Artikel ini menjelaskan kasus penggunaan umum untuk Akses Kontekstual dan mencakup contoh konfigurasi yang dikembangkan dalam Mode dasar.
Untuk melihat contoh tingkat akses yang dikembangkan dalam Mode lanjutan (menggunakan editor CEL), buka contoh Akses Kontekstual untuk Mode lanjutan.
Mengizinkan akses ke kontraktor hanya melalui jaringan perusahaan
Banyak perusahaan yang ingin membatasi akses kontraktor ke resource perusahaan. Misalnya, perusahaan yang menggunakan kontraktor untuk menjawab panggilan dukungan umum atau bekerja di pusat bantuan dan pusat panggilan. Seperti halnya karyawan purnawaktu, kontraktor harus memiliki lisensi yang didukung agar dicakup oleh kebijakan Akses Kontekstual.
Dalam contoh ini, kontraktor mendapatkan akses ke resource perusahaan hanya dari rentang alamat IP khusus perusahaan.
| Nama tingkat akses | contractor_access |
| Kontraktor mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 | Subnet IP (Publik) 74.125.192.0/18 |
| Penetapan tingkat akses | Unit organisasi untuk kontraktor Semua aplikasi yang digunakan kontraktor |
Memblokir akses dari alamat IP pembajak yang umum
Agar resource perusahaan tidak disusupi, banyak perusahaan yang memblokir akses ke sumber berisiko tinggi yang umum.
Dalam contoh ini, alamat IP 74.125.195.105 diblokir. Pengguna mendapatkan akses ke resource perusahaan jika sesinya berasal dari alamat IP lainnya. Anda dapat menentukan beberapa alamat dan rentang IP.
| Nama tingkat akses | block_highrisk |
| Pengguna mendapatkan akses jika | Tidak memenuhi atribut |
| Atribut kondisi 1 | Subnet IP (Publik) 74.125.195.105 |
| Penetapan tingkat akses | Unit organisasi tingkat teratas Semua aplikasi |
Mengizinkan akses dari jaringan pribadi tertentu di Google Cloud
Banyak perusahaan merutekan traffic pengguna ke Google melalui Virtual Private Cloud (VPC). VPC adalah jaringan yang aman dan terisolasi dalam lingkungan Google Cloud.
Perlu diperhatikan, traffic yang dirutekan melalui VPC Anda mungkin menggunakan alamat IP pribadi. Hal ini dapat menyebabkan masalah pada kebijakan IP publik atau region.
Dalam contoh ini, Anda dapat mengizinkan traffic dari VPC tertentu ini.
| Nama tingkat akses | vpc_access |
| Pengguna mendapatkan akses jika... | Memenuhi atribut |
| Atribut kondisi 1 |
Subnet IP (Pribadi) Subnetwork IP Pribadi: //compute.googleapis.com/projects/project- name-test/global/networks/network-name Subnet VPC: 74.125.192.0/18 |
| Penetapan tingkat akses |
Unit organisasi untuk semua pengguna Semua aplikasi yang digunakan kontraktor |
Hal penting yang perlu diingat:
- Hanya traffic langsung: Tingkat akses ini hanya berfungsi untuk traffic yang langsung mencapai server Google dari VPC yang telah masuk daftar yang diizinkan. Akses tidak akan diberikan jika traffic melewati jaringan atau tunnel lain terlebih dahulu. Google hanya mengenali VPC terakhir yang mengirimkan traffic ke servernya.
- Izin admin: Untuk melihat VPC dan mengonfigurasi tingkat akses ini, admin harus memiliki peran Identity and Access Management (IAM) yang sesuai (misalnya, compute.networks.list, compute.subnetworks.list, dan sebagainya).
- VPC eksternal: VPC yang dimasukkan ke daftar yang diizinkan dapat berasal dari luar domain Google Cloud Anda saat ini. Admin harus memiliki izin lihat untuk menambahkan VPC eksternal.
Mengizinkan atau melarang akses dari lokasi tertentu
Jika memiliki karyawan yang secara rutin bepergian ke perusahaan atau kantor partner yang jauh, Anda dapat menentukan lokasi geografis tempat mereka dapat mengakses resource perusahaan.
Misalnya, jika sekelompok personel penjualan mengunjungi pelanggan di Australia dan India secara rutin, Anda dapat membatasi akses grup ke lokasi kantor mereka dan Australia serta India. Jika mereka bepergian ke negara lain untuk liburan pribadi sebagai bagian dari perjalanan bisnis, mereka tidak dapat mengakses resource perusahaan dari negara tersebut.
Dalam contoh ini, grup penjualan hanya dapat mengakses resource perusahaan dari AS (lokasi kantor), Australia, dan India.
| Nama tingkat akses | sales_access |
| Tim penjualan mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 | Asal geografis AS, Australia, India |
| Penetapan tingkat akses | Grup personel penjualan Semua aplikasi yang digunakan personel penjualan |
Anda juga dapat membuat kebijakan untuk menolak akses dari negara tertentu dengan menetapkan bahwa pengguna akan mendapatkan akses jika mereka tidak memenuhi kondisi. Anda harus mencantumkan negara asal akses yang hendak diblokir.
Gunakan tingkat akses bertingkat alih-alih memilih beberapa tingkat akses selama penetapan
Dalam beberapa kasus, saat Anda mencoba menetapkan tingkat akses ke unit organisasi atau grup tertentu dan aplikasi (atau kumpulan aplikasi), Anda mungkin melihat pesan error yang meminta untuk mengurangi jumlah aplikasi atau tingkat akses.
Untuk mencegah error ini, Anda dapat mengurangi jumlah tingkat akses yang digunakan selama penetapan dengan menumpuknya menjadi satu tingkat akses. Tingkat akses bertingkat menggabungkan beberapa kondisi dengan operasi ATAU, dengan setiap kondisi yang berisi tingkat akses individual.
Dalam contoh ini, USWest, USEast, dan USCentral berada di 3 tingkat akses yang terpisah. Misalnya, Anda ingin pengguna dapat mengakses aplikasi jika memenuhi tingkat akses USWest ATAU USEast ATAU USCentral.Anda dapat membuat tingkat akses bertingkat (disebut USRegions) menggunakan operator OR. Jika sudah waktunya untuk menetapkan tingkat akses, tetapkan tingkat akses USRegions ke aplikasi untuk unit organisasi atau grup.
|
Nama Tingkat Akses |
USRegions |
|
Pengguna mendapatkan akses jika |
Memenuhi atribut |
|
Atribut kondisi 1 (hanya 1 tingkat akses per kondisi) |
Tingkat akses USWest |
|
Gabungkan kondisi 1 dan kondisi 2 dengan |
ATAU |
|
Pengguna mendapatkan akses jika |
Memenuhi atribut |
|
Atribut Kondisi 2 |
Tingkat akses USEast |
|
Gabungkan kondisi 2 dan kondisi 3 dengan |
ATAU |
|
Pengguna mendapatkan akses jika |
Memenuhi atribut |
|
Atribut kondisi 3 |
Tingkat akses USCentral |
Mewajibkan perangkat desktop, bukan perangkat seluler, milik perusahaan
Perusahaan mungkin mewajibkan perangkat desktop milik perusahaan, bukan perangkat seluler milik perusahaan.
Pertama-tama, buat tingkat akses untuk perangkat desktop:
|
Nama tingkat akses |
aldesktop_access |
|
Pengguna mendapatkan akses jika mereka |
Memenuhi atribut |
|
Atribut kondisi 1 |
Kebijakan perangkat
Enkripsi perangkat = Tidak didukung OS Perangkat macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Kemudian, buat tingkat akses untuk perangkat seluler:
|
Nama tingkat akses |
almobile_access |
|
Pengguna mendapatkan akses jika mereka |
Memenuhi atribut |
|
Atribut kondisi 1 |
OS Perangkat iOS = 0.0.0 Android = 0.0.0 |
Mewajibkan keamanan perangkat dasar
Kebanyakan perusahaan enterprise kini mewajibkan karyawan mengakses resource perusahaan melalui perangkat yang dienkripsi dan memenuhi versi sistem operasi minimum. Beberapa perusahaan juga mewajibkan karyawan menggunakan perangkat milik perusahaan.
Anda dapat mengonfigurasi kebijakan ini untuk semua unit organisasi atau hanya untuk unit organisasi yang bekerja dengan data sensitif, seperti eksekutif perusahaan, keuangan, atau divisi sumber daya manusia.
Ada beberapa cara yang dapat digunakan untuk mengonfigurasi kebijakan yang mencakup enkripsi data, versi sistem operasi minimum, dan perangkat milik perusahaan. Masing-masing memiliki kelebihan dan kekurangan.
1 tingkat akses yang berisi semua persyaratan keamanan
Dalam contoh ini, atribut enkripsi perangkat, versi sistem operasi minimum, dan perangkat milik perusahaan disertakan dalam satu tingkat akses. Pengguna harus memenuhi semua kondisi untuk mendapatkan akses.
Misalnya, jika perangkat pengguna dienkripsi dan milik perusahaan, tetapi tidak menjalankan versi sistem operasi yang memenuhi syarat, akses mereka akan ditolak.
Keuntungan: Mudah disiapkan. Saat Anda menetapkan tingkat akses ini untuk aplikasi, pengguna harus memenuhi semua persyaratan.
Kelemahan: Untuk menetapkan persyaratan keamanan secara terpisah untuk unit organisasi yang berbeda, Anda harus membuat tingkat akses terpisah untuk setiap persyaratan keamanan.
| Nama tingkat akses | device_security |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 (Anda dapat menambahkan semua atribut ke satu kondisi atau membuat 3 kondisi dan menggabungkannya dengan DAN.) |
Kebijakan perangkat OS perangkat |
3 tingkat akses terpisah
Dalam contoh ini, atribut enkripsi perangkat, versi sistem operasi minimum, dan perangkat milik perusahaan berada di 3 tingkat akses yang terpisah. Untuk memperoleh akses, pengguna harus memenuhi kondisi di satu tingkat akses saja. Ini adalah logika ATAU dari tingkat akses.
Misalnya, pengguna yang memiliki perangkat yang dienkripsi dan menjalankan sistem operasi versi lama di perangkat pribadi akan mendapatkan akses.
Keuntungan: Cara terperinci dalam menentukan tingkat akses. Anda dapat menetapkan tingkat akses secara terpisah untuk unit organisasi yang berbeda.
Kelemahan: Pengguna harus memenuhi kondisi di satu tingkat akses saja.
| Nama tingkat akses | device_encryption |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 |
Kebijakan perangkat |
| Nama tingkat akses | corp_device |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 |
Kebijakan perangkat |
| Nama tingkat akses | min_os |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 |
Kebijakan perangkat |
1 tingkat akses dengan tingkat akses bertingkat
Dalam contoh ini, persyaratan enkripsi perangkat, versi sistem operasi minimum, dan keamanan perangkat milik perusahaan berada di 3 tingkat akses yang terpisah. Ketiga tingkat akses tersebut ditempatkan bertingkat di dalam tingkat akses keempat.
Saat Anda menetapkan tingkat akses keempat untuk aplikasi, pengguna harus memenuhi kondisi pada masing-masing dari 3 tingkat akses bertingkat guna mendapatkan akses. Ini adalah logika DAN dari tingkat akses.
Misalnya, jika perangkat pengguna dienkripsi dan menjalankan sistem operasi lama di perangkat pribadi, akses mereka akan ditolak.
Kelebihan: Anda memiliki fleksibilitas dalam memisahkan persyaratan keamanan di semua tingkat akses 1, 2, dan 3. Dengan menggunakan tingkat akses 4, Anda juga dapat menerapkan kebijakan dengan semua persyaratan keamanan.
Kelemahan: Log audit hanya mencatat akses yang ditolak ke tingkat akses 4 (bukan ke tingkat akses 1, 2, dan 3), karena tingkat akses 1, 2, dan 3 tidak ditetapkan secara langsung untuk aplikasi.
Buat 3 tingkat akses seperti yang dijelaskan di "3 tingkat akses terpisah" di atas: "enkripsi_perangkat", "perangkat_perusahaan", dan "os_minimum". Kemudian, buat tingkat akses keempat yang disebut "keamanan_perangkat" yang memiliki 3 kondisi. Setiap kondisi memiliki tingkat akses sebagai atributnya. (Anda hanya dapat menambahkan 1 atribut tingkat akses per kondisi.)
| Nama tingkat akses | device_security |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 (hanya 1 tingkat akses per kondisi) |
Tingkat akses enkripsi_perangkat |
| Gabungkan kondisi 1 dan kondisi 2 dengan | DAN |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 | Tingkat akses corp_device |
| Gabungkan kondisi 2 dan kondisi 3 dengan | DAN |
| Pengguna mendapatkan akses jika | Memenuhi atribut |
| Atribut kondisi 1 | Tingkat akses os_minimum |