In questo articolo sono descritti i casi comuni di accesso sensibile al contesto e alcune configurazioni di esempio sviluppate nella modalità di base.
Per esempi di livelli di accesso sviluppati nella modalità avanzata (utilizzando l'editor CEL), vedi Esempi di accesso sensibile al contesto per la modalità avanzata.
Consentire l'accesso ai contrattisti solo tramite la rete aziendale
Molte aziende vogliono limitare l'accesso alle risorse aziendali da parte dei contrattisti, ad esempio quelli cui si rivolgono per rispondere alle chiamate di assistenza generiche o per lavorare nei centri assistenza e nei call center. Come i dipendenti a tempo pieno, i contrattisti devono disporre di una licenza supportata per rientrare nei criteri di accesso sensibile al contesto.
In questo esempio, i contrattisti possono accedere alle risorse aziendali solo utilizzando un determinato intervallo di indirizzi IP aziendali.
| Nome livello di accesso | contractor_access |
| Un contrattista può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 | Subnet IP (pubblica) 74.125.192.0/18 |
| Assegnazione del livello di accesso | Unità organizzative per i contrattisti Tutte le app utilizzate dai contrattisti |
Bloccare l'accesso dagli indirizzi IP di noti malintenzionati
Per proteggere le risorse aziendali dai rischi di compromissione, molte aziende bloccano l'accesso per fonti note ad alto rischio.
In questo esempio, l'indirizzo IP 74.125.195.105 è bloccato. Gli utenti possono accedere alle risorse aziendali se le loro sessioni provengono da qualsiasi altro indirizzo IP. Puoi specificare più indirizzi IP e intervalli.
| Nome livello di accesso | block_highrisk |
| Un utente può accedere se | Non soddisfa gli attributi |
| Attributo condizione 1 | Subnet IP (pubblica) 74.125.195.105 |
| Assegnazione del livello di accesso | Unità organizzativa di primo livello Tutte le app |
Consenti l'accesso da una rete privata specifica in Google Cloud
Molte aziende indirizzano il traffico degli utenti a Google tramite un Virtual Private Cloud (VPC). Un VPC è una rete sicura e isolata all'interno dell'ambiente Google Cloud.
Tieni presente che il traffico instradato tramite la tua VPC potrebbe utilizzare indirizzi IP privati. Ciò può causare problemi con le norme relative all'IP pubblico o alla regione.
In questo esempio, puoi consentire il traffico da questi VPC specifici.
| Nome livello di accesso | vpc_access |
| Un utente può accedere se... | Soddisfano gli attributi |
| Attributi condizione 1 |
Subnet IP (privata) Subnet IP privata: //compute.googleapis.com/projects/project- name-test/global/networks/network-name Subnet VPC: 74.125.192.0/18 |
| Assegnazione del livello di accesso |
Unità organizzative per tutti gli utenti Tutte le app utilizzate dai contrattisti |
Aspetti importanti da ricordare:
- Solo traffico diretto: questo livello di accesso funziona solo per il traffico che raggiunge direttamente i server di Google dal VPC nella lista consentita. Se il traffico passa prima attraverso un'altra rete o un altro tunnel, l'accesso non viene concesso. Google riconosce solo l'ultimo VPC che invia il traffico ai suoi server.
- Autorizzazioni amministratore: per visualizzare i VPC e configurare questo livello di accesso, gli amministratori devono disporre del ruolo Identity and Access Management (IAM) appropriato (ad esempio compute.networks.list, compute.subnetworks.list e così via).
- VPC esterni: il VPC che inserisci nella lista consentita può provenire da un dominio Google Cloud esterno. Un amministratore deve disporre dell'autorizzazione di visualizzazione per aggiungere il VPC esterno.
Consentire o negare l'accesso da località specifiche
Se hai dipendenti che si recano regolarmente presso sedi aziendali o partner distaccati, puoi specificare le località geografiche da cui possono accedere alle risorse aziendali.
Ad esempio, se un gruppo di addetti alle vendite si reca regolarmente in visita presso clienti in Australia e in India, puoi limitare l'accesso per il gruppo alla sola sede principale, all'Australia e all'India. Se si recano in altri paesi per una vacanza personale nel quadro di un viaggio di lavoro, non potranno accedere alle risorse aziendali da quei paesi.
In questo esempio, il gruppo di addetti alle vendite può accedere alle risorse aziendali solo dagli Stati Uniti (sede principale), dall'Australia e dall'India.
| Nome livello di accesso | sales_access |
| Il team di vendita può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 | Origine geografica Stati Uniti, Australia, India |
| Assegnazione del livello di accesso | Gruppo di addetti alle vendite Tutte le app utilizzate dagli addetti alle vendite |
Puoi anche creare un criterio per negare l'accesso da determinati paesi, specificando che gli utenti possono accedere se non soddisfano le condizioni. In tal caso, inserisci nell'elenco i paesi da cui vuoi bloccare l'accesso.
Utilizzare livelli di accesso nidificati invece di selezionare più livelli di accesso durante l'assegnazione
In alcuni casi, quando cerchi di assegnare i livelli di accesso a una determinata unità organizzativa o a un'applicazione (o a un insieme di applicazioni), potresti visualizzare un messaggio di errore che ti chiede di ridurre il numero di applicazioni o di livelli di accesso.
Per evitare questo errore, puoi ridurre il numero di livelli di accesso utilizzati durante l'assegnazione nidificandoli in un unico livello. Il livello di accesso nidificato unisce più condizioni con un'operazione OR, in cui ogni condizione contiene un livello di accesso individuale.
In questo esempio, USWest, USEast e USCentral si trovano su tre livelli di accesso distinti. Supponiamo che tu voglia consentire agli utenti di accedere alle applicazioni se soddisfano uno qualsiasi dei livelli di accesso USWest OR USEast OR USCentral.Puoi creare un unico livello di accesso nidificato (chiamato USRegions) utilizzando l'operatore OR. Quando devi assegnare i livelli di accesso, assegna il livello USRegions all'applicazione per l'unità organizzativa o il gruppo.
|
Nome livello di accesso |
USRegions |
|
Un utente può accedere se |
Soddisfano gli attributi |
|
Attributo condizione 1 (solo un livello di accesso per condizione) |
Livello di accesso USWest |
|
Unisci la condizione 1 alla condizione 2 con |
OPPURE |
|
Un utente può accedere se |
Soddisfano gli attributi |
|
Attributo condizione 2 |
Livello di accesso USEast |
|
Unisci la condizione 2 e la condizione 3 con |
OPPURE |
|
Un utente può accedere se |
Soddisfano gli attributi |
|
Attributo condizione 3 |
Livello di accesso USCentral |
Richiedere la proprietà dell'azienda su desktop ma non su dispositivo mobile
Un'azienda potrebbe avere bisogno di richiedere la proprietà per un dispositivo desktop, ma non per un dispositivo mobile.
Innanzitutto, crea un livello di accesso per i dispositivi desktop:
|
Nome livello di accesso |
aldesktop_access |
|
Gli utenti possono accedere se |
Soddisfano gli attributi |
|
Attributo condizione 1 |
Criteri relativi ai dispositivi
Crittografia dispositivo = Non supportata Sistema operativo del dispositivo macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
Quindi, crea un livello di accesso per i dispositivi mobili:
|
Nome livello di accesso |
almobile_access |
|
Gli utenti possono accedere se |
Soddisfano gli attributi |
|
Attributo condizione 1 |
Sistema operativo del dispositivo iOS = 0.0.0 Android = 0.0.0 |
Richiedere sistemi di sicurezza di base sui dispositivi
La maggior parte delle aziende ora chiede ai dipendenti di accedere alle risorse aziendali tramite dispositivi criptati che soddisfano requisiti minimi di versione del sistema operativo. Alcune richiedono anche che i dipendenti utilizzino dispositivi di proprietà dell'azienda.
Puoi configurare questi criteri per tutte le unità organizzative o solo per coloro che lavorano con dati sensibili, come i dirigenti aziendali, il reparto finanza o le risorse umane.
Esistono diversi modi per configurare criteri che includano la crittografia dei dispositivi, la versione minima del sistema operativo e i dispositivi di proprietà dell'azienda. Ognuno di questi modi presenta vantaggi e svantaggi.
Un solo livello di accesso che comprende tutti i requisiti di sicurezza
In questo esempio, gli attributi di crittografia dei dispositivi, di versione minima del sistema operativo e di dispositivo di proprietà dell'azienda sono inclusi in un unico livello di accesso. Per accedere, gli utenti devono soddisfare tutte le condizioni.
Ad esempio, se un dispositivo utente è criptato ed è di proprietà dell'azienda ma non esegue una versione conforme del sistema operativo, gli verrà negato l'accesso.
Vantaggio: facile da configurare. Quando assegni questo livello di accesso a un'app, l'utente deve soddisfare tutti i requisiti.
Contro: per assegnare separatamente i requisiti di sicurezza a diverse unità organizzative, devi creare un livello di accesso distinto per ogni requisito di sicurezza.
| Nome livello di accesso | device_security |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 (Puoi aggiungere tutti gli attributi a una sola condizione oppure creare tre condizioni e unirle con E.) |
Criteri relativi ai dispositivi Sistema operativo del dispositivo |
Tre livelli di accesso distinti
In questo esempio, gli attributi di crittografia dei dispositivi, di versione minima del sistema operativo e di dispositivo di proprietà dell'azienda sono specificati in tre livelli di accesso distinti. Per accedere, gli utenti devono soddisfare le condizioni di un solo livello di accesso. Si tratta di livelli di accesso logico di tipo OR.
Ad esempio, un utente che ha un dispositivo criptato ed esegue una versione obsoleta del sistema operativo su un dispositivo di sua proprietà potrà accedere.
Pro: offre un metodo granulare per specificare i livelli di accesso. Puoi assegnare separatamente i livelli di accesso a diverse unità organizzative.
Contro: gli utenti devono soddisfare le condizioni di un solo livello di accesso.
| Nome livello di accesso | device_encryption |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 |
Criteri relativi ai dispositivi |
| Nome livello di accesso | corp_device |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 |
Policy per i dispositivi |
| Nome livello di accesso | min_os |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 |
Criteri relativi ai dispositivi |
Un livello di accesso con livelli di accesso nidificati
In questo esempio, i requisiti di sicurezza relativi alla crittografia dei dispositivi, alla versione minima del sistema operativo e al dispositivo di proprietà dell'azienda sono specificati in tre livelli di accesso distinti. I tre livelli di accesso sono nidificati all'interno di un quarto livello di accesso.
Quando assegni il quarto livello di accesso alle app, gli utenti devono soddisfare le condizioni di ciascuno dei tre livelli di accesso nidificati per poter accedere. Si tratta di livelli di accesso logico di tipo AND.
Ad esempio, un utente che ha un dispositivo criptato ed esegue una versione obsoleta del sistema operativo su un dispositivo di sua proprietà non potrà accedere.
Pro: hai più flessibilità in quanto puoi separare i requisiti di sicurezza nei livelli di accesso 1, 2 e 3. Utilizzando il livello di accesso 4, puoi anche applicare una sola policy con tutti i requisiti di sicurezza.
Contro: il log di controllo acquisisce solo l'accesso negato al livello di accesso 4 e non ai livelli 1, 2 e 3, in quanto questi ultimi non sono assegnati direttamente alle applicazioni.
Crea tre livelli di accesso come descritto nella sezione precedente "Tre livelli di accesso distinti": "device_encryption", "corp_device" e "min_os". Quindi crea un quarto livello di accesso denominato "sicurezza_dispositivo" che contiene le tre condizioni. Ogni condizione ha un livello di accesso come attributo. (Puoi aggiungere un solo attributo del livello di accesso per ogni condizione.)
| Nome livello di accesso | device_security |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 (solo un livello di accesso per condizione) |
Livello di accesso device_encryption |
| Unisci la condizione 1 alla condizione 2 con | E |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 | Livello di accesso corp_device |
| Unisci la condizione 2 e la condizione 3 con | E |
| Un utente può accedere se | Soddisfano gli attributi |
| Attributo condizione 1 | Livello di accesso os_min |
Informazioni correlate
- Panoramica dell'accesso sensibile al contesto
- Configurare software e creare livelli di accesso sensibile al contesto
- Assegnare i livelli di accesso sensibile al contesto alle app
- Personalizzare l'accesso sensibile al contesto con i gruppi
- Esempi di accesso sensibile al contesto per la modalità avanzata
- Log di controllo di Accesso sensibile al contesto