Dit artikel beschrijft veelvoorkomende gebruiksscenario's voor contextbewuste toegang en bevat voorbeeldconfiguraties die zijn ontwikkeld in de basismodus.
Voor voorbeelden van toegangsniveaus die zijn ontwikkeld in de geavanceerde modus (met behulp van de CEL-editor), ga naar Contextbewuste toegangsvoorbeelden voor de geavanceerde modus .
Geef aannemers alleen toegang via het bedrijfsnetwerk.
Veel bedrijven willen de toegang van externe medewerkers tot bedrijfsbronnen beperken. Denk bijvoorbeeld aan bedrijven die externe medewerkers inzetten voor het beantwoorden van algemene supportvragen of voor werkzaamheden in helpdesks en callcenters. Net als vaste medewerkers moeten externe medewerkers over een geldige licentie beschikken om onder het Context-Aware Access-beleid te vallen.
In dit voorbeeld krijgen aannemers alleen toegang tot bedrijfsbronnen vanuit een specifiek IP-adresbereik van het bedrijf.
| Toegangsniveaunaam | toegang tot aannemers |
| Een aannemer krijgt toegang als hij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | IP-subnet (openbaar) 74.125.192.0/18 |
| Toewijzing van toegangsniveau | Organisatiestructuren voor aannemers Alle apps die aannemers gebruiken |
Blokkeer de toegang vanaf bekende IP-adressen van kapers.
Om te voorkomen dat bedrijfsbronnen worden gehackt, blokkeren veel bedrijven de toegang tot bekende risicovolle bronnen.
In dit voorbeeld is IP-adres 74.125.195.105 geblokkeerd. Gebruikers krijgen toegang tot bedrijfsbronnen als hun sessies afkomstig zijn van een ander IP-adres. U kunt meerdere IP-adressen en IP-bereiken opgeven.
| Toegangsniveaunaam | block_highrisk |
| Een gebruiker krijgt toegang als hij/zij | Voldoet niet aan de kenmerken |
| Voorwaarde 1 attribuut | IP-subnet (openbaar) 74.125.195.105 |
| Toewijzing van toegangsniveau | Organisatie-eenheid op het hoogste niveau Alle apps |
Sta toegang toe vanuit een specifiek privénetwerk in Google Cloud.
Veel bedrijven leiden gebruikersverkeer naar Google via een Virtual Private Cloud (VPC). Een VPC is een beveiligd, geïsoleerd netwerk binnen de Google Cloud-omgeving.
Houd er rekening mee dat verkeer dat via uw VPC wordt gerouteerd, mogelijk gebruikmaakt van privé-IP-adressen. Dit kan problemen veroorzaken met openbare IP-adressen of regiobeleid.
In dit voorbeeld kunt u verkeer vanuit deze specifieke VPC's toestaan.
| Toegangsniveaunaam | vpc_access |
| Een gebruiker krijgt toegang als hij/zij... | Voldoen aan de kenmerken |
| Voorwaarde 1 kenmerken | IP-subnet (privé) Privé IP-subnetwerk: //compute.googleapis.com/projects/project- naam-test/global/netwerken/netwerknaam VPC-subnet: 74.125.192.0/18 |
| Toewijzing van toegangsniveau | Organisatie-eenheden voor alle gebruikers Alle apps die aannemers gebruiken |
Belangrijke zaken om te onthouden:
- Alleen rechtstreeks verkeer : Dit toegangsniveau werkt alleen voor verkeer dat rechtstreeks de servers van Google bereikt vanuit de VPC op de whitelist. Als het verkeer eerst via een ander netwerk of tunnel loopt, wordt geen toegang verleend. Google herkent alleen de laatste VPC die het verkeer naar zijn servers stuurt.
- Beheerdersrechten : Om VPC's te bekijken en dit toegangsniveau te configureren, moeten beheerders de juiste Identity and Access Management (IAM) -rol hebben (bijvoorbeeld compute.networks.list , compute.subnetworks.list , enzovoort).
- Externe VPC's : De VPC die u op de whitelist zet, kan zich buiten uw huidige Google Cloud-domein bevinden. Een beheerder moet leesrechten hebben om de externe VPC toe te voegen.
Toegang vanaf specifieke locaties toestaan of weigeren.
Als u werknemers hebt die regelmatig naar externe vestigingen van het hoofdkantoor of partnerkantoren reizen, kunt u de geografische locaties specificeren waar zij toegang hebben tot de bedrijfsbronnen.
Als bijvoorbeeld een groep verkopers regelmatig klanten in Australië en India bezoekt, kunt u de toegang van die groep tot hun hoofdkantoor en Australië en India beperken. Als ze voor een privévakantie naar andere landen reizen als onderdeel van een zakenreis, hebben ze geen toegang tot bedrijfsbronnen in die andere landen.
In dit voorbeeld heeft de verkoopafdeling alleen toegang tot bedrijfsbronnen vanuit de VS (hoofdkantoor), Australië en India.
| Toegangsniveaunaam | verkoop_toegang |
| De verkoopafdeling krijgt toegang als zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Geografische oorsprong VS, Australië, India |
| Toewijzing van toegangsniveau | Groep verkopers Alle apps die verkopers gebruiken |
Je kunt ook een beleid opstellen om de toegang vanuit specifieke landen te weigeren door te specificeren dat gebruikers alleen toegang krijgen als ze niet aan de voorwaarden voldoen . Je zou dan de landen opgeven waaruit je de toegang wilt blokkeren.
Gebruik geneste toegangsniveaus in plaats van meerdere toegangsniveaus te selecteren tijdens de toewijzing.
In sommige gevallen, wanneer u probeert toegangsniveaus toe te wijzen aan een bepaalde organisatie-eenheid of -groep en een applicatie (of een reeks applicaties), kunt u een foutmelding zien waarin u wordt gevraagd het aantal applicaties of toegangsniveaus te verminderen.
Om deze fout te voorkomen, kunt u het aantal toegangsniveaus dat tijdens de toewijzing wordt gebruikt, verminderen door ze te nesten in één enkel toegangsniveau. Het geneste toegangsniveau verbindt meerdere voorwaarden met een OF-bewerking, waarbij elke voorwaarde een afzonderlijk toegangsniveau bevat.
In dit voorbeeld bevinden USWest, USEast en USCentral zich in 3 afzonderlijke toegangsniveaus. Stel dat u wilt dat gebruikers toegang hebben tot applicaties als ze voldoen aan een van de toegangsniveaus USWest, USEast of USCentral. U kunt één genest toegangsniveau (genaamd USRegions) creëren met behulp van de OR-operator. Wanneer u de toegangsniveaus wilt toewijzen, wijst u het toegangsniveau USRegions toe aan de applicatie voor de betreffende organisatie-eenheid of -groep.
Toegangsniveaunaam | VS-regio's |
Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
Voorwaarde 1 attribuut (slechts 1 toegangsniveau per conditie) | Toegangsniveau USWest |
Verbind voorwaarde 1 en voorwaarde 2 met | OF |
Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
Voorwaarde 2 attribuut | Toegangsniveau USEast |
Verbind voorwaarde 2 en voorwaarde 3 met | OF |
Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
Voorwaarde 3 attribuut | Toegangsniveau USCentral |
Bedrijfseigen apparaat vereist op desktopcomputers, maar niet op mobiele apparaten.
Een bedrijf kan een desktopcomputer in bedrijfseigendom vereisen, maar geen mobiel apparaat in bedrijfseigendom.
Maak eerst een toegangsniveau aan voor desktopapparaten:
Toegangsniveaunaam | aldesktop_access |
Gebruikers krijgen toegang als ze | Voldoen aan de kenmerken |
Voorwaarde 1 attribuut | Apparaatbeleid
Apparaatversleuteling = Niet ondersteund Apparaatbesturingssysteem macOS = 0.0.0 Windows = 0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Maak vervolgens een toegangsniveau aan voor mobiele apparaten:
Toegangsniveaunaam | almobile_access |
Gebruikers krijgen toegang als ze | Voldoen aan de kenmerken |
Voorwaarde 1 attribuut | Apparaatbesturingssysteem iOS = 0.0.0 Android = 0.0.0 |
Vereist basisapparaatbeveiliging
De meeste grote bedrijven vereisen tegenwoordig dat werknemers toegang krijgen tot bedrijfsbronnen via apparaten die versleuteld zijn en voldoen aan minimale besturingssysteemversies. Sommige bedrijven eisen ook dat werknemers apparaten gebruiken die eigendom zijn van het bedrijf.
U kunt deze beleidsregels configureren voor al uw organisatie-eenheden of alleen voor degenen die met gevoelige gegevens werken, zoals directieleden, de financiële afdeling of de personeelsafdeling.
Er zijn verschillende manieren om een beleid te configureren dat apparaatversleuteling, een minimale besturingssysteemversie en bedrijfseigen apparaten omvat. Elk van deze methoden heeft voor- en nadelen.
