Bài viết này mô tả các trường hợp sử dụng phổ biến cho tính năng Quyền truy cập theo bối cảnh và bao gồm các cấu hình mẫu được phát triển ở chế độ Cơ bản.
Để xem ví dụ về các cấp truy cập được phát triển ở chế độ Nâng cao (sử dụng trình chỉnh sửa CEL), hãy chuyển đến phần Ví dụ về quyền truy cập theo bối cảnh cho chế độ Nâng cao.
Chỉ cho phép nhà thầu truy cập thông qua mạng doanh nghiệp
Nhiều công ty muốn hạn chế quyền truy cập của nhà thầu vào các tài nguyên của công ty. Ví dụ: những công ty sử dụng nhân viên hợp đồng để trả lời các cuộc gọi hỗ trợ chung hoặc làm việc tại các trung tâm trợ giúp và trung tâm cuộc gọi. Tương tự như nhân viên toàn thời gian, nhà thầu phải có giấy phép được hỗ trợ để được áp dụng các chính sách về Quyền truy cập dựa trên bối cảnh.
Trong ví dụ này, nhà thầu chỉ có quyền truy cập vào các tài nguyên của công ty trong một dải địa chỉ IP cụ thể của công ty.
| Tên cấp truy cập | contractor_access |
| Nhà thầu sẽ có quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 | Mạng con IP (Công khai) 74.125.192.0/18 |
| Chỉ định cấp truy cập | Đơn vị tổ chức cho nhà thầu Tất cả ứng dụng mà nhà thầu sử dụng |
Chặn quyền truy cập từ các địa chỉ IP của kẻ xâm nhập đã biết
Để bảo vệ tài nguyên của công ty khỏi bị xâm nhập, nhiều công ty chặn quyền truy cập vào các nguồn có mức độ rủi ro cao đã biết.
Trong ví dụ này, địa chỉ IP 74.125.195.105 bị chặn. Người dùng sẽ có quyền truy cập vào các tài nguyên của công ty nếu phiên của họ bắt nguồn từ bất kỳ địa chỉ IP nào khác. Bạn có thể chỉ định nhiều địa chỉ IP và dải IP.
| Tên cấp truy cập | block_highrisk |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Không đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 | Mạng con IP (Công khai) 74.125.195.105 |
| Chỉ định cấp truy cập | Đơn vị tổ chức cấp cao nhất Tất cả ứng dụng |
Cho phép truy cập từ một mạng riêng tư cụ thể trong Google Cloud
Nhiều công ty chuyển hướng lưu lượng truy cập của người dùng đến Google thông qua một Virtual Private Cloud (VPC). VPC là một mạng biệt lập, an toàn trong môi trường Google Cloud.
Xin lưu ý rằng lưu lượng truy cập được định tuyến qua VPC có thể sử dụng địa chỉ IP riêng tư. Điều này có thể gây ra vấn đề với chính sách về IP công khai hoặc khu vực.
Trong ví dụ này, bạn có thể cho phép lưu lượng truy cập từ những VPC cụ thể này.
| Tên cấp truy cập | vpc_access |
| Người dùng sẽ nhận được quyền truy cập nếu họ... | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 |
Mạng con IP (riêng tư) Mạng con IP riêng tư: //compute.googleapis.com/projects/project- name-test/global/networks/network-name Mạng con VPC: 74.125.192.0/18 |
| Chỉ định cấp truy cập |
Đơn vị tổ chức cho tất cả người dùng Tất cả ứng dụng mà nhà thầu sử dụng |
Những điều quan trọng cần nhớ:
- Chỉ lưu lượng truy cập trực tiếp: Cấp truy cập này chỉ hoạt động đối với lưu lượng truy cập trực tiếp đến máy chủ của Google từ VPC nằm trong danh sách cho phép. Nếu lưu lượng truy cập đi qua một mạng hoặc đường hầm khác trước, thì quyền truy cập sẽ không được cấp. Google chỉ nhận dạng VPC cuối cùng gửi lưu lượng truy cập đến các máy chủ của Google.
