Gestionar Roles de Administrador Usando RBAC

This article explains how to configure admin roles that control access to the Cato Management Application (CMA). To learn more about RBAC, see What are Admins and Role-Based Access Control (RBAC).

Comprendiendo los Roles de Administrador Predefinidos

Cato proporciona una serie de roles predefinidos que puede asignar a los administradores. Puede hacer clic en la fila de un rol para mostrar los permisos de cada página en el panel Editar Rol. Sin embargo, los roles predefinidos no se pueden modificar ni eliminar.

Estos son los roles predefinidos:

  • Editor - Permisos completos de lectura/escritura para todas las páginas
  • Visualizador - Permisos solo de lectura para todas las páginas
  • Administrador de Red - Administradores que principalmente se ocupan de la conectividad y el acceso a la red. Los permisos incluyen la edición de todas las páginas bajo el menú de Red y otras páginas relevantes como el Firewall WAN, pero solo ver los permisos para características de seguridad como el Cortafuegos de Internet. Los permisos para características de acceso son también solo de vista.
  • Administrador de Seguridad - Administradores que principalmente se ocupan de la seguridad. Los permisos incluyen, por ejemplo, la edición de todas las páginas bajo los menús de Seguridad y Activos, pero solo ver los permisos para características de red y acceso.
  • Administrador de Acceso - Permite la edición de todas las páginas bajo el menú de Acceso, con permisos para todas las otras páginas establecidas en Ninguno
  • Visualizador Regional - Permisos solo de lectura para todos los sitios y usuarios SDP, y también para todos los eventos y analíticas de aplicaciones
  • Visualizador Restringido - Permisos solo de lectura para todos los sitios y usuarios SDP (sin acceso a eventos y analíticas de aplicaciones)
  • Administrador de Logística - Permiso completo de lectura/escritura para la página de Sockets y Tarjetas de Red
  • AI Seguridad Sensible - Acceso para ver datos de solicitud ingresados por los usuarios en el módulo de Seguridad AI.

Trabajar con roles de administrador personalizados

Puede crear roles personalizados y definir permisos granulares para todas las páginas en la CMA para adaptarse a las necesidades exactas de su organización. Sin embargo, no puede establecer permisos separados para pestañas y funciones individuales dentro de una página.

Por defecto, cuando crea un nuevo rol, todos los permisos están establecidos en Solo visualización. Puede hacer clic en la fila del rol para modificar los permisos en el panel Editar Rol. Puede eliminar un rol desde el menú más en la fila del rol, sin embargo, no puede eliminar un rol personalizado que está actualmente asignado a un administrador.

  • Solo un administrador con el rol de Editor puede crear o modificar roles
  • Puede auditar cambios en los roles personalizados en la Pista de Auditoría (Monitoring > Audit Trail), incluyendo la creación, modificación y eliminación de roles

Los permisos para algunas páginas configuran automáticamente permisos dependientes para otras páginas y características. Se aplican los siguientes permisos dependientes al crear un rol:

  • las páginas en el menú de navegación definen los permisos para las páginas y secciones que están debajo de ellas. Por ejemplo, los permisos para la página de Sitios (Red > Sitios) determinan los permisos para las páginas de Configuración de Sitio accesibles desde la página de Sitios.
  • Para las páginas que admiten una función de exportación, otorgar permisos de Edición permite al admin exportar datos o políticas. Por ejemplo, un rol con permisos de Edición para la página de Firewall de Internet permite al admin exportar las reglas a un archivo CSV.

  • Ver o editar permisos para las siguientes páginas otorga permisos de Solo Vista a la página de Eventos. Puede cambiar los permisos de Eventos a Editar pero no a Ninguno.

    • Sitios (Red > Sitios)
    • Usuarios (Acceso > Usuarios)
    • Análisis de Aplicaciones (Inicio > Análisis de Aplicaciones)
    • Tablero de Amenazas (Seguridad > Amenazas de Seguridad)
    • Tablero de Aplicaciones en la Nube (Seguridad > Tablero de Aplicaciones en la Nube)
    • MITRE ATT&CK® (Security > MITRE ATT&CK®)

Para crear un rol de administrador personalizado:

  1. Desde el menú de navegación, haz clic en Cuenta > Roles & Permisos.
  2. Haz clic en Nuevo para crear un rol personalizado. Se abre el panel de Crear Rol.
  3. Ingrese un Nombre de Rol y expanda las secciones para definir permisos para las páginas de la Aplicación de Gestión de Cato en cada sección.

  4. Haz clic en Enviar.

    El rol personalizado aparece en la lista de roles.

