इस लेख में, कॉन्टेक्स्ट अवेयर ऐक्सेस के इस्तेमाल के सामान्य उदाहरण दिए गए हैं. साथ ही, इसमें बेसिक मोड में बनाए गए कॉन्फ़िगरेशन के सैंपल भी शामिल हैं.
ऐडवांस मोड में बनाए गए ऐक्सेस लेवल के उदाहरणों के लिए, ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण पर जाएं.
ठेकेदारों को सिर्फ़ कॉर्पोरेट नेटवर्क के ज़रिए ऐक्सेस करने की अनुमति दें
कई कंपनियां, ठेकेदारों को कॉर्पोरेट संसाधनों का ऐक्सेस देने पर पाबंदी लगाना चाहती हैं. उदाहरण के लिए, ऐसी कंपनियां जो सहायता से जुड़े सामान्य कॉल का जवाब देने के लिए ठेकेदारों का इस्तेमाल करती हैं या सहायता केंद्रों और कॉल सेंटर में काम करती हैं. फ़ुल-टाइम कर्मचारियों की तरह, ठेकेदारों के पास भी कॉन्टेक्स्ट के हिसाब से ऐक्सेस देने की नीतियों के तहत आने के लिए, ज़रूरी लाइसेंस होना चाहिए.
इस उदाहरण में, ठेकेदारों को कॉर्पोरेट संसाधनों का ऐक्सेस सिर्फ़ कॉर्पोरेट आईपी पते की किसी खास रेंज से मिलता है.
| ऐक्सेस लेवल का नाम | contractor_access |
| कॉन्ट्रैक्टर को ऐक्सेस मिल सकता है, अगर | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.192.0/18 |
| ऐक्सेस लेवल असाइन करना | ठेकेदारों के लिए संगठनात्मक इकाइयां ठेकेदार जिन सभी ऐप्लिकेशन का इस्तेमाल करते हैं |
आईपी पते हाइजैक करने वाले जाने-पहचाने आईपी पतों से ऐक्सेस ब्लॉक करना
कंपनी के संसाधनों को खतरे में पड़ने से बचाने के लिए, कई कंपनियां ज़्यादा जोखिम वाले जाने-पहचाने सोर्स का ऐक्सेस ब्लॉक कर देती हैं.
इस उदाहरण में, आईपी पते 74.125.195.105 को ब्लॉक किया गया है. अगर उपयोगकर्ताओं के सेशन किसी दूसरे आईपी पते से शुरू होते हैं, तो उन्हें कॉर्पोरेट संसाधनों का ऐक्सेस मिलता है. एक से ज़्यादा आईपी पते और रेंज तय की जा सकती हैं.
| ऐक्सेस लेवल का नाम | block_highrisk |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | विशेषताएं न हों |
| शर्त 1 एट्रिब्यूट | आईपी सबनेट (सार्वजनिक) 74.125.195.105 |
| ऐक्सेस लेवल असाइन करना | टॉप-लेवल की संगठनात्मक इकाई सभी ऐप्लिकेशन |
Google Cloud में किसी खास निजी नेटवर्क से ऐक्सेस करने की अनुमति देना
कई कंपनियां, वर्चुअल प्राइवेट क्लाउड (वीपीसी) के ज़रिए उपयोगकर्ता ट्रैफ़िक को Google पर भेजती हैं. VPC, Google Cloud एनवायरमेंट में मौजूद एक सुरक्षित और अलग नेटवर्क होता है.
ध्यान रखें कि आपके वीपीसी से रूट किए गए ट्रैफ़िक में निजी आईपी पतों का इस्तेमाल किया जा सकता है. इससे सार्वजनिक आईपी या क्षेत्र की नीतियों से जुड़ी समस्याएं हो सकती हैं.
