مثال‌های دسترسی آگاه از متن برای حالت پایه

این مقاله موارد استفاده رایج برای دسترسی آگاه از متن (Context-Aware Access) را شرح می‌دهد و شامل پیکربندی‌های نمونه‌ای است که در حالت پایه (Basic mode) توسعه داده شده‌اند.

برای مثال‌هایی از سطوح دسترسی توسعه‌یافته در حالت پیشرفته (با استفاده از ویرایشگر CEL)، به مثال‌های Context-Aware Access برای حالت پیشرفته مراجعه کنید.

دسترسی به پیمانکاران را فقط از طریق شبکه شرکت مجاز کنید

بسیاری از شرکت‌ها می‌خواهند دسترسی پیمانکاران به منابع سازمانی را محدود کنند. به عنوان مثال، شرکت‌هایی که از پیمانکاران برای پاسخگویی به تماس‌های پشتیبانی عمومی یا کار در مراکز کمک و مراکز تماس استفاده می‌کنند. مشابه کارمندان تمام وقت، پیمانکاران نیز باید دارای مجوز پشتیبانی باشند تا تحت پوشش سیاست‌های دسترسی آگاه از متن قرار گیرند.

در این مثال، پیمانکاران فقط از یک محدوده آدرس IP خاص شرکت به منابع شرکت دسترسی دارند.

نام سطح دسترسی	دسترسی_پیمانکار
یک پیمانکار در صورت دسترسی به آنها،	ملاقات با ویژگی‌ها
ویژگی شرط ۱	زیرشبکه IP (عمومی) ۷۴.۱۲۵.۱۹۲.۰/۱۸
تعیین سطح دسترسی	واحدهای سازمانی پیمانکاران همه برنامه‌هایی که پیمانکاران استفاده می‌کنند

دسترسی از آدرس‌های IP شناخته‌شده‌ی رباینده را مسدود کنید

برای محافظت از منابع شرکت در برابر به خطر افتادن، بسیاری از شرکت‌ها دسترسی به منابع پرخطر شناخته‌شده را مسدود می‌کنند.

در این مثال، آدرس IP 74.125.195.105 مسدود شده است. کاربران در صورتی که جلسات آنها از هر آدرس IP دیگری آغاز شود، به منابع شرکت دسترسی خواهند داشت. می‌توانید چندین آدرس و محدوده IP را مشخص کنید.

نام سطح دسترسی	block_highrisk
یک کاربر در صورتی دسترسی پیدا می‌کند که	با ویژگی‌ها مطابقت ندارد
ویژگی شرط ۱	زیرشبکه IP (عمومی) ۷۴.۱۲۵.۱۹۵.۱۰۵
تعیین سطح دسترسی	واحد سازمانی سطح بالا همه برنامه‌ها

اجازه دسترسی از یک شبکه خصوصی خاص در Google Cloud

بسیاری از شرکت‌ها ترافیک کاربران را از طریق یک ابر خصوصی مجازی (VPC) به گوگل هدایت می‌کنند. VPC یک شبکه امن و ایزوله در محیط ابر گوگل است.

توجه داشته باشید که ترافیکی که از طریق VPC شما هدایت می‌شود ممکن است از آدرس‌های IP خصوصی استفاده کند. این می‌تواند باعث ایجاد مشکلاتی در IP عمومی یا سیاست‌های منطقه‌ای شود.

در این مثال، می‌توانید به ترافیک این VPCهای خاص اجازه عبور دهید.

