במאמר הזה מתוארים תרחישי שימוש נפוצים לבקרת גישה מבוססת-הקשר, והוא כולל דוגמאות להגדרות שפותחו במצב בסיסי.
דוגמאות לרמות גישה שפותחו במצב מתקדם (באמצעות כלי העריכה של CEL) זמינות במאמר דוגמאות לבקרת גישה מבוססת-הקשר במצב מתקדם.
מתן גישה לקבלנים רק דרך הרשת הארגונית
חברות רבות רוצות להגביל את הגישה של קבלנים למשאבים ארגוניים. לדוגמה, חברות שמשתמשות בקבלנים כדי לענות לשיחות תמיכה כלליות או לעבוד במוקדי עזרה ובמוקדים טלפוניים. בדומה לעובדים במשרה מלאה, קבלנים צריכים להיות בעלי רישיון נתמך כדי להיכלל במדיניות של בקרת גישה מבוססת-הקשר.
בדוגמה הזו, קבלני משנה מקבלים גישה למשאבים ארגוניים רק מטווח כתובות IP ארגוניות ספציפי.
| שם רמת הגישה | contractor_access |
| קבלן יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 | רשת משנה של כתובות IP (גלויה לכולם) 74.125.192.0/18 |
| הקצאת רמת גישה | יחידות ארגוניות לקבלנים כל האפליקציות שקבלנים משתמשים בהן |
חסימת גישה מכתובות IP ידועות של חוטפים
כדי להגן על המשאבים של החברה מפני פריצה, חברות רבות חוסמות גישה למקורות ידועים בסיכון גבוה.
בדוגמה הזו, כתובת ה-IP 74.125.195.105 חסומה. המשתמשים מקבלים גישה למשאבים ארגוניים אם הסשנים שלהם מגיעים מכל כתובת IP אחרת. אפשר לציין כמה כתובות IP וטווחי IP.
| שם רמת הגישה | block_highrisk |
| משתמש יקבל גישה אם הוא | לא מתאימים למאפיינים |
| מאפיין תנאי 1 | רשת משנה של כתובות IP (גלויה לכולם) 74.125.195.105 |
| הקצאת רמת גישה | היחידה הארגונית ברמה העליונה כל האפליקציות |
אישור גישה מרשת פרטית ספציפית ב-Google Cloud
חברות רבות מעבירות את תעבורת המשתמשים אל Google דרך ענן וירטואלי פרטי (VPC). רשת VPC היא רשת מאובטחת ומבודדת בסביבת Google Cloud.
חשוב לדעת שבתעבורת נתונים שמנותבת דרך ה-VPC שלכם יכול להיות שימוש בכתובות IP פרטיות. הדבר עלול לגרום לבעיות במדיניות בנושא כתובות IP ציבוריות או אזורים.
בדוגמה הזו, אפשר לאפשר תנועה מרשתות ה-VPC הספציפיות האלה.
| שם רמת הגישה | vpc_access |
| משתמש יקבל גישה אם הוא... | מתאימים למאפיינים |
| מאפייני תנאי 1 |
רשת משנה של כתובות IP (פרטית) רשת משנה פרטית של כתובות IP: //compute.googleapis.com/projects/project- name-test/global/networks/network-name רשת משנה של VPC: 74.125.192.0/18 |
| הקצאת רמת גישה |
יחידות ארגוניות לכל המשתמשים כל האפליקציות שקבלנים משתמשים בהן |
דברים חשובים שכדאי לזכור:
- תנועה ישירה בלבד: רמת הגישה הזו פועלת רק לגבי תנועה שמגיעה ישירות לשרתים של Google מ-VPC שנכלל ברשימת ההיתרים. אם התנועה עוברת קודם דרך רשת או מנהרה אחרת, הגישה לא תינתן. Google מזהה רק את ה-VPC האחרון ששולח את התעבורה לשרתים שלה.
- הרשאות אדמין: כדי להציג רשתות VPC ולהגדיר את רמת הגישה הזו, לאדמינים צריכים להיות התפקידים המתאימים בניהול זהויות והרשאות גישה (IAM) (לדוגמה, compute.networks.list, compute.subnetworks.list וכו').
- רשתות VPC חיצוניות: רשת ה-VPC שאתם מוסיפים לרשימת ההיתרים יכולה להיות מחוץ לדומיין הנוכחי שלכם ב-Google Cloud. אדמין צריך לקבל הרשאת צפייה כדי להוסיף VPC חיצוני.
איך מאשרים או מבטלים גישה ממיקומים ספציפיים
אם יש לכם עובדים שנוסעים באופן קבוע למשרדים מרוחקים של החברה או של שותפים, אתם יכולים לציין את המיקומים הגיאוגרפיים שבהם הם יכולים לגשת למשאבים של החברה.
