Daten-RBAC – Übersicht
Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, das mithilfe von einzelnen Nutzerrollen den Nutzerzugriff auf Daten innerhalb einer Organisation beschränkt. Mit der RBAC für Daten können Administratoren Bereiche definieren und Nutzern zuweisen. So sorgen Sie dafür, dass Nutzer nur auf die Daten zugreifen können, die für ihre Aufgabenbereiche erforderlich sind.
Auf dieser Seite erhalten Sie einen Überblick über die RBAC für Daten und erfahren, wie mithilfe von Labels und Bereichen Datenzugriffsberechtigungen definiert werden.
Unterschied zwischen Daten-RBAC und Feature-RBAC
Daten-RBAC und Feature-RBAC sind beide Methoden zur Zugriffssteuerung innerhalb eines Systems, konzentrieren sich jedoch auf unterschiedliche Aspekte.
Feature-RBAC steuert den Zugriff auf bestimmte Funktionen in einem System. Er bestimmt, welche Funktionen den Nutzern basierend auf ihren Rollen zur Verfügung stehen. Ein Junior-Analyst kann beispielsweise nur Dashboards aufrufen, aber keine Erkennungsregeln erstellen oder ändern, während ein erfahrener Analyst Erkennungsregeln erstellen und verwalten darf. Weitere Informationen zu Feature-RBAC finden Sie unter Zugriffssteuerung für Features mit IAM konfigurieren.
Mit RBAC für Daten wird der Zugriff auf bestimmte Daten oder Informationen in einem System gesteuert. Damit wird gesteuert, ob ein Nutzer Daten basierend auf seiner Rolle ansehen, bearbeiten oder löschen kann. In einem CRM-System (Customer-Relationship-Management) hat ein Vertriebsmitarbeiter möglicherweise Zugriff auf die Kontaktdaten des Kunden, aber nicht auf die Finanzdaten, während ein Finanzmanager möglicherweise Zugriff auf die Finanzdaten, aber nicht auf die Kontaktdaten des Kunden hat.
RBAC für Daten und Feature-RBAC werden häufig zusammen verwendet, um ein umfassendes Zugriffssteuerungssystem bereitzustellen. Beispielsweise kann einem Nutzer der Zugriff auf ein bestimmtes Feature (Feature-RBAC) gewährt werden. Innerhalb dieses Features kann dann sein Zugriff auf bestimmte Daten basierend auf seiner Rolle eingeschränkt werden (Daten-RBAC).
Implementierung planen
Prüfen Sie zum Planen Ihrer Implementierung die Liste der vordefinierten Google SecOps-Rollen und -Berechtigungen in Google SecOps gemäß den Anforderungen Ihrer Organisation. Entwickeln Sie eine Strategie, um den Umfang Ihrer Organisation zu definieren und eingehende Daten mit Labels zu versehen. Ermitteln Sie, welche Mitglieder Ihrer Organisation Zugriff auf die mit diesen Bereichen verknüpften Daten haben müssen. Wenn Ihre Organisation IAM-Richtlinien benötigt, die sich von den vordefinierten Google SecOps-Rollen unterscheiden, erstellen Sie benutzerdefinierte Rollen, um diese Anforderungen zu erfüllen.
Nutzerrollen
Nutzer können entweder einen eingeschränkten Datenzugriff (Nutzer mit einem Umfang) oder einen globalen Datenzugriff (globale Nutzer) haben.
Nutzer mit einer bestimmten Zugriffsebene haben je nach den zugewiesenen Bereichen eingeschränkten Zugriff auf Daten. Diese Bereiche beschränken ihre Sichtbarkeit und Aktionen auf bestimmte Daten. Die spezifischen Berechtigungen, die mit dem eingeschränkten Zugriff verknüpft sind, sind in der folgenden Tabelle aufgeführt.
Globale Nutzer sind keine Bereiche zugewiesen und haben uneingeschränkten Zugriff auf alle Daten in Google SecOps. Die mit dem globalen Zugriff verbundenen spezifischen Berechtigungen sind in der folgenden Tabelle beschrieben.
