Configurar RBAC para la Gestión de Políticas

Resumen

Los roles de la Aplicación de Gestión de Cato (CMA) implementan RBAC para definir permisos de visualización y edición para las páginas de CMA. Las sub-políticas te permiten asignar RBAC para un conjunto de reglas que brinda autonomía a los administradores sobre las áreas de las que son responsables, al mismo tiempo que se preserva el control centralizado y los límites de seguridad.

Crear subpolíticas para reglas específicas y definir qué administradores tienen acceso de ver o editar a esas subpolíticas.

Caso de Uso

La empresa de muestra tiene 2 equipos SOC, uno para EMEA y otro para APJ. Existen 50 reglas en la política del Cortafuegos de Internet: 20 se aplican a todas las regiones, 10 están relacionadas solo con el tráfico de EMEA, y 20 son solo para el tráfico de APJ. Antes de las subpolíticas, los equipos SOC tenían permisos para ver y editar todas las reglas en la política de Cortafuegos de Internet, lo cual no cumplía con las normativas de cumplimiento de la empresa.

La empresa de muestra utilizó subpolíticas para restringir el acceso, de modo que cada equipo SOC solo tuviera acceso a las reglas que gestionan el tráfico de su región. Crearon una subpolítica para EMEA para las 10 reglas de tráfico de EMEA, y otra para APJ para las 20 reglas de tráfico de APJ. Ahora, los equipos SOC solo pueden editar las reglas para su tráfico regional, y la empresa cumple totalmente con las normativas.

Trabajando con Subpolíticas

  • La regla padre de la subpolítica es una regla de alcance que define cuándo se aplican las reglas de la subpolítica al tráfico
  • Las reglas de la subpolítica también son reglas ordenadas, y la acción de la primera regla coincidente se aplica al tráfico
  • Puedes agregar secciones para reglas en las subpolíticas

  • Por defecto, se agrega una regla de limpieza opcional ANY ANY al final de la subpolítica. Esta regla solo se aplica a:

    • Tráfico que coincide con la regla de alcance para la subpolítica
    • No coincide con ninguna otra regla en esa subpolítica

    Nota: Las reglas dentro de una subpolítica que tienen condiciones ANY solo se aplican al tráfico que también coincide con la regla de alcance de la subpolítica. Eso significa que una regla con Bloqueo ANY ANY no impacta el tráfico que NO coincide con la regla de alcance.

  • Las subpolíticas no pueden contener otras subpolíticas (sin anidamiento)

Las reglas no incluidas en una subpolítica son parte de la principal subpolítica cuando se definen permisos de administrador.

Puedes definir qué administradores pueden ver/editar cada subpolítica.

Creación de una Subpolítica y Definición de Permisos de Administrador

Primero, crea subpolíticas y luego define permisos de administrador para quien tenga permitido ver o editar las reglas.

Los números de regla se mantienen consistentes en toda la política, incluso cuando algunos administradores no pueden ver ciertas subpolíticas. Como resultado, los administradores sin permisos de vista para subpolíticas específicas pueden ver lagunas en la numeración de reglas.

sub-policy_settings.png

Creación de una Subpolítica

Puedes crear una subpolítica en cualquiera de las políticas compatibles. Las condiciones de la subpolítica definen cuándo el tráfico se aplicará a las reglas dentro de una subpolítica.

Nota: Asegúrese de definir reglas y permisos antes de habilitar la sub-política.

Para crear una subpolítica:

  1. En la política relevante, haga clic en Nuevo > Sub-Política.
  2. Define el nombre, posición y condiciones para la sub-política y haz clic en Guardar

Definición de Permisos de Administrador para Sub-Políticas

Por defecto, los administradores tienen permisos para ver y editar todas las sub-políticas en cada página para la cual tienen permisos. Elimina los permisos para la entidad de todas las sub-políticas y agrégalo de nuevo para la nueva sub-política individual.

sub-policy-assign.png

Para definir permisos de administrador en una sub-política:

  1. Desde el menú de navegación, selecciona Administración > Administradores.
  2. Selecciona un administrador, y ve a la área de Permisos de Acceso para Entidades.
  3. En la tabla, localice la línea para la política (por ejemplo, Todas las Políticas de Cortafuegos de Internet) y elimine los permisos de vista y edición.
  4. En el menú desplegable, selecciona la categoría de sub-política para tu página (por ejemplo, Sub-Políticas de Cortafuegos de Internet).
  5. En el segundo menú desplegable, selecciona la sub-política objetivo. La sub-política se agrega a la tabla.
  6. En la tabla, da al administrador permisos de Edición o Solo Vista para la sub-política.
  7. Repita este proceso para cada administrador.
  8. Después de que los permisos de administrador estén definidos, pueden comenzar a configurar reglas para la sub-política.

Habilitando Sub-Políticas

Después que las reglas estén definidas en la sub-política, puedes habilitarla.

sub-policy-enable.png

Para habilitar una sub-política:

  1. En la política objetivo, haga clic en la sub-política.
  2. Expanda la sección General y use el conmutador para habilitarla.

Limitaciones

  • Las políticas de Cortafuegos de Internet y WAN admiten subpolíticas y RBAC para la gestión de políticas.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios