Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

דוגמאות לבקרת גישה מבוססת-הקשר במצב בסיסי

במאמר הזה מתוארים תרחישי שימוש נפוצים לבקרת גישה מבוססת-הקשר, והוא כולל דוגמאות להגדרות שפותחו במצב בסיסי.

דוגמאות לרמות גישה שפותחו במצב מתקדם (באמצעות כלי העריכה של CEL) זמינות במאמר דוגמאות לבקרת גישה מבוססת-הקשר במצב מתקדם.

אישור גישה לקבלנים רק דרך הרשת הארגונית

חברות רבות רוצות להגביל את הגישה של קבלנים למשאבים של החברה. לדוגמה, חברות שמשתמשות בקבלנים כדי לענות לשיחות תמיכה כלליות או לעבוד במרכזי עזרה ובמוקדים טלפוניים. בדומה לעובדים במשרה מלאה, קבלנים צריכים להיות בעלי רישיון נתמך כדי להיכלל במדיניות של בקרת גישה מבוססת-הקשר.

בדוגמה הזו, קבלני משנה מקבלים גישה למשאבים ארגוניים רק מטווח כתובות IP ארגוניות ספציפי.

שם רמת הגישה	contractor_access
קבלן יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	רשת משנה של כתובות IP (גלויה לכולם) 74.125.192.0/18
הקצאת רמת גישה	יחידות ארגוניות לקבלנים כל האפליקציות שקבלנים משתמשים בהן

חסימת גישה מכתובות IP ידועות של חוטפי סשנים

כדי להגן על המשאבים של החברה מפני פריצה, חברות רבות חוסמות גישה למקורות מוכרים בסיכון גבוה.

בדוגמה הזו, כתובת ה-IP‏ 74.125.195.105 חסומה. המשתמשים מקבלים גישה למשאבים ארגוניים אם הסשנים שלהם מגיעים מכל כתובת IP אחרת. אפשר לציין כמה כתובות IP וטווחי כתובות.

שם רמת הגישה	block_highrisk
משתמש יקבל גישה אם הוא	לא מתאימים למאפיינים
מאפיין תנאי 1	רשת משנה של כתובות IP (גלויה לכולם) 74.125.195.105
הקצאת רמת גישה	היחידה הארגונית ברמה העליונה כל האפליקציות

אישור גישה מרשת פרטית ספציפית ב-Google Cloud

חברות רבות מעבירות את תעבורת הנתונים של המשתמשים אל Google דרך ענן וירטואלי פרטי (VPC). ענן וירטואלי פרטי הוא רשת מאובטחת ומבודדת בסביבת Google Cloud.

חשוב לדעת שבתעבורת נתונים שמנותבת דרך ה-VPC שלכם יכול להיות שימוש בכתובות IP פרטיות. הדבר עלול לגרום לבעיות במדיניות בנושא כתובות IP ציבוריות או אזורים.

בדוגמה הזו, אפשר לאפשר תנועה מ-VPC ספציפיים.

שם רמת הגישה	vpc_access
משתמש יקבל גישה אם הוא...	מתאימים למאפיינים
מאפיינים של תנאי 1	רשת משנה של כתובות IP (פרטית) רשת משנה פרטית של כתובות IP: //compute.googleapis.com/projects/project- name-test/global/networks/network-name רשת משנה של VPC: ‏ 74.125.192.0/18
הקצאת רמת גישה	יחידות ארגוניות לכל המשתמשים כל האפליקציות שקבלנים משתמשים בהן

דברים חשובים שכדאי לזכור:

תנועה ישירה בלבד: רמת הגישה הזו פועלת רק לתנועה שמגיעה ישירות לשרתים של Google מ-VPC שנכלל ברשימת ההיתרים. אם התנועה עוברת קודם דרך רשת או מנהרה אחרת, הגישה לא תינתן. ‫Google מזהה רק את ה-VPC האחרון ששולח את התעבורה לשרתים שלה.
הרשאות אדמין: כדי להציג רשתות VPC ולהגדיר את רמת הגישה הזו, לאדמינים צריכים להיות התפקידים המתאימים בניהול זהויות והרשאות גישה (IAM) (לדוגמה, compute.networks.list,‏ compute.subnetworks.list וכו').
רשתות VPC חיצוניות: רשת ה-VPC שמוסיפים לרשימת ההיתרים יכולה להיות מחוץ לדומיין הנוכחי שלכם ב-Google Cloud. אדמין צריך לקבל הרשאת צפייה כדי להוסיף את ה-VPC החיצוני.

איך מאשרים או אוסרים גישה ממיקומים ספציפיים

אם יש לכם עובדים שנוסעים באופן קבוע למשרדים מרוחקים של החברה או של שותפים, אתם יכולים לציין את המיקומים הגיאוגרפיים שבהם הם יכולים לגשת למשאבים של החברה.

לדוגמה, אם קבוצה של אנשי מכירות מבקרת באופן קבוע לקוחות באוסטרליה ובהודו, אפשר להגביל את הגישה של הקבוצה למשרד הראשי שלהם ולאוסטרליה ולהודו. אם הם נוסעים למדינות אחרות לחופשה אישית כחלק מנסיעת עסקים, הם לא יכולים לגשת למשאבים ארגוניים מהמדינות האחרות האלה.

