Configuration du RBAC pour la Gestion des Politiques

Vue d'ensemble

Les rôles de l'Application de gestion Cato (CMA) implémentent le RBAC pour définir voir et modifier les autorisations pour les pages de CMA. Les sous-politiques vous permettent de définir le RBAC pour un ensemble de règles afin de donner aux admins l'autonomie sur les zones dont ils sont responsables, tout en préservant un contrôle centralisé et les limites de la sécurité.

Créez des sous-politiques pour des règles spécifiques et définissez quels admins ont accès à la vue ou à la modification de ces sous-politiques.

Cas d'utilisation

L'entreprise exemple dispose de 2 équipes SOC, une pour EMEA et une pour APJ. Il y a 50 règles dans la politique de pare-feu Internet : 20 s'appliquent à toutes les régions, 10 sont uniquement liées au trafic EMEA, et 20 sont uniquement pour le trafic APJ. Avant les sous-politiques, les équipes SOC avaient l'autorisation de voir et de modifier toutes les règles de la politique de pare-feu Internet, ce qui ne répondait pas aux règlements de conformité de l'entreprise.

L'entreprise exemple a utilisé les sous-politiques pour restreindre l'accès, chaque équipe SOC n'ayant accès qu'aux règles qui gèrent le trafic pour leur région. Ils ont créé une sous-politique EMEA pour les 10 règles du trafic EMEA, et une APJ pour les 20 règles du trafic APJ. Désormais, les équipes SOC peuvent uniquement modifier les règles pour leur trafic régional, et l'entreprise est entièrement conforme aux règlements.

Travailler avec les Sous-politiques

  • La règle parent de la sous-politique est une règle de portée qui définit quand les règles de la sous-politique sont appliquées au trafic.
  • Les règles de la sous-politique sont également des règles ordonnées, et l'action de la première règle correspondante est appliquée au trafic.
  • Vous pouvez ajouter des sections pour les règles dans les sous-politiques.

  • Par défaut, une règle de nettoyage facultative ANY ANY est ajoutée à la fin de la sous-politique. Cette règle est uniquement appliquée à :

    • Le trafic qui correspond à la règle de portée pour la sous-politique.
    • Ne correspond à aucune autre règle dans cette sous-politique.

    Note : Les règles à l'intérieur d'une sous-politique qui ont des conditions ANY sont uniquement appliquées au trafic qui correspond également à la règle de portée de la sous-politique. Cela signifie qu'une règle avec ANY ANY Block, n'impacte pas le trafic qui ne correspond pas à la règle de portée.

  • Les sous-politiques ne peuvent pas contenir d'autres sous-politiques (pas d'imbrication).

Toutes les règles non incluses dans une sous-politique font partie de la sous-politique principale lors de la définition des autorisations d'admin.

Vous pouvez définir quels admins peuvent voir/modifier chaque sous-politique.

Créer une Sous-politique et Définir les Autorisations d'Admin

Tout d'abord, créez des sous-politiques puis définissez les autorisations des admins pour ceux qui sont autorisés à voir ou modifier les règles.

Les numéros de règles restent cohérents dans toute la politique, même lorsque certains admins ne peuvent pas voir certaines sous-politiques. En conséquence, les admins sans autorisations de vue pour des sous-politiques spécifiques peuvent voir des lacunes dans la numérotation des règles.

sub-policy_settings.png

Création d'une Sous-politique

Vous pouvez créer une sous-politique dans l'une des politiques prises en charge. Les conditions de la sous-politique définissent quand le trafic sera appliqué aux règles à l'intérieur d'une sous-politique.

Note : Assurez-vous de définir des règles et des autorisations avant d'activer la sous-politique.

Pour créer une sous-politique :

  1. Dans la politique pertinente, cliquez sur Nouveau > Sous-Politique.
  2. Définissez le nom, la position et les conditions de la sous-politique et cliquez sur Enregistrer

Définir les Autorisations d'Admin pour les Sous-politiques

Par défaut, les admins ont les autorisations pour voir et modifier toutes les sous-politiques sur chaque page pour lesquelles ils ont des autorisations. Retirez les autorisations pour l'entité pour toutes les sous-politiques et réajoutez-les pour la nouvelle sous-politique individuelle.

sub-policy-assign.png

Pour définir des autorisations d'admin sur une sous-politique :

  1. Dans le menu de navigation, sélectionnez Administration > Admins.
  2. Sélectionnez un admin, et allez dans la zone Autorisations d'Accès pour les Entités.
  3. Dans le tableau, localisez la ligne pour la politique (par exemple, Toutes les Politiques de Pare-feu Internet) et supprimez les autorisations de vue et de modification.
  4. Dans le menu déroulant, sélectionnez la catégorie de sous-politique pour votre page (par exemple, Sous-politiques de Pare-feu Internet).
  5. Dans le deuxième menu déroulant, sélectionnez la sous-politique cible. La sous-politique est ajoutée au tableau.
  6. Dans le tableau, donnez à l'admin des autorisations Modifier ou Voir seulement pour la sous-politique.
  7. Répétez ce processus pour chaque admin.
  8. Après que les autorisations d'admin soient définies, ils peuvent commencer à configurer les règles pour la sous-politique.

Activation des Sous-politiques

Après que les règles aient été définies dans la sous-politique, vous pouvez l'activer.

sub-policy-enable.png

Pour activer une sous-politique :

  1. Dans la politique cible, cliquez sur la sous-politique.
  2. Développez la section Général et utilisez le commutateur pour l'activer.

Limitations

  • Les politiques de pare-feu Internet et WAN prennent en charge les sous-politiques et le RBAC pour la gestion des politiques.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire