degli utenti ai dati all'interno di un'organizzazione. Con Data RBAC, gli amministratori possono definire gli ambiti e assegnarli agli utenti per fare in modo che possano accedere solo ai dati necessari per il loro lavoro funzioni.
Questa pagina fornisce una panoramica dei dati RBAC e ti aiuta a capire in che modo le etichette e gli ambiti collaborano per definire le autorizzazioni di accesso ai dati.
Differenza tra RBAC dei dati e RBAC delle funzionalità
Data RBAC e feature RBAC sono entrambi metodi per controllare l'accesso all'interno di un sistema, ma si concentrano su diversi aspetti.
RBAC delle funzionalità controlla l'accesso a caratteristiche o funzionalità specifiche all'interno di un di un sistema operativo completo. Determina quali funzionalità sono accessibili agli utenti in base alle ruoli. Ad esempio, un analista junior potrebbe avere accesso solo alla visualizzazione delle dashboard ma non per creare o modificare le regole di rilevamento, mentre un analista senior potrebbe aver le autorizzazioni per creare e gestire le regole di rilevamento. Per ulteriori informazioni RBAC per la funzionalità, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM.
Data RBAC controlla l'accesso a dati o informazioni specifici all'interno di un sistema. it determina se un utente può visualizzare, modificare o eliminare i dati in base ai propri ruoli. Per Ad esempio, in un sistema di gestione dei rapporti con i clienti (CRM), un team il rappresentante potrebbe avere accesso ai dati di contatto dei clienti dati finanziari, mentre un responsabile finanziario potrebbe avere accesso a questi dati. ma non i dati di contatto del cliente.
Data RBAC e feature RBAC vengono spesso utilizzati insieme per fornire una di controllo dell'accesso. Ad esempio, un utente potrebbe essere autorizzato ad accedere a un funzione (funzionalità RBAC) e quindi, al suo interno, l'accesso a specifiche i dati potrebbero essere limitati in base al ruolo (dati RBAC).
Pianifica l'implementazione
Per pianificare l'implementazione, consulta l'elenco di Google SecOps ruoli e autorizzazioni predefiniti di Google SecOps in base ai requisiti della tua organizzazione. Definisci una strategia per definire gli ambiti che di cui la tua organizzazione ha bisogno e etichettare i dati in arrivo. Identificazione quali membri della tua organizzazione devono avere accesso ai dati associati questi ambiti. Se la tua organizzazione richiede criteri IAM che differiscono dalla ruoli Google SecOps predefiniti, creare ruoli personalizzati per supportare questi requisiti.
Ruoli utente
Gli utenti possono disporre dell'accesso ai dati con ambito (utenti con ambito) o dell'accesso globale ai dati (utenti globali).
Gli utenti con ambito hanno accesso limitato ai dati in base agli ambiti assegnati. Questi e ne limitano la visibilità e le azioni a dati specifici. Lo specifico le autorizzazioni associate all'accesso con ambito sono descritte in dettaglio nella tabella seguente.
Gli utenti globali non hanno ambiti assegnati e hanno accesso illimitato a tutti i dati in Google SecOps. Le autorizzazioni specifiche associate all'impostazione sono descritti in dettaglio nella tabella seguente.
Gli amministratori Data RBAC possono creare ambiti e assegnarli agli utenti per il controllo
e l'accesso ai dati in Google SecOps. Per limitare un utente a determinate
devi assegnare loro l'accesso limitato ai dati dell'API Chronicle
(roles/chronicle.restrictedDataAccess) insieme a
un ruolo predefinito o personalizzato. Ruolo di accesso limitato ai dati dell'API Chronicle
identifica un utente come utente con ambito. Non è necessario assegnare l'app Chronicle
Ruolo di accesso ai dati limitato per gli utenti che hanno bisogno di un accesso globale ai dati.
I seguenti ruoli possono essere assegnati agli utenti:
| Tipo di accesso | Ruoli | Autorizzazioni |
|---|---|---|
| Accesso globale predefinito | Agli utenti globali può essere concesso qualsiasi ruolo IAM predefinito. | |
| Accesso di sola lettura con ambito predefinito | Accesso limitato ai dati dell'API Chronicle (roles/chronicle.restrictedDataAccess) e Visualizzatore dell'accesso limitato ai dati dell'API Chronicle (roles/chronicle.restrictedDataAccessViewer)
|
Visualizzatore accesso limitato ai dati API Chronicle |
| Accesso con ambito personalizzato | Accesso limitato ai dati dell'API Chronicle (roles/chronicle.restrictedDataAccess) e ruolo personalizzato
|
Autorizzazioni personalizzate all'interno delle funzionalità |
| Accesso globale personalizzato | Autorizzazione chronicle.globalDataAccessScopes.permit e ruolo personalizzato
|
Autorizzazioni globali all'interno delle funzionalità |
Di seguito è riportata una descrizione di ogni tipo di accesso presentato nella tabella:
Accesso globale predefinito:questo accesso è in genere obbligatorio per gli utenti che richiedono l'accesso a tutti i dati. Puoi assegnare uno o più ruoli a a un utente in base alle autorizzazioni richieste.
Accesso di sola lettura con ambito predefinito:questo accesso è destinato agli utenti che hanno bisogno dell'accesso di sola lettura. l'accesso. Il ruolo di accesso limitato ai dati dell'API Chronicle identifica un utente come utente con ambito specifico. Il ruolo Visualizzatore accesso limitato ai dati dell'API Chronicle fornisce una visualizzazione per accedere agli utenti all'interno delle loro funzionalità.
Accesso con ambito personalizzato:il ruolo di accesso limitato ai dati dell'API Chronicle identifica un utente come utente con ambito specifico. Il ruolo personalizzato specifica le funzionalità a cui l'utente può accedere. Gli ambiti aggiunti al ruolo di accesso limitato ai dati dell'API Chronicle specificano ai dati a cui gli utenti possono accedere nelle funzionalità.
Accesso globale personalizzato: questo accesso è per gli utenti che devono avere senza restrizioni.
autorizzazioni all'interno delle funzionalità assegnate. Per concedere l'accesso globale personalizzato a un
Devi specificare l'autorizzazione chronicle.globalDataAccessScopes.permit
oltre al ruolo personalizzato assegnato all'utente.
Controllo dell'accesso con ambiti ed etichette
Google SecOps ti consente di controllare l'accesso ai dati per gli utenti utilizzando gli ambiti. Gli ambiti vengono definiti con l'aiuto di etichette che definiscono i dati che un utente a cui possono accedere. Durante l'importazione, i metadati vengono assegnati ai dati sotto forma di etichette, ad esempio spazio dei nomi (facoltativo), metadati di importazione (facoltativi), e tipo di log (obbligatorio). Queste sono etichette predefinite che vengono applicate ai dati durante l'importazione. Inoltre, puoi creare etichette personalizzate. Puoi utilizzare etichette sia predefinite che personalizzate per definire gli ambiti e i dati che gli ambiti definiranno.
Visibilità dei dati con etichette di autorizzazione e negazione
Ogni ambito contiene una o più etichette di consenti accesso e, facoltativamente, deny access. Le etichette di accesso consentono agli utenti di accedere ai dati associati all'etichetta. Le etichette di negazione dell'accesso negano agli utenti l'accesso ai dati che è associato all'etichetta. Le etichette di negazione dell'accesso sostituiscono l'accesso consentito le etichette per limitare l'accesso degli utenti.
In una definizione di ambito, consenti le etichette di accesso dello stesso tipo (ad esempio tipo di log) vengono combinate tramite l'operatore OR, mentre le etichette di tipi diversi (ad esempio, tipo di log e un'etichetta personalizzata) vengono combinati usando l'operatore AND. Le etichette di negazione dell'accesso vengono combinate utilizzando l'operatore OR. Quando più negano l'accesso vengono applicate all'interno di un ambito e l'accesso viene negato se corrispondono a UNO di quelli etichette.
Ad esempio, considera un sistema Cloud Logging che classifica i log utilizzando i seguenti tipi di etichetta:
Tipo di log: Accesso, Sistema, Firewall.
Spazio dei nomi: App1, App2, Database
Gravità: critica, avviso
Considera un ambito chiamato Log con restrizioni che ha il seguente accesso:
| Tipo di etichetta | Valori consentiti | Valori negati |
|---|---|---|
| Tipo di log | Accesso, firewall | Sistema |
| Spazio dei nomi | App1 | App2, Database |
| Gravità | Avviso | Critico |
La definizione dell'ambito è simile alla seguente:
Consenti: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Nega: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Esempi di log corrispondenti all'ambito:
- Log di accesso da App1 con gravità: avviso
- Log firewall da App1 con gravità: avviso
Esempi di log non corrispondenti all'ambito:
- Registro di sistema da App1 con gravità: avviso
- Accedi al log dal database con gravità: avviso
- Log firewall da App2 con gravità: critica
Visibilità dei dati negli eventi estesi
Gli eventi estesi sono eventi di sicurezza che sono stati migliorati con altre contesto e informazioni al di là di ciò che contengono i dati di log non elaborati. Eventi estesi sono accessibili in un ambito solo se il relativo evento di base è accessibile all'interno dell'ambito e nessuna delle etichette arricchite non include nessuna etichetta di negazione dell'ambito.
Considera ad esempio un log non elaborato che indica un tentativo di accesso non riuscito da un IP
di destinazione e ha un'etichetta arricchita user_risk: high (indica un utente ad alto rischio).
Un utente con un ambito con l'etichetta di negazione user_risk: high non può visualizzare l'errore
tentativi di accesso da parte di utenti ad alto rischio.
Impatto dei dati RBAC sulle funzionalità di Google Security Operations
Dopo aver configurato il RBAC dei dati, gli utenti iniziano a vedere i dati filtrati in funzionalità di Google Security Operations. L'impatto dipende dall'integrazione della funzionalità con i dati sottostanti. Per comprendere in che modo RBAC dei dati influisce su ciascuna funzionalità, consulta: Impatto delle funzionalità di RBAC sui dati di Google Security Operations.