В этой статье описываются распространенные сценарии использования контекстно-зависимого доступа и приводятся примеры конфигураций, разработанных в базовом режиме.
Примеры уровней доступа, разработанных в расширенном режиме (с использованием редактора CEL), можно найти в разделе «Примеры контекстно-зависимого доступа для расширенного режима» .
Предоставлять доступ подрядчикам только через корпоративную сеть.
Многие компании хотят ограничить доступ подрядчиков к корпоративным ресурсам. Например, компании, которые используют подрядчиков для обработки общих звонков в службу поддержки или работы в центрах помощи и колл-центрах. Как и штатные сотрудники, подрядчики должны иметь поддерживаемую лицензию , чтобы на них распространялись политики контекстно-зависимого доступа.
В этом примере подрядчики получают доступ к корпоративным ресурсам только из определенного диапазона корпоративных IP-адресов.
| Название уровня доступа | доступ подрядчика |
| Подрядчик получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | IP-подсеть (публичная) 74.125.192.0/18 |
| назначение уровня доступа | Организационные подразделения для подрядчиков Все приложения, которые используют подрядчики |
Блокировка доступа с известных IP-адресов злоумышленников.
Для защиты ресурсов компании от компрометации многие компании блокируют доступ к известным источникам с высоким риском.
В этом примере блокируется IP-адрес 74.125.195.105. Пользователи получают доступ к корпоративным ресурсам, если их сессии инициируются с любого другого IP-адреса. Вы можете указать несколько IP-адресов и диапазонов.
| Название уровня доступа | блок_высокийриск |
| Пользователь получает доступ, если он | Не соответствуют атрибутам |
| Атрибут условия 1 | IP-подсеть (публичная) 74.125.195.105 |
| назначение уровня доступа | Организационное подразделение высшего уровня Все приложения |
Разрешите доступ из определенной частной сети в Google Cloud.
Многие компании направляют пользовательский трафик в Google через виртуальную частную сеть (VPC). VPC — это защищенная, изолированная сеть в среде Google Cloud.
Учтите, что трафик, проходящий через вашу VPC, может использовать частные IP-адреса. Это может вызвать проблемы с публичными IP-адресами или региональными политиками.
В этом примере вы можете разрешить трафик из этих конкретных VPC.
| Название уровня доступа | vpc_access |
| Пользователь получает доступ, если он... | Соответствует атрибутам |
| Атрибуты условия 1 | IP-подсеть (частная) Частная IP-подсеть: //compute.googleapis.com/projects/project- name-test/global/networks/network-name Подсеть VPC: 74.125.192.0/18 |
| назначение уровня доступа | Организационные подразделения для всех пользователей Все приложения, которые используют подрядчики |
Важные вещи, которые следует помнить:
- Только прямой трафик : Этот уровень доступа работает только для трафика, который напрямую поступает на серверы Google из разрешенной VPC. Если трафик сначала проходит через другую сеть или туннель, доступ не предоставляется. Google распознает только последнюю VPC, которая отправляет трафик на его серверы.
- Права администратора : Для просмотра VPC и настройки этого уровня доступа администраторы должны иметь соответствующую роль в системе управления идентификацией и доступом (IAM) (например, compute.networks.list , compute.subnetworks.list и т. д.).
- Внешние VPC : В список разрешенных VPC может входить виртуальная частная сеть (VPC) из-за пределов вашего текущего домена Google Cloud. Для добавления внешней VPC администратор должен иметь права на просмотр.
Разрешить или запретить доступ из определенных мест.
Если ваши сотрудники регулярно ездят в удаленные корпоративные офисы или офисы партнеров, вы можете указать географические местоположения, где они могут получить доступ к корпоративным ресурсам.
Например, если группа продавцов регулярно посещает клиентов в Австралии и Индии, вы можете ограничить доступ группы к их головному офису, а также к Австралии и Индии. Если же они ездят в другие страны в рамках деловой поездки, они не смогут получить доступ к корпоративным ресурсам из этих стран.