- Quyền quản trị: Để xem VPC và định cấu hình cấp truy cập này, quản trị viên phải có vai trò Quản lý danh tính và quyền truy cập (IAM) phù hợp (ví dụ: compute.networks.list, compute.subnetworks.list, v.v.).
- VPC bên ngoài: VPC mà bạn thêm vào danh sách cho phép có thể nằm bên ngoài miền Google Cloud hiện tại của bạn. Quản trị viên phải có quyền xem để thêm VPC bên ngoài.
Cho phép hoặc không cho phép truy cập từ một số vị trí cụ thể
Nếu có nhân viên thường xuyên di chuyển đến các văn phòng từ xa của công ty hoặc đối tác, bạn có thể chỉ định vị trí địa lý nơi họ có thể truy cập vào các tài nguyên của công ty.
Ví dụ: nếu một nhóm nhân viên bán hàng thường xuyên đến thăm khách hàng ở Úc và Ấn Độ, bạn có thể giới hạn quyền truy cập của nhóm này vào văn phòng tại nhà, Úc và Ấn Độ. Nếu đi du lịch cá nhân ở các quốc gia khác trong chuyến công tác, họ sẽ không thể truy cập vào các tài nguyên của công ty ở những quốc gia đó.
Trong ví dụ này, nhóm bán hàng chỉ có thể truy cập vào tài nguyên của công ty từ Hoa Kỳ (văn phòng tại nhà), Úc và Ấn Độ.
| Tên cấp truy cập | sales_access |
| Nhóm bán hàng sẽ có quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 | Nguồn gốc địa lý Hoa Kỳ, Úc, Ấn Độ |
| Chỉ định cấp truy cập | Nhóm nhân viên bán hàng Tất cả nhân viên bán hàng đều sử dụng ứng dụng này |
Bạn cũng có thể tạo một chính sách để từ chối quyền truy cập từ một số quốc gia cụ thể bằng cách chỉ định rằng người dùng sẽ có quyền truy cập nếu họ không đáp ứng các điều kiện. Bạn sẽ liệt kê các quốc gia mà bạn muốn chặn quyền truy cập.
Sử dụng các cấp truy cập lồng nhau thay vì chọn nhiều cấp truy cập trong quá trình chỉ định
Trong một số trường hợp, khi tìm cách chỉ định cấp truy cập cho một đơn vị tổ chức hoặc nhóm và một ứng dụng (hoặc một nhóm ứng dụng) nhất định, bạn có thể thấy thông báo lỗi yêu cầu bạn giảm số lượng ứng dụng hoặc cấp truy cập.
Để ngăn lỗi này, bạn có thể giảm số lượng cấp truy cập được dùng trong quá trình chỉ định bằng cách lồng các cấp truy cập đó vào một cấp truy cập duy nhất. Cấp truy cập lồng ghép kết hợp nhiều điều kiện bằng một thao tác OR, trong đó mỗi điều kiện chứa một cấp truy cập riêng lẻ.
Trong ví dụ này, USWest, USEast và USCentral nằm ở 3 cấp truy cập riêng biệt. Giả sử bạn muốn người dùng có thể truy cập vào các ứng dụng nếu họ đáp ứng bất kỳ cấp truy cập nào trong số USWest HOẶC USEast HOẶC USCentral.Bạn có thể tạo một cấp truy cập lồng nhau duy nhất (gọi là USRegions) bằng cách sử dụng toán tử HOẶC. Khi đến thời điểm chỉ định cấp truy cập, hãy chỉ định cấp truy cập USRegions cho ứng dụng đối với đơn vị tổ chức hoặc nhóm.
