Gestion des rôles d'admin avec l'utilisation du RBAC

Cet article explique comment configurer les rôles d'administrateur qui contrôlent l'accès à l'Application de gestion Cato (CMA). Pour en savoir plus sur RBAC, voir What are Admins and Role-Based Access Control (RBAC).

Comprendre les Rôles d'admin Prédéfinis

Cato fournit un certain nombre de rôles pré-définis que vous pouvez attribuer aux administrateurs. Vous pouvez cliquer sur la ligne d'un rôle pour afficher les autorisations pour chaque page dans le panneau Modifier le rôle. Cependant, les rôles pré-définis ne peuvent pas être modifiés ou supprimés.

Voici les rôles pré-définis :

  • Éditeur - Autorisations de lecture/écriture complètes pour toutes les pages
  • Visualiseur - Autorisations de lecture uniquement pour toutes les pages
  • Admin Réseau - Admins qui traitent principalement de la connectivité et de l'accès réseau. Les autorisations incluent la modification de toutes les pages sous le menu Réseau et d'autres pages pertinentes telles que Pare-feu WAN, mais des autorisations de vue uniquement pour les fonctionnalités de sécurité telles que Pare-feu Internet. Les autorisations pour les fonctionnalités d'accès sont également limitées à la vue uniquement.
  • Admin Sécurité - Admins qui traitent principalement de la sécurité. Les autorisations incluent, par exemple, la modification de toutes les pages sous les menus Sécurité et Ressources, mais uniquement des autorisations de vue pour les fonctionnalités réseau et d'accès.
  • Admin Accès - Permet la modification de toutes les pages sous le menu Accès, avec des autorisations pour toutes les autres pages définies sur Aucun
  • Visualiseur Régional - Autorisations de lecture uniquement pour tous les sites et utilisateurs SDP, ainsi que pour tous les événements et analyses d'application
  • Visualiseur Restreint - Autorisations de lecture uniquement pour tous les sites et utilisateurs SDP (sans accès aux événements et analyses d'application)
  • Admin Logistique - Autorisation complète de lecture/écriture pour la page des Prises et Accessoires
  • Sécurité AI Sensible - Accès pour voir les données saisies par les utilisateurs dans le module de sécurité AI.

Travailler avec des Rôles d'Administrateur Personnalisés

Vous pouvez créer des rôles personnalisés et définir des autorisations granulaires pour toutes les pages dans le CMA afin de répondre aux besoins exacts de votre organisation. Cependant, vous ne pouvez pas définir des autorisations distinctes pour des onglets et des fonctionnalités individuels au sein d'une page.

Par défaut, lorsque vous créez un nouveau rôle, toutes les permissions sont réglées sur Voir uniquement. Vous pouvez cliquer sur la ligne du rôle pour modifier les permissions dans le panneau Modifier le Rôle. Vous pouvez supprimer un rôle depuis le menu plus dans la ligne du rôle, cependant, vous ne pouvez pas supprimer un rôle personnalisé qui est actuellement assigné à un administrateur.

  • Seul un administrateur avec le rôle d'Éditeur peut créer ou modifier des rôles
  • Vous pouvez auditer les changements des rôles personnalisés dans la Piste d'Audit (Monitoring > Piste d'Audit), y compris la création, la modification et la suppression de rôles

Les autorisations pour certaines pages configurent automatiquement des autorisations dépendantes pour d'autres pages et fonctionnalités. Les permissions dépendantes suivantes s'appliquent lors de la création d'un rôle :

  • les pages du menu de navigation définissent les autorisations pour les pages et sections qui en dépendent. Par exemple, les autorisations pour la page Sites (Réseau > Sites) déterminent les autorisations pour les pages de configuration du site accessibles depuis la page Sites.
  • Pour les pages qui prennent en charge une fonction d'exportation, l'attribution des autorisations Modifier permet à l'admin d'exporter des données ou des politiques. Par exemple, un rôle avec des autorisations Modifier pour la page Pare-feu Internet permet à l'admin d'exporter les règles dans un fichier CSV.

  • Les autorisations de visionnage ou de modification pour les pages suivantes accordent des autorisations Lecture seule à la page Événements. Vous pouvez changer les permissions des Événements en Modifier mais pas en Aucun.

    • Sites (Réseau > Sites)
    • Utilisateurs (Accès > Utilisateurs)
    • Analyse d'Applications (Accueil > Analyse d'Applications)
    • Tableau de Bord des Menaces (Sécurité > Menaces de Sécurité)
    • Tableau de Bord des Applications en Nuage (Sécurité > Tableau de Bord des Applications en Nuage)
    • MITRE ATT&CK® (Sécurité > MITRE ATT&CK®)

Pour créer un rôle d'administrateur personnalisé :

  1. Depuis le menu de navigation, cliquez sur Compte > Rôles & Permissions.
  2. Cliquez sur Nouveau pour créer un rôle personnalisé. Le panneau Créer un Rôle s'ouvre.
  3. Entrez un Nom de rôle et développez les sections pour définir les autorisations pour les pages de l'application de gestion Cato dans chaque section.

  4. Cliquez sur Soumettre.

    Le rôle personnalisé apparaît dans la liste des rôles.

Attribution des Rôles aux Administrateurs

Dans la page des administrateurs, vous pouvez attribuer un ou plusieurs rôles à chaque administrateur. Lorsqu'un administrateur se voit attribuer plusieurs rôles qui incluent différentes autorisations pour la même page, les autorisations les plus étendues s'appliquent. Exemple : si un administrateur se voit attribuer un rôle avec des autorisations de modifier pour la page du pare-feu WAN, et un autre rôle avec des autorisations de vue seulement, l'administrateur peut modifier la politique de pare-feu WAN.

