إدارة الأدوار الإدارية باستخدام RBAC

توضح هذه المقالة كيفية تكوين أدوار المسؤول التي تتحكم في الوصول إلى تطبيق إدارة Cato (CMA). لتعرف المزيد عن RBAC، انظر ما هي المسؤولين والتحكم في الوصول القائم على الأدوار (RBAC).

فهم الأدوار المحددة مسبقًا للمسؤولين

توفر كاتو عددًا من الأدوار المعرفة مسبقًا التي يمكنك تعيينها للمدراء. يمكنك النقر على صف دور لإظهار الأذونات لكل صفحة في لوحة تعديل الدور. ومع ذلك، لا يمكن تعديل الأدوار المعرفة مسبقًا أو حذفها.

هذه هي الأدوار المعرفة مسبقًا:

  • المحرر - أذونات القراءة/الكتابة الكاملة لجميع الصفحات
  • المشاهد - أذونات القراءة فقط لجميع الصفحات
  • مسؤول الشبكة - المسؤولون الذين يتعاملون بشكل أساسي مع الاتصال والوصول إلى الشبكة. تشمل الأذونات تعديل جميع الصفحات تحت قائمة الشبكة وصفحات أخرى ذات صلة مثل جدار الحماية WAN، ولكن أذونات المشاهدة فقط لميزات الأمان مثل جدار الحماية الإنترنت. الأذونات لميزات الوصول هي أيضًا للمشاهدة فقط.
  • مسؤول الأمان - المسؤولون الذين يتعاملون بشكل أساسي مع الأمان. تشمل الأذونات، على سبيل المثال، تعديل جميع الصفحات تحت قوائم الأمان والأصول، لكن أذونات المشاهدة فقط لميزات الشبكة والوصول.
  • مسؤول الوصول - يسمح بتعديل جميع الصفحات تحت قائمة الوصول، مع تعيين الأذونات لجميع الصفحات الأخرى إلى لا شيء
  • المشاهد الإقليمي - أذونات القراءة فقط لجميع المواقع ومستخدمي SDP، وكذلك لجميع الأحداث وتحليلات التطبيقات
  • المشاهد المقيّد - أذونات القراءة فقط لجميع المواقع ومستخدمي SDP (لا يوجد وصول إلى الأحداث وتحليلات التطبيقات)
  • مسؤول اللوجستيات - أذونات القراءة/الكتابة الكاملة لصفحة المقابس والإكسسوارات
  • الأمان الحساس للذكاء الاصطناعي - الوصول لمشاهدة بيانات الإدخال من قبل المستخدمين في وحدة الأمان المتقدمة.

العمل مع الأدوار الإدارية المخصصة

يمكنك إنشاء أدوار مخصصة وتحديد أذونات دقيقة لجميع الصفحات في CMA لتناسب احتياجات مؤسستك بالضبط. ومع ذلك، لا يمكنك تعيين أذونات منفصلة للألسنة والميزات الفردية داخل الصفحة.

افتراضيًا، عند إنشاء دور جديد جميع الأذونات تكون معينة إلى عرض فقط. يمكنك النقر على صف الدور لتعديل الأذونات في لوحة تعديل الدور. يمكنك حذف دور من قائمة المزيد في صف الدور، ومع ذلك، لا يمكنك حذف دور مخصص تم تعيينه حاليًا لمسؤول.

  • فقط المسؤول الذي لديه دور المحرر يمكنه إنشاء أو تعديل الأدوار
  • يمكنك مراجعة التغييرات في الأدوار المخصصة في مسار التدقيق (المراقبة > مسار التدقيق)، بما في ذلك إنشاء الأدوار وتعديلها وحذفها

تقوم أذونات بعض الصفحات بتكوين أذونات تابعة تلقائيًا لصفحات وميزات أخرى. تنطبق الأذونات التابعة التالية عند إنشاء دور:

  • الصفحات في قائمة التنقل تحدد الأذونات للصفحات والأقسام التابعة لها. على سبيل المثال، تحدد أذونات صفحة المواقع (الشبكة > المواقع) الأذونات لصفحات تكوين الموقع التي يتم الوصول إليها من صفحة المواقع.
  • بالنسبة للصفحات التي تدعم ميزة التصدير، فإن منح أذونات تحرير يسمح للمسؤول بتصدير البيانات أو السياسات. على سبيل المثال، يمكن لدور مع أذونات تحرير لصفحة جدار الحماية للإنترنت السماح للمسؤول بتصدير القواعد إلى ملف CSV.