לדוגמה, אם קבוצה של אנשי מכירות מבקרת באופן קבוע אצל לקוחות באוסטרליה ובהודו, אפשר להגביל את הגישה של הקבוצה למשרד הראשי ולאוסטרליה ולהודו. אם הם נוסעים למדינות אחרות לחופשה אישית כחלק מנסיעת עסקים, הם לא יכולים לגשת למשאבים של החברה מהמדינות האחרות האלה.
בדוגמה הזו, קבוצת המכירות יכולה לגשת למשאבים של החברה רק מארה"ב (המשרד הראשי), מאוסטרליה ומאירלנד.
| שם רמת הגישה | sales_access |
| צוות המכירות יקבל גישה אם | מתאימים למאפיינים |
| מאפיין תנאי 1 | אזור גיאוגרפי ארה"ב, אוסטרליה, הודו |
| הקצאת רמת גישה | קבוצה של אנשי מכירות כל האפליקציות שאנשי המכירות משתמשים בהן |
אפשר גם ליצור מדיניות שתחסום גישה ממדינות ספציפיות על ידי ציון שהמשתמשים יקבלו גישה אם הם לא עומדים בתנאים. צריך לציין את המדינות שמהן רוצים לחסום את הגישה.
שימוש ברמות גישה מוטמעות במקום בחירה של כמה רמות גישה במהלך הקצאה
במקרים מסוימים, כשמנסים להקצות רמות גישה ליחידה ארגונית או לקבוצה מסוימת ולאפליקציה (או לקבוצת אפליקציות), יכול להיות שתוצג הודעת שגיאה שבה תתבקשו לצמצם את מספר האפליקציות או רמות הגישה.
כדי למנוע את השגיאה הזו, אפשר לצמצם את מספר רמות הגישה שמשמשות במהלך ההקצאה על ידי קיבוץ שלהן לרמת גישה אחת. רמת הגישה המקוננת מאחדת כמה תנאים באמצעות פעולת OR, כאשר כל תנאי מכיל רמת גישה נפרדת.
בדוגמה הזו, USWest, USEast ו-USCentral נמצאים ב-3 רמות גישה נפרדות. נניח שאתם רוצים שהמשתמשים יוכלו לגשת לאפליקציות אם הם עומדים בתנאים של אחת מרמות הגישה USWest, USEast או USCentral.אתם יכולים ליצור רמת גישה מוטמעת אחת (שנקראת USRegions) באמצעות האופרטור OR. כשמגיע הזמן להקצות את רמות הגישה, מקצים את רמת הגישה USRegions לאפליקציה עבור היחידה הארגונית או הקבוצה.
|
שם רמת הגישה |
USRegions |
|
משתמש יקבל גישה אם הוא |
מתאימים למאפיינים |
|
מאפיין תנאי 1 (רק רמת גישה אחת לכל תנאי) |
רמת גישה USWest |
|
שילוב של תנאי 1 ותנאי 2 באמצעות |
או |
|
משתמש יקבל גישה אם הוא |
מתאימים למאפיינים |
|
מאפיין מצב 2 |
רמת גישה USEast |
|
שילוב של תנאי 2 ותנאי 3 באמצעות |
או |
|
משתמש יקבל גישה אם הוא |
מתאימים למאפיינים |
|
מאפיין תנאי 3 |
רמת גישה USCentral |
נדרש מכשיר בבעלות החברה במחשב אבל לא בנייד
חברה יכולה לדרוש מכשיר שולחני בבעלות החברה, אבל לא מכשיר נייד בבעלות החברה.
קודם יוצרים רמת גישה למחשבים:
|
שם רמת הגישה |
aldesktop_access |
|
משתמשים יקבלו גישה אם הם |
מתאימים למאפיינים |
|
מאפיין תנאי 1 |
מדיניות המכשיר
הצפנת המכשיר = לא נתמכת מערכת ההפעלה של המכשיר macOS = 0.0.0 Windows =0.0.0 מערכת הפעלה Linux = 0.0.0 ChromeOS = 0.0.0 |
לאחר מכן, יוצרים רמת גישה למכשירים ניידים:
|
שם רמת הגישה |
almobile_access |
|
משתמשים יקבלו גישה אם הם |
מתאימים למאפיינים |
|
מאפיין תנאי 1 |
מערכת ההפעלה של המכשיר iOS = 0.0.0 Android = 0.0.0 |
דרישה לאבטחת מכשיר בסיסית
רוב החברות הגדולות דורשות עכשיו מהעובדים לגשת למשאבים ארגוניים דרך מכשירים מוצפנים שעומדים בגרסאות מינימליות של מערכת ההפעלה. חלק מהחברות גם דורשות מהעובדים להשתמש במכשירים שבבעלות החברה.