Note : Si vous utilisez un IdP pour importer un groupe d'administrateurs, vous pouvez utiliser cette procédure pour définir leurs rôles en tant que groupe.

  • Seul un administrateur avec le rôle d'Éditeur peut attribuer ou supprimer des rôles
  • Vous pouvez examiner les changements aux attributions de rôles dans la Piste d'Audit (Monitoring > Piste d'Audit)
Assign_Role.png

Pour attribuer des rôles à un administrateur :

  1. Depuis le menu de navigation, cliquez sur Compte > Administrateurs.
  2. Cliquez sur la ligne d'un administrateur pour ouvrir les paramètres pour l'administrateur.
  3. Depuis le menu déroulant Rôles, sélectionnez un ou plusieurs rôles.

  4. Cliquez sur Sauvegarder.

    Les rôles sont appliqués à l'administrateur.

Fournir l'accès Admin aux sites, utilisateurs et groupes avancés

Vous pouvez définir les sites, les utilisateurs SDP, et les groupes avancés que les admins de l'application de gestion Cato ont la permission de modifier ou de visualiser. Les admins qui ne disposent pas d'autorisations de visualisation pour un site ou un utilisateur particulier ne verront pas les informations concernant cet élément dans les pages CMA.

  • Lorsque des administrateurs sont accordés permission de modifier/voir pour un groupe (non groupe avancé), cela fait référence à la capacité de voir/modifier les sites au sein de ce groupe. S'il y a des éléments non sites dans le groupe, ils sont ignorés.
  • Lorsque des administrateurs sont accordés permission de voir/modifier un groupe avancé, cela signifie qu'ils peuvent voir quelles entités sont dans le groupe, ou qu'ils peuvent ajouter ou retirer des membres du groupe.
  • Les administrateurs peuvent uniquement créer de nouveaux utilisateurs SDP lorsqu'ils ont des permissions Editer pour tous les groupes d' utilisateurs.
  • Pour les admins auxquels sont assignées des permissions basées sur des rôles, il existe une relation ET entre le rôle et l'entité. Par exemple, si un admin se voit attribuer des autorisations de visualisation pour le site de Londres et qu'ils n'ont pas de permissions pour visualiser la page des sites, alors ils ne peuvent pas voir le site de Londres. Ou s'ils ont des autorisations de modification pour le site de Londres, mais ont une permission de visualisation pour la page du site, alors ils ne peuvent que voir le site et ne peuvent pas le modifier.
Admin_site_users.png

Pour permettre aux admins d'accéder aux sites, utilisateurs et groupes avancés :

  1. Dans le menu de navigation, cliquez sur Compte > Administrateurs.
  2. Créez un nouvel administrateur ou modifiez un administrateur existant.
  3. Dans Autorisations d'accès pour les entités, sélectionnez le type d'éléments dans le menu déroulant.
  4. Utilisez le menu déroulant pour sélectionner une ou plusieurs entités. Les entités sont ajoutées au tableau.
  5. Examinez tous les paramètres relatifs au type d'entité. Par exemple, si vous venez d'ajouter une permission à un site individuel, assurez-vous que le paramètre pour l'accès à Tous les sites est approprié.
  6. Définir la Permission d'admin pour l'élément dans le tableau.
  7. Cliquez sur Sauvegarder. Les sites et groupes d'utilisateurs sont attribués à l'administrateur.

Limitations connues pour les permissions d'entité

  • Les administrateurs peuvent avoir des permissions pour jusqu'à 1000 utilisateurs SDP, en combinant tous les groupes d'utilisateurs attribués à l'administrateur

    Si un administrateur a des permissions pour plus de 1000 utilisateurs SDP, alors il reçoit une erreur. Il est nécessaire de supprimer les autorisations pour certains groupes d'utilisateurs afin qu'ils contiennent des permissions pour moins de 1000 utilisateurs SDP.

  • Les administrateurs peuvent avoir des permissions pour jusqu'à 200 sites individuels. Il n'y a pas de limite lorsque les sites sont appliqués à un groupe.
  • Les rapports Cato ne sont pas filtrés selon les autorisations d'admin pour les sites et les utilisateurs. Vous pouvez limiter l'accès à la page des Rapports, afin de contrôler quels administrateurs peuvent générer et voir les rapports.
  • Lorsque vous attribuez un groupe à un administrateur, seuls les sites et les utilisateurs sont appliqués. D'autres éléments du groupe (tels que les plages de réseaux) sont ignorés.

  • Les tableaux de bord et les pages de surveillance suivantes ne sont pas automatiquement filtrés pour les sites ou les utilisateurs SDP :

    • Table de routage
    • Piste d'Audit
    • Tableau de bord de l'API de sécurité SaaS
    • Tableau de bord XDR
    • Détection et Réponse
    • Actifs
  • Lors de la gestion des règles dans les politiques, les administrateurs peuvent créer des règles en utilisant la valeur N'importe lequel (par exemple, N'importe lequel site, N'importe quel groupe d'utilisateurs, etc.), même s'ils n'ont des autorisations que pour certains sites, groupes d'utilisateurs ou groupes avancés.
  • Les administrateurs ayant des permissions pour les groupes d'utilisateurs peuvent seulement ajouter des utilisateurs SDP aux règles. Ils ne peuvent pas ajouter des utilisateurs identifiés avec User Awareness aux règles.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 7 sur 8

0 commentaire