|
Tên cấp truy cập |
USRegions |
|
Người dùng sẽ nhận được quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính tình trạng 1 (mỗi điều kiện chỉ có 1 cấp truy cập) |
Cấp độ truy cập USWest |
|
Kết hợp điều kiện 1 và điều kiện 2 bằng |
HOẶC |
|
Người dùng sẽ nhận được quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính tình trạng 2 |
Cấp độ truy cập USEast |
|
Kết hợp điều kiện 2 và điều kiện 3 bằng |
HOẶC |
|
Người dùng sẽ nhận được quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính tình trạng 3 |
Cấp độ truy cập USCentral |
Yêu cầu thiết bị thuộc sở hữu của công ty trên máy tính nhưng không yêu cầu trên thiết bị di động
Một công ty có thể yêu cầu thiết bị máy tính thuộc sở hữu của công ty, nhưng không yêu cầu thiết bị di động thuộc sở hữu của công ty.
Trước tiên, hãy tạo một cấp truy cập cho thiết bị máy tính:
|
Tên cấp truy cập |
aldesktop_access |
|
Người dùng sẽ có quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính tình trạng 1 |
Chính sách thiết bị
Mã hoá thiết bị = Không được hỗ trợ Hệ điều hành của thiết bị macOS = 0.0.0 Windows =0.0.0 Hệ điều hành Linux = 0.0.0 Chrome OS = 0.0.0 |
Sau đó, hãy tạo một cấp truy cập cho thiết bị di động:
|
Tên cấp truy cập |
almobile_access |
|
Người dùng sẽ có quyền truy cập nếu họ |
Đáp ứng các thuộc tính |
|
Thuộc tính tình trạng 1 |
Hệ điều hành của thiết bị iOS = 0.0.0 Android = 0.0.0 |
Yêu cầu bảo mật cơ bản cho thiết bị
Hiện nay, hầu hết các công ty đều yêu cầu nhân viên truy cập vào tài nguyên của công ty thông qua các thiết bị được mã hoá và đáp ứng phiên bản hệ điều hành tối thiểu. Một số công ty cũng yêu cầu nhân viên sử dụng thiết bị của công ty.
Bạn có thể định cấu hình các chính sách này cho tất cả các đơn vị tổ chức hoặc chỉ cho những đơn vị làm việc với dữ liệu nhạy cảm, chẳng hạn như ban điều hành, bộ phận tài chính hoặc bộ phận nhân sự của công ty.
Có một số cách để bạn có thể định cấu hình một chính sách bao gồm tính năng mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị do công ty sở hữu. Mỗi phương pháp đều có ưu điểm và nhược điểm riêng.
1 cấp truy cập chứa tất cả các yêu cầu bảo mật
Trong ví dụ này, chế độ mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và các thuộc tính của thiết bị do công ty sở hữu đều được đưa vào một cấp truy cập. Người dùng phải đáp ứng tất cả các điều kiện để có quyền truy cập.
Ví dụ: nếu thiết bị của người dùng được mã hoá và thuộc sở hữu của công ty nhưng không chạy phiên bản hệ điều hành tuân thủ, thì họ sẽ bị từ chối quyền truy cập.
Ưu điểm: Dễ thiết lập. Khi bạn chỉ định cấp truy cập này cho một ứng dụng, người dùng phải đáp ứng tất cả các yêu cầu.
Nhược điểm: Để chỉ định riêng các yêu cầu bảo mật cho từng đơn vị tổ chức, bạn cần tạo một cấp truy cập riêng cho từng yêu cầu bảo mật.
| Tên cấp truy cập | device_security |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 (Bạn có thể thêm tất cả thuộc tính vào một điều kiện hoặc tạo 3 điều kiện và kết hợp chúng bằng AND.) |
Chính sách thiết bị Hệ điều hành của thiết bị |
3 cấp truy cập riêng biệt
Trong ví dụ này, các thuộc tính mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và thiết bị do công ty sở hữu nằm ở 3 cấp truy cập riêng biệt. Người dùng chỉ cần đáp ứng các điều kiện ở một cấp truy cập để có quyền truy cập. Đây là một phép toán OR logic của các cấp truy cập.