نام سطح دسترسی	دسترسی vpc
یک کاربر در صورتی دسترسی پیدا می‌کند که ...	ملاقات با ویژگی‌ها
ویژگی‌های شرط ۱	زیرشبکه IP (خصوصی) زیرشبکه IP خصوصی: //compute.googleapis.com/projects/project- نام-آزمون/جهانی/شبکه‌ها/نام-شبکه زیرشبکه VPC: 74.125.192.0/18
تعیین سطح دسترسی	واحدهای سازمانی برای همه کاربران همه برنامه‌هایی که پیمانکاران استفاده می‌کنند

نکات مهم برای به خاطر سپردن:

• فقط ترافیک مستقیم : این سطح دسترسی فقط برای ترافیکی کار می‌کند که مستقیماً از VPC لیست شده به سرورهای گوگل می‌رسد. اگر ترافیک ابتدا از طریق شبکه یا تونل دیگری عبور کند، دسترسی اعطا نمی‌شود. گوگل فقط آخرین VPC را که ترافیک را به سرورهای خود ارسال می‌کند، می‌شناسد.
• مجوزهای مدیریتی : برای مشاهده VPCها و پیکربندی این سطح دسترسی، مدیران باید نقش مدیریت هویت و دسترسی (IAM) مناسب را داشته باشند (برای مثال، compute.networks.list ، compute.subnetworks.list و غیره).
• VPC های خارجی : VPC ای که به لیست اضافه می‌کنید می‌تواند از خارج از دامنه فعلی Google Cloud شما باشد. برای اضافه کردن VPC خارجی، مدیر باید مجوز مشاهده داشته باشد.

اجازه یا عدم اجازه دسترسی از مکان‌های خاص

اگر کارمندانی دارید که مرتباً به دفاتر دورافتاده شرکت یا دفاتر همکار سفر می‌کنند، می‌توانید مکان‌های جغرافیایی که می‌توانند به منابع شرکتی دسترسی داشته باشند را مشخص کنید.

برای مثال، اگر گروهی از فروشندگان مرتباً با مشتریانی در استرالیا و هند ملاقات می‌کنند، می‌توانید دسترسی این گروه را به دفتر کار خانگی‌شان و استرالیا و هند محدود کنید. اگر آنها به عنوان بخشی از یک سفر کاری برای تعطیلات شخصی به کشورهای دیگر سفر کنند، نمی‌توانند به منابع شرکتی از آن کشورهای دیگر دسترسی داشته باشند.

در این مثال، گروه فروش فقط می‌تواند از ایالات متحده (دفتر مرکزی)، استرالیا و هند به منابع شرکتی دسترسی داشته باشد.

نام سطح دسترسی	دسترسی_فروش
در صورت دسترسی، فروش انجام می‌شود	ملاقات با ویژگی‌ها
ویژگی شرط ۱	منشأ جغرافیایی آمریکا، استرالیا، هند
تعیین سطح دسترسی	گروهی از فروشندگان همه برنامه‌هایی که فروشندگان استفاده می‌کنند

همچنین می‌توانید سیاستی ایجاد کنید تا دسترسی از کشورهای خاص را مسدود کند، به این صورت که مشخص کنید کاربران در صورت عدم رعایت شرایط، دسترسی دریافت می‌کنند. می‌توانید کشورهایی را که می‌خواهید دسترسی از آنها را مسدود کنید، فهرست کنید.

به جای انتخاب چندین سطح دسترسی در طول تخصیص، از سطوح دسترسی تو در تو استفاده کنید

در برخی موارد، وقتی سعی می‌کنید سطوح دسترسی را به یک واحد یا گروه سازمانی مشخص و یک برنامه (یا مجموعه‌ای از برنامه‌ها) اختصاص دهید، ممکن است پیام خطایی مشاهده کنید که از شما می‌خواهد تعداد برنامه‌ها یا سطوح دسترسی را کاهش دهید.

برای جلوگیری از این خطا، می‌توانید تعداد سطوح دسترسی مورد استفاده در طول انتساب را با قرار دادن آنها در یک سطح دسترسی واحد، کاهش دهید. سطح دسترسی تو در تو، چندین شرط را با یک عملگر OR به هم متصل می‌کند، که هر شرط شامل یک سطح دسترسی جداگانه است.

در این مثال، USWest، USEast و USCentral در ۳ سطح دسترسی جداگانه قرار دارند. فرض کنید می‌خواهید کاربران در صورت داشتن هر یک از سطوح دسترسی USWest یا USEast یا USCentral بتوانند به برنامه‌ها دسترسی داشته باشند. می‌توانید با استفاده از عملگر OR یک سطح دسترسی تو در تو (به نام USRegions) ایجاد کنید. وقتی زمان تعیین سطوح دسترسی فرا رسید، سطح دسترسی USRegions را به برنامه مربوط به واحد یا گروه سازمانی اختصاص دهید.

نام سطح دسترسی	مناطق ایالات متحده
یک کاربر در صورتی دسترسی پیدا می‌کند که	ملاقات با ویژگی‌ها
ویژگی شرط ۱ (فقط ۱ سطح دسترسی برای هر شرط)	سطح دسترسی ایالات متحده غرب
شرط ۱ و شرط ۲ را با هم ترکیب کنید	یا
یک کاربر در صورتی دسترسی پیدا می‌کند که	ملاقات با ویژگی‌ها
ویژگی شرط ۲	سطح دسترسی شرق ایالات متحده
شرط ۲ و شرط ۳ را با هم ترکیب کنید	یا
یک کاربر در صورتی دسترسی پیدا می‌کند که	ملاقات با ویژگی‌ها
ویژگی شرط ۳	سطح دسترسی مرکز ایالات متحده

نیاز به مالکیت شرکت روی دسکتاپ دارد اما روی دستگاه تلفن همراه خیر

یک شرکت ممکن است به یک دستگاه رومیزی متعلق به خود شرکت نیاز داشته باشد، اما به یک دستگاه موبایل متعلق به خود شرکت نیاز نداشته باشد.

ابتدا، یک سطح دسترسی برای دستگاه‌های دسکتاپ ایجاد کنید:

نام سطح دسترسی	دسترسی به دسکتاپ
کاربران در صورت دسترسی، می‌توانند	ملاقات با ویژگی‌ها
ویژگی شرط ۱	سیاست دستگاه دستگاه متعلق به شرکت الزامی است رمزگذاری دستگاه = پشتیبانی نمی‌شود سیستم عامل دستگاه مک او اس = 0.0.0 ویندوز = 0.0.0 سیستم عامل لینوکس = 0.0.0 سیستم عامل کروم = 0.0.0

سپس، یک سطح دسترسی برای دستگاه‌های تلفن همراه ایجاد کنید:

نام سطح دسترسی	almobile_access
کاربران در صورت دسترسی، می‌توانند	ملاقات با ویژگی‌ها
ویژگی شرط ۱	سیستم عامل دستگاه آی‌او‌اس = ۰.۰.۰ اندروید = 0.0.0

نیاز به امنیت اولیه دستگاه

اکثر شرکت‌های بزرگ اکنون از کارمندان می‌خواهند که از طریق دستگاه‌های رمزگذاری شده و با حداقل نسخه‌های سیستم عامل به منابع سازمانی دسترسی داشته باشند. برخی نیز الزام می‌کنند که کارمندان از دستگاه‌های متعلق به شرکت استفاده کنند.

شما می‌توانید این سیاست‌ها را برای تمام واحدهای سازمانی خود یا فقط برای واحدهایی که با داده‌های حساس کار می‌کنند، مانند مدیران شرکت، امور مالی یا منابع انسانی، پیکربندی کنید.

روش‌های مختلفی برای پیکربندی یک سیاست وجود دارد که شامل رمزگذاری دستگاه، حداقل نسخه سیستم عامل و دستگاه‌های متعلق به شرکت می‌شود. هر کدام از این روش‌ها مزایا و معایبی دارند.

اطلاعات مرتبط

• مرور کلی دسترسی آگاه از متن
• راه‌اندازی نرم‌افزار و ایجاد سطوح دسترسی Context-Aware
• سطوح دسترسی Context-Aware را به برنامه‌ها اختصاص دهید
• سفارشی‌سازی دسترسی مبتنی بر متن با گروه‌ها
• مثال‌های دسترسی آگاه از متن برای حالت پیشرفته
• گزارش حسابرسی دسترسی آگاه از متن