इस उदाहरण में, इन वीपीसी से आने वाले ट्रैफ़िक को अनुमति दी जा सकती है.
| ऐक्सेस लेवल का नाम | vpc_access |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब... | मीटिंग के एट्रिब्यूट |
| शर्त 1 के एट्रिब्यूट |
आईपी सबनेट (निजी) निजी आईपी सबनेटवर्क: //compute.googleapis.com/projects/project- name-test/global/networks/network-name वीपीसी सबनेट: 74.125.192.0/18 |
| ऐक्सेस लेवल असाइन करना |
सभी उपयोगकर्ताओं के लिए संगठन की इकाइयां ठेकेदारों के इस्तेमाल किए जाने वाले सभी ऐप्लिकेशन |
इन अहम बातों का ध्यान रखें:
- सिर्फ़ डायरेक्ट ट्रैफ़िक: यह ऐक्सेस लेवल सिर्फ़ उस ट्रैफ़िक के लिए काम करता है जो अनुमति वाली सूची में शामिल वीपीसी से सीधे Google के सर्वर तक पहुंचता है. अगर ट्रैफ़िक पहले किसी दूसरे नेटवर्क या टनल से होकर जाता है, तो ऐक्सेस नहीं दिया जाता. Google सिर्फ़ उस वीपीसी को पहचानता है जो उसके सर्वर पर ट्रैफ़िक भेजता है.
- एडमिन की अनुमतियां: वीपीसी देखने और इस ऐक्सेस लेवल को कॉन्फ़िगर करने के लिए, एडमिन के पास Identity and Access Management (IAM) की सही भूमिका होनी चाहिए. उदाहरण के लिए, compute.networks.list, compute.subnetworks.list वगैरह.
- बाहरी वीपीसी: अनुमति वाली सूची में शामिल वीपीसी, आपके मौजूदा Google Cloud डोमेन से बाहर का हो सकता है. बाहरी वीपीसी जोड़ने के लिए, एडमिन के पास देखने की अनुमति होनी चाहिए.
चुनिंदा जगहों से ऐक्सेस करने की अनुमति देना या अनुमति न देना
अगर आपके कुछ कर्मचारी नियमित तौर पर दूर-दराज के कॉर्पोरेट या पार्टनर ऑफ़िस में जाते हैं, तो उन जगहों की जानकारी दी जा सकती है जहां वे कॉर्पोरेट संसाधनों को ऐक्सेस कर सकते हैं.
उदाहरण के लिए, अगर सेल्स टीम के कुछ सदस्य नियमित तौर पर ऑस्ट्रेलिया और भारत में खरीदारों से मिलते हैं, तो टीम के सदस्यों के लिए, होम ऑफ़िस और ऑस्ट्रेलिया और भारत में ही ऐक्सेस सीमित किया जा सकता है. अगर वे कारोबार से जुड़ी यात्रा के दौरान निजी छुट्टी के लिए दूसरे देशों की यात्रा करते हैं, तो वे उन देशों में कॉर्पोरेट संसाधनों को ऐक्सेस नहीं कर सकते.
इस उदाहरण में, सेल्स ग्रुप सिर्फ़ अमेरिका (होम ऑफ़िस), ऑस्ट्रेलिया, और भारत से कॉर्पोरेट संसाधनों को ऐक्सेस कर सकता है.
| ऐक्सेस लेवल का नाम | sales_access |
| सेल्स टीम को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | क्षेत्र या देश का नाम अमेरिका, ऑस्ट्रेलिया, भारत |
| ऐक्सेस लेवल असाइन करना | सेल्सपर्सन का ग्रुप सभी ऐप्लिकेशन के सेल्सपर्सन इसका इस्तेमाल करते हैं |
कुछ देशों के उपयोगकर्ताओं को ऐक्सेस देने से रोकने के लिए भी नीति बनाई जा सकती है. इसके लिए, यह तय करें कि उपयोगकर्ताओं को ऐक्सेस तब मिलेगा, जब वे शर्तें पूरी न करते हों. आपको उन देशों की सूची बनानी होगी जहां से ऐक्सेस ब्लॉक करना है.