1 toegangsniveau dat alle beveiligingsvereisten bevat
In dit voorbeeld zijn apparaatversleuteling, de minimale versie van het besturingssysteem en kenmerken van apparaten die eigendom zijn van het bedrijf, opgenomen in één toegangsniveau. Gebruikers moeten aan alle voorwaarden voldoen om toegang te krijgen.
Als een gebruikersapparaat bijvoorbeeld versleuteld is en eigendom is van het bedrijf, maar geen compatibele versie van het besturingssysteem draait, wordt de toegang geweigerd.
Voordeel : Eenvoudig in te stellen. Wanneer je dit toegangsniveau aan een app toewijst, moet een gebruiker aan alle vereisten voldoen.
Nadeel : Om de beveiligingsvereisten afzonderlijk toe te wijzen aan verschillende organisatie-eenheden, moet u voor elke beveiligingsvereiste een apart toegangsniveau creëren.
| Toegangsniveaunaam | apparaat_beveiliging |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut (Je kunt alle attributen aan één voorwaarde toevoegen of (Maak 3 voorwaarden en verbind ze met AND.) | Apparaatbeleid Apparaatbesturingssysteem |
3 afzonderlijke toegangsniveaus
In dit voorbeeld zijn apparaatversleuteling, de minimale versie van het besturingssysteem en de kenmerken van bedrijfseigen apparaten onderverdeeld in 3 afzonderlijke toegangsniveaus. Gebruikers hoeven slechts aan de voorwaarden van één toegangsniveau te voldoen om toegang te krijgen. Het is een logische OF-bewerking van de toegangsniveaus.
Een gebruiker met een versleuteld apparaat die een oudere versie van het besturingssysteem op zijn persoonlijke apparaat gebruikt, krijgt bijvoorbeeld toegang.
Voordeel : Een gedetailleerde manier om toegangsniveaus te definiëren. U kunt afzonderlijke toegangsniveaus toewijzen aan verschillende organisatie-eenheden.
Nadeel : Gebruikers hoeven slechts aan de voorwaarden van één toegangsniveau te voldoen.
| Toegangsniveaunaam | apparaat_versleuteling |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Apparaatbeleid |
| Toegangsniveaunaam | corp_device |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Apparaatbeleid |
| Toegangsniveaunaam | min_os |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Apparaatbeleid |
1 toegangsniveau met geneste toegangsniveaus
In dit voorbeeld zijn apparaatversleuteling, de minimale versie van het besturingssysteem en de beveiligingsvereisten voor apparaten in bedrijfseigendom ondergebracht in 3 afzonderlijke toegangsniveaus. Deze 3 toegangsniveaus zijn genest binnen een vierde toegangsniveau.
Wanneer je het vierde toegangsniveau aan apps toewijst, moeten gebruikers aan de voorwaarden van elk van de drie geneste toegangsniveaus voldoen om toegang te krijgen. Het is een logische EN-bewerking van toegangsniveaus.
Een gebruiker met een versleuteld apparaat die een oudere versie van het besturingssysteem op zijn persoonlijke apparaat gebruikt, krijgt bijvoorbeeld geen toegang.
Voordeel : U behoudt de flexibiliteit om beveiligingsvereisten te scheiden over toegangsniveaus 1, 2 en 3. Met toegangsniveau 4 kunt u bovendien een beleid afdwingen dat aan alle beveiligingsvereisten voldoet.
Nadeel : Het auditlogboek registreert alleen geweigerde toegang tot toegangsniveau 4 (niet tot toegangsniveaus 1, 2 en 3), omdat toegangsniveaus 1, 2 en 3 niet direct aan apps zijn toegewezen.
Maak drie toegangsniveaus aan zoals beschreven in "3 afzonderlijke toegangsniveaus" hierboven: "device_encryption", "corp_device" en "min_os". Maak vervolgens een vierde toegangsniveau aan met de naam "device_security" dat drie voorwaarden heeft. Elke voorwaarde heeft een toegangsniveau als attribuut. (U kunt slechts één toegangsniveau-attribuut per voorwaarde toevoegen.)
| Toegangsniveaunaam | apparaat_beveiliging |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut (slechts 1 toegangsniveau per conditie) | Toegangsniveau apparaat_versleuteling |
| Verbind voorwaarde 1 en voorwaarde 2 met | EN |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Toegangsniveau corp_device |
| Verbind voorwaarde 2 en voorwaarde 3 met | EN |
| Een gebruiker krijgt toegang als hij/zij | Voldoen aan de kenmerken |
| Voorwaarde 1 attribuut | Toegangsniveau min_os |