Data-RBAC-Administratoren können Bereiche erstellen und Nutzern zuweisen, um ihren Datenzugriff in Google SecOps zu steuern. Wenn Sie einen Nutzer auf bestimmte Bereiche beschränken möchten, müssen Sie ihm die Chronicle API-Rolle „Eingeschränkter Datenzugriff“ (roles/chronicle.restrictedDataAccess) zusammen mit einer vordefinierten oder einer benutzerdefinierten Rolle zuweisen. Die Chronicle API-Rolle für eingeschränkten Datenzugriff identifiziert einen Nutzer als einen Nutzer mit Einschränkung. Nutzern, die globalen Datenzugriff benötigen, müssen Sie die Chronicle-Rolle „Eingeschränkter Datenzugriff“ nicht zuweisen.
Die folgenden Rollen können Nutzern zugewiesen werden:
| Zugriffstyp | Rollen | Berechtigungen |
|---|---|---|
| Vordefinierter globaler Zugriff | Globale Nutzern kann jede der vordefinierten IAM-Rollen zugewiesen werden. | |
| Vordefinierter Lesezugriff | Eingeschränkter Datenzugriff auf Chronicle API (roles/chronicle.restrictedDataAccess) und Betrachter von eingeschränktem Datenzugriff in Chronicle API (roles/chronicle.restrictedDataAccessViewer)
|
Betrachter von eingeschränktem Datenzugriff auf der Chronicle API |
| Benutzerdefinierter Zugriff | Eingeschränkter Datenzugriff auf Chronicle API (roles/chronicle.restrictedDataAccess) und benutzerdefinierte Rolle
|
Benutzerdefinierte Berechtigungen innerhalb von Funktionen |
| Benutzerdefinierter globaler Zugriff | Berechtigung chronicle.globalDataAccessScopes.permit und benutzerdefinierte Rolle
|
Globale Berechtigungen innerhalb von Funktionen |
Im Folgenden finden Sie eine Beschreibung der einzelnen Zugriffstypen in der Tabelle:
Vordefinierter globaler Zugriff:Dieser Zugriff ist in der Regel für Nutzer erforderlich, die Zugriff auf alle Daten benötigen. Sie können einem Nutzer basierend auf den erforderlichen Berechtigungen eine oder mehrere Rollen zuweisen.
Vordefinierter Lesezugriff: Dieser Zugriff ist für Nutzer gedacht, die nur Lesezugriff benötigen. Die Chronicle API-Rolle „eingeschränkter Datenzugriff“ identifiziert einen Nutzer als Nutzer mit eingeschränktem Umfang. Die Chronicle API-Rolle „Eingeschränkter Datenzugriff“ gewährt Nutzern Lesezugriff innerhalb ihrer Features.
Benutzerdefinierter Zugriff mit eingeschränktem Zugriff:Die Chronicle API-Rolle für eingeschränkten Datenzugriff identifiziert einen Nutzer als Nutzer mit Einschränkung. Die benutzerdefinierte Rolle gibt die Funktionen an, auf die der Nutzer zugreifen kann. Die Bereiche, die der Rolle für den eingeschränkten Datenzugriff der Chronicle API hinzugefügt werden, geben die Daten an, auf die die Nutzer in den Funktionen zugreifen können.
Benutzerdefinierter globaler Zugriff: Dieser Zugriff ist für Nutzer gedacht, die uneingeschränkte Berechtigungen für die ihnen zugewiesenen Funktionen benötigen. Wenn Sie einem Nutzer benutzerdefinierten globalen Zugriff gewähren möchten, müssen Sie zusätzlich zur benutzerdefinierten Rolle, die dem Nutzer zugewiesen ist, die Berechtigung chronicle.globalDataAccessScopes.permit angeben.
Zugriffssteuerung mit Bereichen und Labels
Mit Google SecOps können Sie den Datenzugriff für Nutzer mithilfe von Bereichen steuern. Bereiche werden mithilfe von Labels definiert, die die Daten definieren, auf die ein Nutzer innerhalb des Bereichs Zugriff hat. Während der Aufnahme werden Daten Metadaten in Form von Labels wie Namespace (optional), Aufnahmemetadaten (optional) und Logtyp (erforderlich) zugewiesen. Dies sind Standardlabels, die während der Datenaufnahme auf Daten angewendet werden. Darüber hinaus können Sie benutzerdefinierte Labels erstellen. Sie können sowohl Standard- als auch benutzerdefinierte Labels verwenden, um Ihre Bereiche und die durch die Bereiche definierte Datenzugriffsebene zu definieren.
Datensichtbarkeit mit Zulassungs- und Sperrlabels
Jeder Bereich enthält ein oder mehrere Labels für Zugriff erlauben und optional das Label Zugriff ablehnen. Mit Labels für den Zugriff gewähren Sie Nutzern Zugriff auf die Daten, die mit dem Label verknüpft sind. Labels zum Ablehnen des Zugriffs verweigern Nutzern den Zugriff auf die mit dem Label verknüpften Daten. Labels zum Ablehnen von Zugriffsrechten überschreiben die Labels, die den Zugriff erlauben, indem sie den Nutzerzugriff einschränken.
In einer Bereichsdefinition werden Zugriffslabels desselben Typs (z. B. Logtyp) mit dem Operator ODER kombiniert, während Labels unterschiedlicher Typen (z. B. Logtyp und benutzerdefiniertes Label) mit dem Operator AND kombiniert werden. Labels zum Ablehnen von Zugriffsrechten werden mit dem ODER-Operator kombiniert. Wenn innerhalb eines Bereichs mehrere Labels zum Ablehnen des Zugriffs angewendet werden, wird der Zugriff verweigert, wenn sie mit EINEM dieser Labels übereinstimmen.
Stellen Sie sich beispielsweise ein Cloud Logging-System vor, das Logs anhand der folgenden Labeltypen kategorisiert:
Logtyp:Zugriff, System, Firewall
Namespace:App1, App2, Datenbank
Schweregrad:Kritisch, Warnung
Sehen wir uns einen Bereich namens „Eingeschränkte Logs“ an, der die folgenden Zugriffsrechte hat:
| Label-Typ | Zulässige Werte | Abgelehnte Werte |
|---|---|---|
| Logtyp | Zugriff, Firewall | System |
| Namespace | App1 | App2, Datenbank |
| Schweregrad | Warnung | Kritisch |
Die Umfangsdefinition sieht so aus:
Zulassen:(Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Ablehnen: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Beispiele für Logs, die dem Bereich entsprechen:
- Zugriffsprotokoll von App1 mit Schweregrad: Warnung
- Firewall-Log von App1 mit Schweregrad: Warnung
Beispiele für Logs, die nicht dem Bereich entsprechen:
- Systemprotokoll von App1 mit Schweregrad: Warnung
- Zugriffsprotokoll aus Datenbank mit Schweregrad: Warnung
- Firewall-Log von App2 mit dem Schweregrad: Kritisch
Datensichtbarkeit in angereicherten Ereignissen
Angereicherte Ereignisse sind Sicherheitsereignisse, die um zusätzlichen Kontext und weitere Informationen ergänzt wurden, die über die Logrohdaten hinausgehen. Angereicherte Ereignisse sind innerhalb eines Bereichs nur zugänglich, wenn das zugehörige Basisereignis innerhalb dieses Bereichs zugänglich ist und die angereicherten Labels keine Ablehnungslabels für den Bereich enthalten.
Betrachten Sie beispielsweise ein Rohlog, das auf einen fehlgeschlagenen Anmeldeversuch von einer IP-Adresse hinweist und das angereicherte Label user_risk: high hat (das auf einen Nutzer mit hohem Risiko hinweist).
Ein Nutzer mit einem Bereich mit dem Ablehnungslabel user_risk: high kann keine fehlgeschlagenen Anmeldeversuche von Nutzern mit hohem Risiko sehen.
Auswirkungen der RBAC für Daten auf Google Security Operations-Features
Nachdem die RBAC für Daten konfiguriert wurde, werden Nutzern gefilterte Daten in Google Security Operations-Features angezeigt. Die Auswirkungen hängen davon ab, wie die Funktion in die zugrunde liegenden Daten eingebunden ist. Informationen dazu, wie sich RBAC für Daten auf die einzelnen Features auswirkt, finden Sie unter Auswirkungen von RBAC-Funktionen für Daten in Google Security Operations.