  • عرض أو تحرير الأذونات للصفحات التالية يمنح أذونات عرض فقط لصفحة الأحداث. يمكنك تغيير أذونات الأحداث إلى تحرير ولكن ليس إلى لا شيء.

    • المواقع (الشبكة > المواقع)
    • المستخدمون (الوصول > المستخدمون)
    • تحليلات التطبيق (الرئيسية > تحليلات التطبيق)
    • لوحة مراقبة التهديدات (الأمان > التهديدات الأمنية)
    • لوحة تحكم التطبيقات السحابية (الأمان > لوحة تحكم التطبيقات السحابية)
    • MITRE ATT&CK® (الأمن > MITRE ATT&CK®)

لإنشاء دور مسؤول مخصص:

  1. من القائمة التنقلية، انقر على الحساب > الأدوار & الصلاحيات.
  2. انقر على جديد لإنشاء دور مخصص. تفتح لوحة إنشاء الدور.
  3. قم بإدخال اسم الدور وقم بتوسيع الأقسام لتحديد الأذونات لصفحات تطبيق إدارة Cato في كل قسم.

  4. انقر على إرسال.

    يظهر الدور المخصص في قائمة الأدوار.

تعيين الأدوار للمدراء

في صفحة المسؤولين، يمكنك تعيين دور واحد أو أكثر لكل مسؤول. عندما يتم تعيين عدة أدوار للمسؤول تتضمن أذونات مختلفة لنفس الصفحة، سيتم تطبيق الأذونات الأعلى. على سبيل المثال، إذا تم تعيين مسؤول لدور يحتوي على أذونات تحرير لصفحة جدار حماية WAN، ودور آخر يحتوي على أذونات عرض فقط، يمكن للمسؤول تحرير سياسة جدار حماية WAN.

ملاحظة: إذا قمت باستخدام IdP لاستيراد مجموعة من المسؤولين، يمكنك استخدام هذا الإجراء لتحديد أدوارهم كمجموعة.

  • فقط المسؤول الذي لديه دور المحرر يمكنه تعيين أو إزالة الأدوار
  • يمكنك مراجعة التغييرات في تعيينات الأدوار في مسار التدقيق (المراقبة > مسار التدقيق)
Assign_Role.png

لتعيين الأدوار لمسؤول:

  1. من قائمة التنقل، انقر على الحساب > المسؤولون.
  2. انقر في صف المسؤول لفتح الإعدادات الخاصة به.
  3. من القائمة المنسدلة الأدوار، حدد دورًا أو أكثر.

  4. انقر على حفظ.

    تُطبق الأدوار على المسؤول.

توفير وصول المسؤول إلى المواقع والمستخدمين والمجموعات المتقدمة

يمكنك تحديد المواقع، مستخدمي SDP، والمجموعات المتقدمة التي يمكن لمشرفي تطبيق إدارة Cato تحريرها أو عرضها. المسؤولون الذين ليس لديهم أذونات عرض لموقع أو مستخدم معين لن يروا معلومات حول تلك الوحدة في صفحات CMA.

  • عندما يتم منح المسؤولين إذن التحرير/العرض لمجموعة (ليست مجموعة متقدمة)، فإن ذلك يشير إلى القدرة على عرض/تحرير المواقع ضمن تلك المجموعة. إذا كانت هناك عناصر غير مواقع في المجموعة، فإنها تتجاهل.
  • عندما يتم منح المسؤولين إذن عرض/تحرير مجموعة متقدمة، فهذا يعني أنهم يمكنهم رؤية أي الكيانات موجودة في المجموعة أو أنهم يمكنهم إضافة أو إزالة أعضاء من المجموعة.
  • يمكن للمسؤولين إنشاء مستخدمين جدد لـ SDP فقط عندما يكون لديهم أذونات تحرير لجميع مجموعات المستخدمين.
  • بالنسبة للمسؤولين الذين يتم تعيين الأذونات لهم بناءً على الأدوار، توجد علاقة AND بين الدور والكيان. على سبيل المثال، إذا تم تعيين إذن عرض لمسؤول لموقع لندن ولم يكن لديهم أذونات لعرض صفحة المواقع، فلن يتمكنوا من عرض موقع لندن. أو إذا كان لديهم أذونات تحرير لموقع لندن، ولكن لديهم أذونات عرض لصفحة الموقع، فيمكنهم فقط عرض الموقع ولا يستطيعون تحريره.
Admin_site_users.png

للسماح للمسؤولين بالوصول إلى المواقع والمستخدمين والمجموعات المتقدمة:

  1. من قائمة التنقل، انقر على الحساب > المسؤولون.
  2. قم بإنشاء مسؤول جديد أو تعديل مسؤول موجود.
  3. في تصاريح الوصول للكيانات، اختر نوع العنصر في القائمة المنسدلة.
  4. استخدم القائمة المنسدلة لاختيار كيان أو أكثر. تضاف الكيانات إلى الجدول.
  5. راجع جميع الإعدادات المتعلقة بنوع الكيان. على سبيل المثال، إذا أضفت إذنًا إلى موقع فردي، فتأكد من أن إعداد الوصول إلى جميع المواقع مناسب.
  6. حدد الإذن للمسؤول للعنصر في الجدول.
  7. انقر على حفظ. تُخصص المواقع ومجموعات المستخدمين للمسؤول.

القيود المعروفة لأذونات الكيانات

  • يمكن أن يكون لدى المسؤولين صلاحيات لما يصل إلى 1000 مستخدم SDP، بما في ذلك جميع مجموعات المستخدمين المخصصة للمسؤول

    إذا كان المسؤول لديه صلاحيات لأكثر من 1000 مستخدم SDP، فسيتلقى خطأ. من الضروري إزالة الأذونات لبعض مجموعات المستخدمين حتى تحتوي على أذونات لأقل من 1000 مستخدم SDP.

  • يمكن أن يكون لدى المسؤولين صلاحيات لما يصل إلى 200 موقع فردي. لا يوجد حد عندما يتم تخصيص المواقع إلى مجموعة.
  • تقارير Cato ليست مفلترة وفقًا لأذونات المسؤول للمواقع والمستخدمين. يمكنك تحديد الوصول إلى صفحة التقارير، للتحكم في أي المسؤولين يمكنهم إنشاء وعرض التقارير.
  • عندما تخصص مجموعة لمسؤول، يتم تطبيق المواقع والمستخدمون فقط. تُهمل العناصر الأخرى في المجموعة (مثل نطاقات الشبكة).

  • لوحات المعلومات وصفحات المراقبة التالية ليست مفلترة تلقائيًا للمواقع أو مستخدمي SDP:

    • جدول التوجيه
    • مسار التدقيق
    • لوحة التحكم API للأمان السحابي
    • لوحة التحكم XDR
    • الكشف والاستجابة
    • الأصول
  • عند إدارة القواعد في السياسات، يمكن للمسؤولين إنشاء قواعد باستخدام القيمة أي (مثل أي موقع، أي مجموعة مستخدمين، إلخ)، حتى إذا كان لديهم أذونات لبعض المواقع، مجموعات المستخدمين، أو المجموعات المتقدمة فقط.
  • المسؤولون الذين لديهم تصاريح لمجموعات المستخدمين يمكنهم فقط إضافة مستخدمي SDP إلى القواعد. لا يمكنهم إضافة مستخدمين تم تحديدهم من خلال وعي المستخدم إلى القواعد.

هل كان هذا المقال مفيداً؟

7 من 8 وجدوا هذا مفيداً

لا توجد تعليقات