इस लेख में, कॉन्टेक्स्ट अवेयर ऐक्सेस के सामान्य इस्तेमाल के उदाहरण दिए गए हैं. इसमें, बेसिक मोड में तैयार किए गए सैंपल कॉन्फ़िगरेशन भी शामिल हैं.
ऐडवांस मोड (सीईएल एडिटर का इस्तेमाल करके) में तैयार किए गए ऐक्सेस लेवल के उदाहरण देखने के लिए, ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण पर जाएं.
ठेकेदारों को सिर्फ़ कॉर्पोरेट नेटवर्क से ऐक्सेस करने की अनुमति देना
कई कंपनियां, ठेकेदारों के लिए कॉर्पोरेट संसाधनों के ऐक्सेस को सीमित करना चाहती हैं. उदाहरण के लिए, वे कंपनियां जो सामान्य सहायता से जुड़े कॉल का जवाब देने या सहायता केंद्रों और कॉल सेंटरों में काम करने के लिए ठेकेदारों की मदद लेती हैं. फ़ुल-टाइम कर्मचारियों की तरह, ठेकेदारों के पास भी ज़रूरी लाइसेंस होना चाहिए, ताकि वे कॉन्टेक्स्ट अवेयर ऐक्सेस की नीतियों के तहत आ सकें.
इस उदाहरण में, ठेकेदारों को कॉर्पोरेट संसाधनों का ऐक्सेस सिर्फ़ कॉर्पोरेट आईपी पते की किसी खास रेंज से मिलता है.
| ऐक्सेस लेवल का नाम | contractor_access |
| किसी ठेकेदार को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.192.0/18 |
| ऐक्सेस लेवल का असाइनमेंट | ठेकेदारों के लिए संगठन की इकाइयां ठेकेदारों के इस्तेमाल किए जाने वाले सभी ऐप्लिकेशन |
जानबूझकर हैक करने वाले आईपी पतों से ऐक्सेस ब्लॉक करना
कंपनी के संसाधनों को हैक होने से बचाने के लिए, कई कंपनियां ज़्यादा जोखिम वाले सोर्स को ऐक्सेस करने की सुविधा ब्लॉक कर देती हैं.
इस उदाहरण में, आईपी पता 74.125.195.105 ब्लॉक किया गया है. अगर उपयोगकर्ताओं के सेशन किसी अन्य आईपी पते से शुरू होते हैं, तो उन्हें कॉर्पोरेट संसाधनों का ऐक्सेस मिलता है. आपके पास एक से ज़्यादा आईपी पते और रेंज तय करने का विकल्प होता है.
| ऐक्सेस लेवल का नाम | block_highrisk |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | विशेषताएं न हों |
| शर्त 1 का एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.195.105 |
| ऐक्सेस लेवल का असाइनमेंट | संगठन की टॉप-लेवल की इकाई सभी ऐप्लिकेशन |
Google Cloud में किसी खास निजी नेटवर्क से ऐक्सेस करने की अनुमति देना
कई कंपनियां, उपयोगकर्ताओं के ट्रैफ़िक को वर्चुअल प्राइवेट क्लाउड (वीपीसी) के ज़रिए Google पर भेजती हैं. वीपीसी, Google Cloud एनवायरमेंट में एक सुरक्षित और अलग नेटवर्क होता है.
ध्यान दें कि आपके वीपीसी के ज़रिए भेजे जाने वाले ट्रैफ़िक में निजी आईपी पतों का इस्तेमाल किया जा सकता है. इससे, सार्वजनिक आईपी या इलाके की नीतियों से जुड़ी समस्याएं हो सकती हैं.
इस उदाहरण में, इन खास वीपीसी से आने वाले ट्रैफ़िक को अनुमति दी जा सकती है.
| ऐक्सेस लेवल का नाम | vpc_access |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह... | जानकारी दें |
| शर्त 1 के एट्रिब्यूट |
आईपी सबनेट (निजी) निजी आईपी सबनेटवर्क: //compute.googleapis.com/projects/project- name-test/global/networks/network-name वीपीसी सबनेट: 74.125.192.0/18 |
| ऐक्सेस लेवल का असाइनमेंट |
सभी उपयोगकर्ताओं के लिए संगठन की इकाइयां ठेकेदारों के इस्तेमाल किए जाने वाले सभी ऐप्लिकेशन |
अहम बातें:
- सिर्फ़ डायरेक्ट ट्रैफ़िक: यह ऐक्सेस लेवल सिर्फ़ उस ट्रैफ़िक के लिए काम करता है जो अनुमति वाली सूची में शामिल वीपीसी से सीधे Google के सर्वर तक पहुंचता है. अगर ट्रैफ़िक पहले किसी दूसरे नेटवर्क या टनल से जाता है, तो ऐक्सेस नहीं दिया जाता. Google सिर्फ़ उस वीपीसी को पहचानता है जो अपने सर्वर पर ट्रैफ़िक भेजता है.