בדוגמה הזו, קבוצת המכירות יכולה לגשת למשאבים של החברה רק מארה"ב (המשרד הראשי), מאוסטרליה ומאירלנד.

שם רמת הגישה	sales_access
צוות המכירות יקבל גישה אם	מתאימים למאפיינים
מאפיין תנאי 1	אזור גיאוגרפי ארה"ב, אוסטרליה, הודו
הקצאת רמת גישה	קבוצה של אנשי מכירות כל האפליקציות שאנשי המכירות משתמשים בהן

אפשר גם ליצור מדיניות שתחסום גישה ממדינות ספציפיות. לשם כך, צריך לציין שהמשתמשים יקבלו גישה אם הם לא עומדים בתנאים. לאחר מכן, צריך לפרט את המדינות שמהן רוצים לחסום את הגישה.

שימוש ברמות גישה מקוננות במקום בחירה של כמה רמות גישה במהלך הקצאה

במקרים מסוימים, כשמנסים להקצות רמות גישה ליחידה ארגונית או לקבוצה מסוימת ולאפליקציה (או לקבוצת אפליקציות), יכול להיות שתוצג הודעת שגיאה שבה תתבקשו לצמצם את מספר האפליקציות או רמות הגישה.

כדי למנוע את השגיאה הזו, אפשר לצמצם את מספר רמות הגישה שמשמשות במהלך ההקצאה על ידי קינון שלהן ברמת גישה אחת. רמת הגישה המקוננת משלבת כמה תנאים באמצעות פעולת OR, כאשר כל תנאי מכיל רמת גישה נפרדת.

בדוגמה הזו, USWest,‏ USEast ו-USCentral נמצאים ב-3 רמות גישה נפרדות. נניח שאתם רוצים שהמשתמשים יוכלו לגשת לאפליקציות אם הם עומדים בתנאים של רמות הגישה USWest או USEast או USCentral.אתם יכולים ליצור רמת גישה מוטמעת אחת (שנקראת USRegions) באמצעות האופרטור OR. כשמגיע הזמן להקצות את רמות הגישה, מקצים את רמת הגישה USRegions לאפליקציה עבור היחידה הארגונית או הקבוצה.

שם רמת הגישה	USRegions
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1 (רק רמת גישה אחת לכל תנאי)	רמת גישה USWest
שילוב של תנאי 1 ותנאי 2 באמצעות	או
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין מצב 2	רמת גישה USEast
שילוב של תנאי 2 ותנאי 3 באמצעות	או
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין מצב 3	רמת גישה USCentral

נדרש מכשיר בבעלות החברה במחשב אבל לא בנייד

חברה יכולה לדרוש מכשיר שולחני בבעלות החברה, אבל לא מכשיר נייד בבעלות החברה.

קודם יוצרים רמת גישה למחשבים:

שם רמת הגישה

aldesktop_access

משתמשים יקבלו גישה אם הם

מתאימים למאפיינים

מאפיין תנאי 1

מדיניות מכשיר

נדרש מכשיר בבעלות החברה

הצפנת המכשיר = לא נתמכת

OS של המכשיר

macOS = 0.0.0

Windows =0.0.0

מערכת הפעלה Linux‏ = 0.0.0

‫ChromeOS = 0.0.0

לאחר מכן, יוצרים רמת גישה למכשירים ניידים:

שם רמת הגישה

almobile_access

משתמשים יקבלו גישה אם הם

מתאימים למאפיינים

מאפיין תנאי 1

OS של המכשיר

‫iOS = 0.0.0

‫Android = 0.0.0

דרישה לאבטחה בסיסית של המכשיר

רוב החברות הגדולות דורשות מהעובדים לגשת למשאבים של החברה באמצעות מכשירים מוצפנים שעומדים בגרסאות המינימליות של מערכת ההפעלה. חלק מהחברות גם דורשות מהעובדים להשתמש במכשירים שבבעלות החברה.

אפשר להגדיר את כללי המדיניות האלה לכל היחידות הארגוניות או רק ליחידות שעובדות עם מידע אישי רגיש, כמו הנהלת החברה, מחלקת הכספים או משאבי האנוש.

יש כמה דרכים להגדיר מדיניות שכוללת הצפנת מכשירים, גרסה מינימלית של מערכת ההפעלה ומכשירים בבעלות החברה. לכל אחת מהן יש יתרונות וחסרונות.

רמת גישה אחת שמכילה את כל דרישות האבטחה

בדוגמה הזו, הצפנת המכשיר, הגרסה המינימלית של מערכת ההפעלה ומאפייני המכשיר בבעלות החברה כלולים ברמת גישה אחת. המשתמשים צריכים לעמוד בכל התנאים כדי לקבל גישה.

לדוגמה, אם מכשיר של משתמש מוצפן והוא בבעלות החברה, אבל לא מותקנת בו גרסה תואמת של מערכת ההפעלה, הגישה למשתמש תיחסם.