אתם יכולים להגדיר את כללי המדיניות האלה לכל היחידות הארגוניות או רק ליחידות שעובדות עם נתונים רגישים, כמו הנהלת החברה, מחלקת הכספים או משאבי האנוש.
יש כמה דרכים להגדיר מדיניות שכוללת הצפנת מכשירים, גרסה מינימלית של מערכת ההפעלה ומכשירים בבעלות החברה. לכל אחת מהן יש יתרונות וחסרונות.
רמת גישה אחת שמכילה את כל דרישות האבטחה
בדוגמה הזו, הצפנת המכשיר, הגרסה המינימלית של מערכת ההפעלה והמאפיינים של מכשיר בבעלות החברה כלולים ברמת גישה אחת. המשתמשים צריכים לעמוד בכל התנאים כדי לקבל גישה.
לדוגמה, אם מכשיר של משתמש מוצפן והוא בבעלות החברה, אבל לא מותקנת בו גרסה תואמת של מערכת ההפעלה, הגישה למשתמש תיחסם.
יתרון: קל להגדרה. כשמקצים את רמת הגישה הזו לאפליקציה, המשתמש צריך לעמוד בכל הדרישות.
חיסרון: כדי להקצות בנפרד את דרישות האבטחה ליחידות ארגוניות שונות, צריך ליצור רמת גישה נפרדת לכל דרישת אבטחה.
| שם רמת הגישה | device_security |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין של תנאי 1 (אפשר להוסיף את כל המאפיינים לתנאי אחד או ליצור 3 תנאים ולחבר אותם באמצעות AND). |
מדיניות מכשירים מערכת ההפעלה של המכשיר |
3 רמות גישה נפרדות
בדוגמה הזו, הצפנת המכשיר, הגרסה המינימלית של מערכת ההפעלה ומאפייני המכשיר בבעלות החברה נמצאים ב-3 רמות גישה נפרדות. כדי לקבל גישה, המשתמשים צריכים לעמוד בתנאים של רק אחת מרמות הגישה. זוהי פעולת OR לוגית של רמות גישה.
לדוגמה, משתמש שיש לו מכשיר מוצפן ופועלת בו גרסה ישנה יותר של מערכת ההפעלה במכשיר אישי מקבל גישה.
יתרון: דרך מפורטת להגדיר רמות גישה. אפשר להקצות רמות גישה שונות ליחידות ארגוניות שונות.
חיסרון: המשתמשים צריכים לעמוד בתנאים של רק אחת מרמות הגישה.
| שם רמת הגישה | device_encryption |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 |
מדיניות המכשיר |
| שם רמת הגישה | corp_device |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 |
מדיניות המכשיר |
| שם רמת הגישה | min_os |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 |
מדיניות המכשיר |
רמת גישה אחת עם רמות גישה מוטמעות
בדוגמה הזו, ההצפנה של המכשיר, גרסת המינימום של מערכת ההפעלה ודרישות האבטחה של מכשיר בבעלות החברה מוגדרים ב-3 רמות גישה נפרדות. שלוש רמות הגישה האלה מוטמעות בתוך רמת גישה רביעית.
כשמקצים את רמת הגישה הרביעית לאפליקציות, המשתמשים צריכים לעמוד בתנאים בכל אחת מ-3 רמות הגישה המקוננות כדי לקבל גישה. זוהי פעולת AND לוגית של רמות גישה.
לדוגמה, למשתמש שיש לו מכשיר מוצפן ופועלת בו גרסה ישנה יותר של מערכת ההפעלה במכשיר אישי, הגישה נחסמת.
יתרון: אתם יכולים להפריד בין דרישות האבטחה ברמות הגישה 1, 2 ו-3. באמצעות רמת גישה 4, אפשר גם לאכוף מדיניות עם כל דרישות האבטחה.
חיסרון: יומן הביקורת מתעד רק את הגישה שנחסמה לרמת גישה 4 (ולא לרמות גישה 1, 2 ו-3), כי רמות גישה 1, 2 ו-3 לא מוקצות ישירות לאפליקציות.
יוצרים 3 רמות גישה כמו שמתואר בקטע '3 רמות גישה נפרדות' למעלה: device_encryption, corp_device ו-min_os. לאחר מכן יוצרים רמת גישה רביעית בשם device_security עם 3 תנאים. לכל תנאי יש מאפיין של רמת גישה. (אפשר להוסיף רק מאפיין אחד של רמת גישה לכל תנאי).
| שם רמת הגישה | device_security |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 (רק רמת גישה אחת לכל תנאי) |
רמת הגישה device_encryption |
| שילוב של תנאי 1 ותנאי 2 באמצעות | וגם |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 | רמת הגישה corp_device |
| שילוב של תנאי 2 ותנאי 3 באמצעות | וגם |
| משתמש יקבל גישה אם הוא | מתאימים למאפיינים |
| מאפיין תנאי 1 | רמת גישה min_os |