- एडमिन की अनुमतियां: वीपीसी देखने और इस ऐक्सेस लेवल को कॉन्फ़िगर करने के लिए, एडमिन के पास आइडेंटिटी ऐंड ऐक्सेस मैनेजमेंट (IAM) की ज़रूरी भूमिका होनी चाहिए. जैसे, compute.networks.list, compute.subnetworks.list वगैरह.
- बाहरी वीपीसी: अनुमति वाली सूची में शामिल वीपीसी, आपके मौजूदा Google Cloud डोमेन से बाहर का हो सकता है. बाहरी वीपीसी जोड़ने के लिए, एडमिन के पास देखने की अनुमति होनी चाहिए.
कुछ खास जगहों से ऐक्सेस करने की अनुमति देना या न देना
अगर आपके कर्मचारी, कॉर्पोरेट या पार्टनर के ऑफ़िस में नियमित तौर पर यात्रा करते हैं, तो उन जगहों की जानकारी दी जा सकती है जहां वे कॉर्पोरेट संसाधनों को ऐक्सेस कर सकते हैं.
उदाहरण के लिए, अगर सेल्स टीम के सदस्य, ऑस्ट्रेलिया और भारत में ग्राहकों से नियमित तौर पर मिलते हैं, तो इस टीम के ऐक्सेस को उनके होम ऑफ़िस और ऑस्ट्रेलिया और भारत तक सीमित किया जा सकता है. अगर वे किसी कारोबारी यात्रा के दौरान, निजी छुट्टी के लिए दूसरे देशों में जाते हैं, तो वे उन देशों से कॉर्पोरेट संसाधनों को ऐक्सेस नहीं कर सकते.
इस उदाहरण में, सेल्स टीम के सदस्य, कॉर्पोरेट संसाधनों को सिर्फ़ अमेरिका (होम ऑफ़िस), ऑस्ट्रेलिया, और भारत से ऐक्सेस कर सकते हैं.
| ऐक्सेस लेवल का नाम | sales_access |
| सेल्स टीम के सदस्यों को ऐक्सेस तब मिलता है, जब वे | जानकारी दें |
| शर्त 1 का एट्रिब्यूट | भौगोलिक जगह अमेरिका, ऑस्ट्रेलिया, भारत |
| ऐक्सेस लेवल का असाइनमेंट | सेल्स टीम के सदस्यों का ग्रुप सेल्स टीम के सदस्यों के इस्तेमाल किए जाने वाले सभी ऐप्लिकेशन |
आपके पास किसी खास देश से ऐक्सेस रोकने के लिए भी नीति बनाने का विकल्प होता है. इसके लिए, यह तय करें कि उपयोगकर्ताओं को ऐक्सेस तब मिलेगा, जब वे शर्तें पूरी न करें. आपको उन देशों की सूची बनानी होगी जिनसे ऐक्सेस ब्लॉक करना है.
असाइनमेंट के दौरान एक से ज़्यादा ऐक्सेस लेवल चुनने के बजाय, नेस्ट किए गए ऐक्सेस लेवल का इस्तेमाल करना
कुछ मामलों में, किसी संगठन की इकाई या ग्रुप और किसी ऐप्लिकेशन (या ऐप्लिकेशन के सेट) को ऐक्सेस लेवल असाइन करने की कोशिश करने पर, आपको एक गड़बड़ी का मैसेज दिख सकता है. इसमें, ऐप्लिकेशन या ऐक्सेस लेवल की संख्या कम करने के लिए कहा जा सकता है.
इस गड़बड़ी से बचने के लिए, असाइनमेंट के दौरान इस्तेमाल किए जाने वाले ऐक्सेस लेवल की संख्या कम की जा सकती है. इसके लिए, उन्हें किसी एक ऐक्सेस लेवल में नेस्ट करें. नेस्ट किए गए ऐक्सेस लेवल में, एक से ज़्यादा शर्तों को OR ऑपरेशन के साथ जोड़ा जाता है. हर शर्त में, एक अलग ऐक्सेस लेवल होता है.
इस उदाहरण में, USWest, USEast, और USCentral, तीन अलग-अलग ऐक्सेस लेवल में हैं. मान लें कि आपको उपयोगकर्ताओं को ऐप्लिकेशन ऐक्सेस करने की अनुमति देनी है. इसके लिए, उन्हें USWest या USEast या USCentral में से किसी भी ऐक्सेस लेवल की शर्तें पूरी करनी होंगी. इसके लिए, OR ऑपरेटर का इस्तेमाल करके, नेस्ट किया गया एक ऐक्सेस लेवल (जिसे USRegions कहा जाता है) बनाया जा सकता है. ऐक्सेस लेवल असाइन करते समय, संगठन की इकाई या ग्रुप के लिए ऐप्लिकेशन को USRegions ऐक्सेस लेवल असाइन करें.
|
ऐक्सेस लेवल का नाम |
USRegions |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह |
जानकारी दें |
|
शर्त 1 का एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल USWest |
|
शर्त 1 और शर्त 2 को इससे जोड़ें |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह |
जानकारी दें |
|
शर्त 2 का एट्रिब्यूट |
ऐक्सेस लेवल USEast |
|
शर्त 2 और शर्त 3 को इससे जोड़ें |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह |
जानकारी दें |
|
शर्त 3 का एट्रिब्यूट |
ऐक्सेस लेवल USCentral |
डेस्कटॉप पर कंपनी के मालिकाना हक वाला डिवाइस होना ज़रूरी है, लेकिन मोबाइल डिवाइस पर नहीं
कोई कंपनी, कंपनी के मालिकाना हक वाला डेस्कटॉप डिवाइस इस्तेमाल करने की शर्त रख सकती है. हालांकि, कंपनी के मालिकाना हक वाला मोबाइल डिवाइस इस्तेमाल करने की शर्त नहीं रख सकती.
सबसे पहले, डेस्कटॉप डिवाइसों के लिए एक ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
aldesktop_access |
|
उपयोगकर्ताओं को ऐक्सेस तब मिलता है, जब वे |
जानकारी दें |
|
शर्त 1 का एट्रिब्यूट |
डिवाइस से जुड़ी नीति
डिवाइस एन्क्रिप्शन = उपलब्ध नहीं है डिवाइस OS macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
इसके बाद, मोबाइल डिवाइसों के लिए एक ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
almobile_access |
|
उपयोगकर्ताओं को ऐक्सेस तब मिलता है, जब वे |
जानकारी दें |
|
शर्त 1 का एट्रिब्यूट |
डिवाइस OS iOS = 0.0.0 Android = 0.0.0 |
डिवाइस की बुनियादी सुरक्षा की ज़रूरत है
ज़्यादातर एंटरप्राइज़ कंपनियां अब कर्मचारियों से कॉर्पोरेट संसाधनों को ऐक्सेस करने के लिए, एन्क्रिप्ट (सुरक्षित) किए गए डिवाइसों का इस्तेमाल करने की शर्त रखती हैं. साथ ही, यह भी ज़रूरी है कि डिवाइसों में ऑपरेटिंग सिस्टम के ज़रूरी वर्शन मौजूद हों. कुछ कंपनियां, कर्मचारियों से कंपनी के मालिकाना हक वाले डिवाइसों का इस्तेमाल करने की शर्त भी रखती हैं.
इन नीतियों को संगठन की सभी इकाइयों के लिए कॉन्फ़िगर किया जा सकता है. इसके अलावा, सिर्फ़ उन इकाइयों के लिए भी कॉन्फ़िगर किया जा सकता है जो संवेदनशील डेटा के साथ काम करती हैं. जैसे, कंपनी के एक्ज़ेक्यूटिव, फ़ाइनेंस या एचआर.
डिवाइस एन्क्रिप्शन, ऑपरेटिंग सिस्टम के ज़रूरी वर्शन, और कंपनी के मालिकाना हक वाले डिवाइसों से जुड़ी नीति को कई तरीकों से कॉन्फ़िगर किया जा सकता है. इन सभी तरीकों के अपने फ़ायदे और नुकसान हैं.
एक ऐसा ऐक्सेस लेवल जिसमें सुरक्षा से जुड़ी सभी ज़रूरी शर्तें शामिल हों
इस उदाहरण में, डिवाइस एन्क्रिप्शन, ऑपरेटिंग सिस्टम के ज़रूरी वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस के एट्रिब्यूट, एक ही ऐक्सेस लेवल में शामिल हैं. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सभी शर्तें पूरी करनी होंगी.
उदाहरण के लिए, अगर किसी उपयोगकर्ता का डिवाइस एन्क्रिप्ट (सुरक्षित) किया गया है और वह कंपनी के मालिकाना हक वाला है, लेकिन उसमें ऑपरेटिंग सिस्टम का ज़रूरी वर्शन मौजूद नहीं है, तो उसे ऐक्सेस नहीं दिया जाएगा.
फ़ायदा: आसानी से सेट अप किया जा सकता है. किसी ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ता को सभी ज़रूरी शर्तें पूरी करनी होंगी.
नुकसान: सुरक्षा से जुड़ी ज़रूरी शर्तों को संगठन की अलग-अलग इकाइयों को अलग-अलग असाइन करने के लिए, हर शर्त के लिए अलग ऐक्सेस लेवल बनाना होगा.
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट (सभी एट्रिब्यूट को एक शर्त में जोड़ा जा सकता है या तीन शर्तें बनाई जा सकती हैं और उन्हें AND से जोड़ा जा सकता है.) |
डिवाइस से जुड़ी नीति डिवाइस OS |
तीन अलग-अलग ऐक्सेस लेवल
इस उदाहरण में, डिवाइस एन्क्रिप्शन, ऑपरेटिंग सिस्टम के ज़रूरी वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस के एट्रिब्यूट, तीन अलग-अलग ऐक्सेस लेवल में हैं. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होंगी. यह ऐक्सेस लेवल का लॉजिकल OR है.
उदाहरण के लिए, किसी ऐसे उपयोगकर्ता को ऐक्सेस मिलता है जिसका डिवाइस एन्क्रिप्ट (सुरक्षित) किया गया है और वह निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है.
फ़ायदा: ऐक्सेस लेवल को बारीकी से तय किया जा सकता है. ऐक्सेस लेवल को संगठन की अलग-अलग इकाइयों को अलग-अलग असाइन किया जा सकता है.
नुकसान: उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होंगी.
| ऐक्सेस लेवल का नाम | device_encryption |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट |
डिवाइस से जुड़ी नीति |
| ऐक्सेस लेवल का नाम | corp_device |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट |
डिवाइस से जुड़ी नीति |
| ऐक्सेस लेवल का नाम | min_os |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट |
डिवाइस से जुड़ी नीति |
नेस्ट किए गए ऐक्सेस लेवल वाला एक ऐक्सेस लेवल
इस उदाहरण में, डिवाइस एन्क्रिप्शन, ऑपरेटिंग सिस्टम के ज़रूरी वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की सुरक्षा से जुड़ी ज़रूरी शर्तें, तीन अलग-अलग ऐक्सेस लेवल में हैं. ये तीन ऐक्सेस लेवल, चौथे ऐक्सेस लेवल में नेस्ट किए गए हैं.
ऐप्लिकेशन को चौथा ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ताओं को ऐक्सेस पाने के लिए, नेस्ट किए गए तीनों ऐक्सेस लेवल की शर्तें पूरी करनी होंगी. यह ऐक्सेस लेवल का लॉजिकल AND है.
उदाहरण के लिए, किसी ऐसे उपयोगकर्ता को ऐक्सेस नहीं मिलता जिसका डिवाइस एन्क्रिप्ट (सुरक्षित) किया गया है और वह निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है.
फ़ायदा: आपके पास ऐक्सेस लेवल 1, 2, और 3 में सुरक्षा से जुड़ी ज़रूरी शर्तों को अलग-अलग करने की सुविधा होती है. ऐक्सेस लेवल 4 का इस्तेमाल करके, सुरक्षा से जुड़ी सभी ज़रूरी शर्तों वाली नीति भी लागू की जा सकती है.
नुकसान: ऑडिट लॉग में सिर्फ़ ऐक्सेस लेवल 4 के लिए ऐक्सेस न मिलने की जानकारी दिखती है. इसमें ऐक्सेस लेवल 1, 2, और 3 के लिए ऐक्सेस न मिलने की जानकारी नहीं दिखती. इसकी वजह यह है कि ऐक्सेस लेवल 1, 2, और 3 को सीधे तौर पर ऐप्लिकेशन को असाइन नहीं किया जाता.
ऊपर दिए गए "तीन अलग-अलग ऐक्सेस लेवल" में बताए गए तरीके से, तीन ऐक्सेस लेवल बनाएं: "device_encryption," "corp_device," और "min_os." इसके बाद, "device_security" नाम का चौथा ऐक्सेस लेवल बनाएं. इसमें तीन शर्तें होंगी. हर शर्त में, ऐक्सेस लेवल को एट्रिब्यूट के तौर पर इस्तेमाल किया जाता है. (हर शर्त के लिए, ऐक्सेस लेवल का सिर्फ़ एक एट्रिब्यूट जोड़ा जा सकता है.)
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल device_encryption |
| शर्त 1 और शर्त 2 को इससे जोड़ें | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट | ऐक्सेस लेवल corp_device |
| शर्त 2 और शर्त 3 को इससे जोड़ें | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब वह | जानकारी दें |
| शर्त 1 का एट्रिब्यूट | ऐक्सेस लेवल min_os |
संबंधित जानकारी
- कॉन्टेक्स्ट अवेयर ऐक्सेस से जुड़ी खास जानकारी
- सॉफ़्टवेयर सेट अप करना और कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाना
- ऐप्लिकेशन के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल असाइन करना
- ग्रुप की मदद से, कॉन्टेक्स्ट अवेयर ऐक्सेस को पसंद के मुताबिक बनाना
- ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण
- कॉन्टेक्स्ट अवेयर ऐक्सेस का ऑडिट लॉग