В этом примере отдел продаж может получить доступ к корпоративным ресурсам только из США (головной офис), Австралии и Индии.
| Название уровня доступа | доступ к продажам |
| Отдел продаж получает доступ, если они | Соответствует атрибутам |
| Атрибут условия 1 | Географическое происхождение США, Австралия, Индия |
| назначение уровня доступа | Группа продавцов Все приложения, которыми пользуются продавцы. |
Вы также можете создать политику, запрещающую доступ из определенных стран, указав, что пользователи получат доступ, если они не соответствуют условиям. Вам нужно будет перечислить страны, из которых вы хотите заблокировать доступ.
Вместо выбора нескольких уровней доступа при назначении используйте вложенные уровни доступа.
В некоторых случаях при попытке назначить уровни доступа определенному организационному подразделению или группе и приложению (или набору приложений) может появиться сообщение об ошибке с просьбой уменьшить количество приложений или уровней доступа.
Чтобы предотвратить эту ошибку, можно уменьшить количество уровней доступа, используемых при назначении, объединив их в один уровень доступа. Вложенный уровень доступа объединяет несколько условий с помощью операции ИЛИ, при этом каждое условие содержит отдельный уровень доступа.
В этом примере USWest, USEast и USCentral находятся в трех отдельных уровнях доступа. Допустим, вы хотите, чтобы пользователи могли получать доступ к приложениям, если они соответствуют любому из уровней доступа USWest ИЛИ USEast ИЛИ USCentral. Вы можете создать один вложенный уровень доступа (называемый USRegions) с помощью оператора ИЛИ. Когда придет время назначать уровни доступа, назначьте уровень доступа USRegions приложению для организационного подразделения или группы.
Название уровня доступа | Регионы США |
Пользователь получает доступ, если он | Соответствует атрибутам |
Атрибут условия 1 (только 1 уровень доступа на каждое условие) | Уровень доступа USWest |
Объедините условие 1 и условие 2 с помощью | ИЛИ |
Пользователь получает доступ, если он | Соответствует атрибутам |
Атрибут условия 2 | Уровень доступа USEast |
Объедините условие 2 и условие 3 с помощью | ИЛИ |
Пользователь получает доступ, если он | Соответствует атрибутам |
Атрибут условия 3 | Уровень доступа USCentral |
Требуется наличие корпоративных приложений на настольных компьютерах, но не на мобильных устройствах.
Компании может потребоваться корпоративный настольный компьютер, но не корпоративный мобильный телефон.
Сначала создайте уровень доступа для настольных устройств:
Название уровня доступа | aldesktop_access |
Пользователи получают доступ, если они | Соответствует атрибутам |
Атрибут условия 1 | Политика устройства
Шифрование устройства = Не поддерживается ОС устройства macOS = 0.0.0 Windows =0.0.0 ОС Linux = 0.0.0 Chrome OS = 0.0.0 |
Затем создайте уровень доступа для мобильных устройств:
Название уровня доступа | almobile_access |
Пользователи получают доступ, если они | Соответствует атрибутам |
Атрибут условия 1 | ОС устройства iOS = 0.0.0 Android = 0.0.0 |
Требуется базовая защита устройства.
В настоящее время большинство крупных компаний требуют от сотрудников доступа к корпоративным ресурсам через устройства с шифрованием, соответствующие минимальным версиям операционной системы. Некоторые также требуют, чтобы сотрудники использовали устройства, принадлежащие компании.
Вы можете настроить эти политики для всех подразделений вашей организации или только для тех, которые работают с конфиденциальными данными, например, для руководителей компании, финансового отдела или отдела кадров.
Существует несколько способов настройки политики, включающей шифрование устройств, минимальную версию операционной системы и устройства, принадлежащие компании. Каждый из них имеет свои преимущества и недостатки.
1 уровень доступа, включающий все требования безопасности.
В этом примере шифрование устройства, минимальная версия операционной системы и характеристики устройства, принадлежащего компании, включены в один уровень доступа. Пользователи должны соответствовать всем условиям, чтобы получить доступ.
Например, если устройство пользователя зашифровано и принадлежит компании, но на нем установлена несовместимая версия операционной системы, доступ к нему будет запрещен.
Преимущество : Простота настройки. При назначении этого уровня доступа приложению пользователь должен соответствовать всем требованиям.
Недостаток : Для раздельного назначения требований безопасности различным организационным подразделениям необходимо создать отдельный уровень доступа для каждого требования безопасности.
| Название уровня доступа | безопасность устройства |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 (Вы можете добавить все атрибуты к одному условию или (Создайте 3 условия и соедините их с помощью оператора И.) | Политика устройства ОС устройства |
3 отдельных уровня доступа
В этом примере шифрование устройства, минимальная версия операционной системы и атрибуты устройства, принадлежащего компании, находятся на трех разных уровнях доступа. Пользователи должны соответствовать условиям только одного уровня доступа, чтобы получить доступ. Это логическое ИЛИ уровней доступа.
Например, доступ получает пользователь, имеющий зашифрованное устройство и использующий более старую версию операционной системы на своем личном устройстве.
Преимущество : Детальный способ определения уровней доступа. Вы можете отдельно назначать уровни доступа различным организационным подразделениям.
Недостаток : Пользователи должны соответствовать условиям только одного уровня доступа.
| Название уровня доступа | шифрование устройства |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | Политика устройства |
| Название уровня доступа | corp_device |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | Политика устройства |
| Название уровня доступа | мин_ос |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | Политика устройства |
1 уровень доступа с вложенными уровнями доступа
В этом примере требования к шифрованию устройства, минимальной версии операционной системы и безопасности принадлежащих компании устройств находятся на трех отдельных уровнях доступа. Эти три уровня доступа вложены в четвертый уровень доступа.
При назначении приложениям четвертого уровня доступа пользователи должны соответствовать условиям каждого из трех вложенных уровней доступа, чтобы получить доступ. Это логическое И уровней доступа.
Например, пользователю, у которого зашифрованное устройство и на котором установлена более старая версия операционной системы, будет отказано в доступе.
Преимущество : Вы сохраняете гибкость разделения требований безопасности по уровням доступа 1, 2 и 3. Используя уровень доступа 4, вы также можете применять политику, включающую все требования безопасности.
Недостаток : Журнал аудита фиксирует только отказ в доступе для уровня доступа 4 (а не для уровней доступа 1, 2 и 3), поскольку уровни доступа 1, 2 и 3 не назначаются приложениям напрямую.
Создайте 3 уровня доступа, как описано выше в разделе «3 отдельных уровня доступа»: «device_encryption», «corp_device» и «min_os». Затем создайте четвертый уровень доступа под названием «device_security», который будет иметь 3 условия. Каждое условие имеет атрибут уровня доступа. (Вы можете добавить только 1 атрибут уровня доступа к каждому условию.)
| Название уровня доступа | безопасность устройства |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 (только 1 уровень доступа на каждое условие) | Уровень доступа шифрование устройства |
| Объедините условие 1 и условие 2 с помощью | И |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | Уровень доступа corp_device |
| Объедините условие 2 и условие 3 с помощью | И |
| Пользователь получает доступ, если он | Соответствует атрибутам |
| Атрибут условия 1 | Уровень доступа мин_ос |
Дополнительная информация
- Обзор контекстно-зависимого доступа
- Настройте программное обеспечение и создайте уровни доступа с учетом контекста.
- Назначайте приложениям уровни доступа с учетом контекста.
- Настройка контекстно-зависимого доступа для групп.
- Примеры контекстно-зависимого доступа для расширенного режима
- Журнал аудита доступа с учетом контекста