Ví dụ: người dùng có thiết bị được mã hoá và chạy phiên bản cũ hơn của hệ điều hành trên thiết bị cá nhân sẽ có quyền truy cập.
Ưu điểm: Cách xác định cấp truy cập một cách chi tiết. Bạn có thể chỉ định riêng các cấp truy cập cho từng đơn vị tổ chức.
Nhược điểm: Người dùng chỉ phải đáp ứng các điều kiện ở một cấp truy cập.
| Tên cấp truy cập | device_encryption |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 |
Chính sách thiết bị |
| Tên cấp truy cập | corp_device |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 |
Chính sách thiết bị |
| Tên cấp truy cập | min_os |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 |
Chính sách thiết bị |
1 cấp truy cập có các cấp truy cập lồng nhau
Trong ví dụ này, chế độ mã hoá thiết bị, phiên bản hệ điều hành tối thiểu và các yêu cầu bảo mật đối với thiết bị do công ty sở hữu nằm ở 3 cấp độ truy cập riêng biệt. 3 cấp truy cập này được lồng trong cấp truy cập thứ tư.
Khi bạn chỉ định cấp truy cập thứ tư cho các ứng dụng, người dùng phải đáp ứng các điều kiện ở từng cấp truy cập trong số 3 cấp truy cập lồng nhau thì mới có quyền truy cập. Đây là phép toán AND logic của các cấp truy cập.
Ví dụ: người dùng có thiết bị được mã hoá và chạy phiên bản hệ điều hành cũ trên thiết bị cá nhân sẽ bị từ chối quyền truy cập.
Lợi ích: Bạn vẫn có thể linh hoạt tách các yêu cầu bảo mật ở cấp truy cập 1, 2 và 3. Khi sử dụng cấp truy cập 4, bạn cũng có thể thực thi một chính sách với tất cả các yêu cầu về bảo mật.
Nhược điểm: Nhật ký kiểm tra chỉ ghi lại quyền truy cập bị từ chối ở cấp truy cập 4 (không phải cấp truy cập 1, 2 và 3), vì cấp truy cập 1, 2 và 3 không được chỉ định trực tiếp cho các ứng dụng.
Tạo 3 cấp truy cập như mô tả trong phần "3 cấp truy cập riêng biệt" ở trên: "device_encryption", "corp_device" và "min_os". Sau đó, hãy tạo cấp truy cập thứ tư có tên là "device_security" có 3 điều kiện. Mỗi điều kiện có một cấp truy cập làm thuộc tính. (Bạn chỉ có thể thêm 1 thuộc tính cấp truy cập cho mỗi điều kiện.)
| Tên cấp truy cập | device_security |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính điều kiện 1 (mỗi điều kiện chỉ có 1 cấp truy cập) |
Cấp truy cập device_encryption |
| Kết hợp điều kiện 1 và điều kiện 2 bằng | VÀ |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 | Cấp truy cập corp_device |
| Kết hợp điều kiện 2 và điều kiện 3 bằng | VÀ |
| Người dùng sẽ nhận được quyền truy cập nếu họ | Đáp ứng các thuộc tính |
| Thuộc tính tình trạng 1 | Cấp truy cập min_os |
Thông tin liên quan
- Thông tin tổng quan về Quyền truy cập theo bối cảnh
- Thiết lập phần mềm và tạo cấp truy cập theo bối cảnh
- Chỉ định cấp truy cập theo bối cảnh cho ứng dụng
- Tuỳ chỉnh quyền truy cập dựa trên bối cảnh bằng nhóm
- Ví dụ về Quyền truy cập theo bối cảnh cho chế độ Nâng cao
- Nhật ký kiểm tra Quyền truy cập dựa trên bối cảnh