असाइन करते समय एक से ज़्यादा ऐक्सेस लेवल चुनने के बजाय, नेस्ट किए गए ऐक्सेस लेवल का इस्तेमाल करें
कुछ मामलों में, किसी संगठन की इकाई या ग्रुप और किसी ऐप्लिकेशन (या ऐप्लिकेशन के सेट) को ऐक्सेस लेवल असाइन करते समय, आपको गड़बड़ी का मैसेज दिख सकता है. इसमें आपसे ऐप्लिकेशन या ऐक्सेस लेवल की संख्या कम करने के लिए कहा जाएगा.
इस गड़बड़ी को रोकने के लिए, असाइनमेंट के दौरान इस्तेमाल किए जाने वाले ऐक्सेस लेवल की संख्या कम की जा सकती है. इसके लिए, उन्हें एक ही ऐक्सेस लेवल में नेस्ट करें. नेस्ट किए गए ऐक्सेस लेवल में, OR ऑपरेशन के साथ कई शर्तों को जोड़ा जाता है. साथ ही, हर शर्त में एक अलग ऐक्सेस लेवल होता है.
इस उदाहरण में, USWest, USEast, और USCentral को ऐक्सेस के तीन अलग-अलग लेवल में रखा गया है. मान लें कि आपको उपयोगकर्ताओं को ऐप्लिकेशन ऐक्सेस करने की अनुमति देनी है. इसके लिए, उन्हें USWest, USEast या USCentral में से किसी एक ऐक्सेस लेवल की शर्तों को पूरा करना होगा. ऐसे में, OR ऑपरेटर का इस्तेमाल करके, एक नेस्ट किया गया ऐक्सेस लेवल (जिसे USRegions कहा जाता है) बनाया जा सकता है. ऐक्सेस लेवल असाइन करते समय, संगठन की इकाई या ग्रुप के लिए ऐप्लिकेशन को USRegions ऐक्सेस लेवल असाइन करें.
|
ऐक्सेस लेवल का नाम |
USRegions |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल USWest |
|
जॉइन कंडीशन 1 और कंडीशन 2 को |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 2 एट्रिब्यूट |
ऐक्सेस लेवल USEast |
|
जॉइन कंडीशन 2 और कंडीशन 3 को इसके साथ जोड़ें |
या |
|
किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब |
मीटिंग के एट्रिब्यूट |
|
शर्त 3 एट्रिब्यूट |
ऐक्सेस लेवल USCentral |
डेस्कटॉप पर कंपनी के मालिकाना हक वाला डिवाइस ज़रूरी है, लेकिन फ़ोन या टैबलेट पर नहीं
किसी कंपनी को कंपनी के मालिकाना हक वाले डेस्कटॉप डिवाइस की ज़रूरत हो सकती है, लेकिन कंपनी के मालिकाना हक वाले मोबाइल डिवाइस की नहीं.
सबसे पहले, डेस्कटॉप डिवाइसों के लिए ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
aldesktop_access |
|
उपयोगकर्ताओं को ऐक्सेस मिल सकता है, अगर वे |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट |
डिवाइस से जुड़ी नीति
डिवाइस एन्क्रिप्शन = काम नहीं करता डिवाइस का ओएस macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
इसके बाद, मोबाइल डिवाइसों के लिए ऐक्सेस लेवल बनाएं:
|
ऐक्सेस लेवल का नाम |
almobile_access |
|
उपयोगकर्ताओं को ऐक्सेस मिल सकता है, अगर वे |
मीटिंग के एट्रिब्यूट |
|
शर्त 1 एट्रिब्यूट |
डिवाइस का ओएस iOS = 0.0.0 Android = 0.0.0 |
डिवाइस की बुनियादी सुरक्षा की ज़रूरत है
ज़्यादातर एंटरप्राइज़ कंपनियां अब कर्मचारियों को ऐसे डिवाइसों से कॉर्पोरेट संसाधनों को ऐक्सेस करने के लिए कहती हैं जो एन्क्रिप्ट (सुरक्षित) किए गए हों और ऑपरेटिंग सिस्टम के ज़रूरी वर्शन के मुताबिक हों. कुछ कंपनियां यह भी ज़रूरी करती हैं कि कर्मचारी, कंपनी के मालिकाना हक वाले डिवाइसों का इस्तेमाल करें.
इन नीतियों को अपनी सभी संगठनात्मक इकाइयों के लिए कॉन्फ़िगर किया जा सकता है. इसके अलावा, सिर्फ़ उन इकाइयों के लिए भी कॉन्फ़िगर किया जा सकता है जो संवेदनशील डेटा के साथ काम करती हैं. जैसे, कंपनी के एक्ज़ीक्यूटिव, फ़ाइनेंस या मानव संसाधन.
डिवाइस के एन्क्रिप्शन, ऑपरेटिंग सिस्टम के कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइसों को शामिल करने वाली नीति को कॉन्फ़िगर करने के कई तरीके हैं. इन दोनों के अपने फ़ायदे और नुकसान हैं.
एक ऐक्सेस लेवल, जिसमें सुरक्षा से जुड़ी सभी ज़रूरी शर्तें शामिल हों
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने की सुविधा, ऑपरेटिंग सिस्टम का कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की एट्रिब्यूट को एक ऐक्सेस लेवल में शामिल किया गया है. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सभी शर्तें पूरी करनी होंगी.
उदाहरण के लिए, अगर किसी उपयोगकर्ता का डिवाइस एन्क्रिप्ट (सुरक्षित) किया गया है और वह कंपनी के मालिकाना हक वाला है, लेकिन उसमें ऑपरेटिंग सिस्टम का अनुपालन करने वाला वर्शन नहीं चल रहा है, तो उसे ऐक्सेस नहीं दिया जाएगा.
फ़ायदा: इसे आसानी से सेट अप किया जा सकता है. किसी ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ता को सभी ज़रूरी शर्तें पूरी करनी होंगी.
नुकसान: अलग-अलग इकाइयों के लिए सुरक्षा से जुड़ी ज़रूरी शर्तों को अलग-अलग असाइन करने के लिए, आपको हर ज़रूरी शर्त के लिए ऐक्सेस का अलग लेवल बनाना होगा.
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट (एक शर्त में सभी एट्रिब्यूट जोड़े जा सकते हैं या तीन शर्तें बनाकर, उन्हें AND से जोड़ा जा सकता है.) |
डिवाइस से जुड़ी नीति डिवाइस ओएस |
ऐक्सेस के तीन अलग-अलग लेवल
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने की सुविधा, ऑपरेटिंग सिस्टम का सबसे नया वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की एट्रिब्यूट, ऐक्सेस के तीन अलग-अलग लेवल में हैं. ऐक्सेस पाने के लिए, उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होंगी. यह ऐक्सेस लेवल का लॉजिकल OR है.
उदाहरण के लिए, जिस उपयोगकर्ता के पास एन्क्रिप्ट (सुरक्षित) किया गया डिवाइस है और वह निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है उसे ऐक्सेस मिलता है.
फ़ायदा: ऐक्सेस लेवल तय करने का ज़्यादा बेहतर तरीका. संगठन की अलग-अलग इकाइयों के लिए, ऐक्सेस के लेवल अलग-अलग असाइन किए जा सकते हैं.
नुकसान: उपयोगकर्ताओं को सिर्फ़ एक ऐक्सेस लेवल की शर्तें पूरी करनी होती हैं.
| ऐक्सेस लेवल का नाम | device_encryption |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस की नीति |
| ऐक्सेस लेवल का नाम | corp_device |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस से जुड़ी नीति |
| ऐक्सेस लेवल का नाम | min_os |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट |
डिवाइस की नीति |
एक ऐसा ऐक्सेस लेवल जिसमें नेस्ट किए गए ऐक्सेस लेवल मौजूद हैं
इस उदाहरण में, डिवाइस को एन्क्रिप्ट (सुरक्षित) करने, ऑपरेटिंग सिस्टम के कम से कम वर्शन, और कंपनी के मालिकाना हक वाले डिवाइस की सुरक्षा से जुड़ी ज़रूरी शर्तों को तीन अलग-अलग ऐक्सेस लेवल में रखा गया है. ये तीन ऐक्सेस लेवल, चौथे ऐक्सेस लेवल में नेस्ट किए गए हैं.
ऐप्लिकेशन को चौथा ऐक्सेस लेवल असाइन करने पर, उपयोगकर्ताओं को ऐक्सेस पाने के लिए, नेस्ट किए गए तीनों ऐक्सेस लेवल की शर्तों को पूरा करना होगा. यह ऐक्सेस लेवल का लॉजिकल AND है.
उदाहरण के लिए, अगर किसी उपयोगकर्ता के पास एन्क्रिप्ट (सुरक्षित) किया गया डिवाइस है और वह निजी डिवाइस पर ऑपरेटिंग सिस्टम का पुराना वर्शन इस्तेमाल करता है, तो उसे ऐक्सेस करने की अनुमति नहीं दी जाती.
फ़ायदा: आपके पास ऐक्सेस लेवल 1, 2, और 3 के लिए, सुरक्षा से जुड़ी ज़रूरी शर्तों को अलग-अलग रखने का विकल्प होता है. ऐक्सेस लेवल 4 का इस्तेमाल करके, सुरक्षा से जुड़ी सभी ज़रूरी शर्तों के साथ एक नीति भी लागू की जा सकती है.
नुकसान: ऑडिट लॉग में सिर्फ़ ऐक्सेस लेवल 4 के लिए ऐक्सेस अस्वीकार किए जाने की जानकारी मिलती है. इसमें ऐक्सेस लेवल 1, 2, और 3 के लिए ऐक्सेस अस्वीकार किए जाने की जानकारी नहीं मिलती. इसकी वजह यह है कि ऐक्सेस लेवल 1, 2, और 3 को सीधे तौर पर ऐप्लिकेशन को असाइन नहीं किया जाता.
ऊपर "तीन अलग-अलग ऐक्सेस लेवल" में बताए गए तरीके से, तीन ऐक्सेस लेवल बनाएं: "device_encryption," "corp_device," और "min_os." इसके बाद, "device_security" नाम का चौथा ऐक्सेस लेवल बनाएं. इसमें तीन शर्तें हों. हर शर्त में, ऐक्सेस लेवल को एट्रिब्यूट के तौर पर इस्तेमाल किया जाता है. (हर शर्त के लिए, ऐक्सेस लेवल वाली सिर्फ़ एक विशेषता जोड़ी जा सकती है.)
| ऐक्सेस लेवल का नाम | device_security |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट (हर शर्त के लिए सिर्फ़ एक ऐक्सेस लेवल) |
ऐक्सेस लेवल device_encryption |
| जॉइन कंडीशन 1 और कंडीशन 2 को | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | ऐक्सेस लेवल corp_device |
| जॉइन कंडीशन 2 और कंडीशन 3 को इसके साथ जोड़ें | और |
| किसी उपयोगकर्ता को ऐक्सेस तब मिलता है, जब | मीटिंग के एट्रिब्यूट |
| शर्त 1 एट्रिब्यूट | ऐक्सेस लेवल min_os |
संबंधित जानकारी
- कॉन्टेक्स्ट अवेयर ऐक्सेस के बारे में खास जानकारी
- सॉफ़्टवेयर सेट अप करना और कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाना
- ऐप्लिकेशन के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल असाइन करना
- ग्रुप की मदद से, कॉन्टेक्स्ट अवेयर ऐक्सेस को पसंद के मुताबिक बनाना
- ऐडवांस मोड के लिए कॉन्टेक्स्ट अवेयर ऐक्सेस के उदाहरण
- कॉन्टेक्स्ट अवेयर ऐक्सेस का ऑडिट लॉग