Asignación de Roles a Administradores

En la página de Administradores, puedes asignar uno o más roles a cada administrador. Cuando a un administrador se le asignan múltiples roles que incluyen diferentes permisos para la misma página, se aplican los mayores permisos. Por ejemplo, si a un administrador se le asigna un rol con permisos de Editar para la página del Cortafuegos WAN, y otro rol con permisos de Solo Ver, el administrador puede editar la política de firewall WAN.

Nota: Si usaste un IdP para importar un grupo de administradores, puedes usar este procedimiento para definir sus roles como grupo.

  • Solo un administrador con el rol de Editor puede asignar o eliminar roles
  • Puedes revisar los cambios en las asignaciones de roles en la Pista de Auditoría (Monitoring > Audit Trail)
Assign_Role.png

Para asignar roles a un administrador:

  1. Desde el menú de navegación, haz clic en Cuenta > Administradores.
  2. Haz clic en la fila de un administrador para abrir configuraciones para el administrador.
  3. Desde el menú desplegable Roles, selecciona uno o más roles.

  4. Haz clic en Guardar.

    Los roles se aplican al administrador.

Proporcionar Acceso de Admin a Sitios, Usuarios y Grupos Avanzados

Puede definir qué sitios, usuarios SDP y grupos avanzados tienen permisos para editar o ver los admins de la Aplicación de Gestión de Cato. Los admins que no tienen permisos de visualización para un sitio o usuario en particular no verán información sobre esa entidad en las páginas de CMA.

  • Cuando a los administradores se les concede permiso para editar/ver un grupo (no grupo avanzado), se refiere a la capacidad de ver/editar sitios dentro de ese grupo. Si hay elementos que no son sitios en el grupo, se ignoran.
  • Cuando a los administradores se les concede permiso para ver/editar un grupo avanzado, significa que pueden ver qué entidades están en el grupo, o que pueden agregar o eliminar miembros del grupo.
  • Los administradores solo pueden crear nuevos usuarios SDP cuando tienen permisos de Editar para todos los grupos de usuarios.
  • Para los admins a los que se les asignan permisos basados en roles, hay una relación Y entre el rol y la entidad. Por ejemplo, si a un admin se le asignan permisos de visualización para el sitio de Londres y no tienen permisos para ver la página de Sitios, entonces no pueden ver el sitio de Londres. O si tienen permisos de edición para el sitio de Londres, pero tienen permisos de visualización para la página del sitio, entonces solo pueden ver el sitio y no pueden editarlo.
Admin_site_users.png

Para permitir que los admins accedan a sitios, usuarios y grupos avanzados:

  1. Desde el menú de navegación, haz clic en Cuenta > Administradores.
  2. Crea un nuevo administrador, o edita un administrador existente.
  3. En Permisos de Acceso para Entidades, seleccione el tipo de artículo en el menú desplegable.
  4. Utilice el menú desplegable para seleccionar una o más entidades. Las entidades se añaden a la tabla.
  5. Revise todas las configuraciones relacionadas con el tipo de entidad. Por ejemplo, si acaba de agregar permiso a un sitio individual, asegúrese de que la configuración para el acceso a Todos los Sitios sea apropiada.
  6. Defina el Permiso de admin para el elemento en la tabla.
  7. Haz clic en Guardar. Los sitios y grupos de usuarios se asignan al administrador.

Limitaciones conocidas para los permisos de entidad

  • Los administradores pueden tener permisos para hasta 1000 usuarios SDP, combinando todos los grupos de usuarios asignados al administrador

    Si un administrador tiene permisos para más de 1000 usuarios SDP, entonces reciben un error. Es necesario eliminar permisos para algunos grupos de usuarios para que contengan permisos para menos de 1000 usuarios SDP.

  • Los administradores pueden tener permisos para hasta 200 sitios individuales. No hay límite cuando los sitios se aplican a un grupo.
  • Los informes de Cato no se filtran según los permisos de admin para sitios y usuarios. Para administradores que se les asignan permisos basados en roles, hay una relación Y entre el rol y el sitio o grupo de usuarios.
  • Cuando asignas un grupo a un administrador, solo se aplican los sitios y usuarios. Otros elementos del grupo (como rangos de red) se ignoran.

  • Los siguientes tableros y páginas de monitoreo no se filtran automáticamente para sitios o usuarios SDP:

    • Tabla de Enrutamiento
    • Pista de Auditoría
    • Tablero de API de Seguridad SaaS
    • Tablero de XDR
    • Detección y Respuesta
    • Activos
  • Al gestionar reglas en políticas, los admins pueden crear reglas usando el valor Cualquier (p. ej., Cualquier sitio, Cualquier grupo de usuarios, etc.), incluso si solo tienen permisos para algunos sitios, grupos de usuarios o grupos avanzados.
  • Los admins que tienen permisos para grupos de usuarios solo pueden agregar usuarios SDP a las reglas. No pueden agregar usuarios identificados con User Awareness a reglas.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 7 de 8

0 comentarios