יתרון: קל להגדרה. כשמקצים את רמת הגישה הזו לאפליקציה, המשתמשים צריכים לעמוד בכל הדרישות.
חיסרון: כדי להקצות בנפרד את דרישות האבטחה ליחידות ארגוניות שונות, צריך ליצור רמת גישה נפרדת לכל דרישת אבטחה.

שם רמת הגישה

device_security

משתמש יקבל גישה אם הוא

מתאימים למאפיינים

מאפיין 1 של תנאי
(אפשר להוסיף את כל המאפיינים לתנאי אחד או
ליצור 3 תנאים ולשלב אותם באמצעות AND).

מדיניות המכשיר
הצפנת המכשיר = מוצפן
נדרש מכשיר בבעלות החברה

מערכת ההפעלה של המכשיר
macOS
Windows
גרסאות Chrome

3 רמות גישה נפרדות

בדוגמה הזו, הצפנת המכשיר, הגרסה המינימלית של מערכת ההפעלה ומאפייני המכשיר שבבעלות החברה נמצאים ב-3 רמות גישה נפרדות. כדי לקבל גישה, המשתמשים צריכים לעמוד בתנאים של רק אחת מרמות הגישה. זוהי פעולת OR לוגית של רמות גישה.

לדוגמה, משתמש שיש לו מכשיר מוצפן ופועלת בו גרסה ישנה של מערכת ההפעלה במכשיר אישי מקבל גישה.

יתרון: דרך פרטנית להגדרת רמות גישה. אפשר להקצות רמות גישה שונות ליחידות ארגוניות שונות.
חיסרון: המשתמשים צריכים לעמוד בתנאים של רק אחת מרמות הגישה.

שם רמת הגישה	device_encryption
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	מדיניות המכשיר הצפנת המכשיר = מוצפן

שם רמת הגישה	corp_device
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	מדיניות המכשיר מכשיר בבעלות החברה = נדרש

שם רמת הגישה	min_os
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	מדיניות המכשיר גרסה מינימלית של מערכת ההפעלה = גרסאות Windows, ‏ Mac ו-Chrome

רמת גישה אחת עם רמות גישה מוטמעות

בדוגמה הזו, הצפנת המכשיר, גרסת המינימום של מערכת ההפעלה ודרישות האבטחה למכשיר בבעלות החברה מוגדרים ב-3 רמות גישה נפרדות. 3 רמות הגישה האלה מוטמעות בתוך רמת גישה רביעית.

כשמקצים את רמת הגישה הרביעית לאפליקציות, המשתמשים צריכים לעמוד בתנאים של כל אחת מ-3 רמות הגישה המקוננות כדי לקבל גישה. זהו תנאי AND לוגי של רמות גישה.

לדוגמה, למשתמש שיש לו מכשיר מוצפן ומופעלת בו גרסה ישנה של מערכת ההפעלה במכשיר אישי, הגישה נחסמת.

יתרון: אתם יכולים להפריד בין דרישות האבטחה ברמות הגישה 1, 2 ו-3. באמצעות רמת גישה 4, אפשר גם לאכוף מדיניות עם כל דרישות האבטחה.
חיסרון: יומן הביקורת מתעד רק את הגישה שנחסמה לרמת גישה 4 (ולא לרמות גישה 1, 2 ו-3), כי רמות גישה 1, 2 ו-3 לא מוקצות ישירות לאפליקציות.

יוצרים 3 רמות גישה כמו שמתואר למעלה בקטע '3 רמות גישה נפרדות': device_encryption,‏ corp_device ו-min_os. לאחר מכן יוצרים רמת גישה רביעית בשם device_security עם 3 תנאים. לכל תנאי יש רמת גישה כמאפיין. (אפשר להוסיף רק מאפיין אחד של רמת גישה לכל תנאי).

שם רמת הגישה	device_security
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1 (רק רמת גישה אחת לכל תנאי)	רמת הגישה device_encryption
שילוב של תנאי 1 ותנאי 2 באמצעות	וגם
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	רמת הגישה corp_device
שילוב של תנאי 2 ותנאי 3 באמצעות	וגם
משתמש יקבל גישה אם הוא	מתאימים למאפיינים
מאפיין תנאי 1	רמת גישה min_os

דוגמאות לבקרת גישה מבוססת-הקשר במצב בסיסי קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

אישור גישה לקבלנים רק דרך הרשת הארגונית

חסימת גישה מכתובות IP ידועות של חוטפי סשנים

אישור גישה מרשת פרטית ספציפית ב-Google Cloud

דברים חשובים שכדאי לזכור:

איך מאשרים או אוסרים גישה ממיקומים ספציפיים

שימוש ברמות גישה מקוננות במקום בחירה של כמה רמות גישה במהלך הקצאה

נדרש מכשיר בבעלות החברה במחשב אבל לא בנייד

דרישה לאבטחה בסיסית של המכשיר

רמת גישה אחת שמכילה את כל דרישות האבטחה

3 רמות גישה נפרדות

רמת גישה אחת עם רמות גישה מוטמעות

מידע קשור

דוגמאות לבקרת גישה מבוססת-הקשר במצב בסיסי