Cato管理アプリケーション (CMA) ロールは、 RBAC を実装してCMAページの表示および編集権限を定義します。 サブポリシーは、一連のルールに対してRBACを割り当て、管理者が担当する領域に対して自主的に操作できるようにしつつ、中央での制御とセキュリティ境界を維持します。
特定のルールに対するサブポリシーを作成し、どの管理者がそれらのサブポリシーに表示または編集アクセスできるかを定義します。
サンプル会社にはEMEA用とAPJ用の2つのSOCセンターがあります。 インターネットファイアウォールポリシーには 50 のルールがあります:20 はすべての地域に適用され、10 はEMEAトラフィックにのみ関連し、20 はAPJトラフィックのみに適用されます。 サブポリシーの前は、SOCセンターはインターネットファイアウォールポリシーのすべてのルールを表示および編集する権限を持っており、会社のコンプライアンス規則を満たしていませんでした。
サンプル会社は、各SOCセンターが自分たちの地域のトラフィックを管理するルールにのみアクセスできるようにアクセスを制限するためにサブポリシーを使用しました。 彼らは、EMEAトラフィック用の10のルールに対するEMEAサブポリシーと、APJトラフィック用の20のルールに対するAPJサブポリシーを作成しました。 現在、SOCセンターは自分たちの地域のトラフィック用のルールのみを編集でき、会社は規則を完全に遵守しています。
- サブポリシーの親ルールは、トラフィックに対してサブポリシーのルールが適用されるときを定義するスコープのルールです。
- サブポリシーのルールも順序付けられたルールであり、一致した最初のルールのアクションがトラフィックに適用されます。
- サブポリシーのルールには、セクションを追加できます。
-
デフォルトでは、オプションのANY ANYクリーンアップルールがサブポリシーの最後に追加されます。 このルールは以下にのみ適用されます:
- サブポリシーのスコープルールと一致するトラフィック
- そのサブポリシーの他のルールと一致しない
注: サブポリシー内のすべての条件を持つルールは、サブポリシーのスコープルールとも一致するトラフィックにのみ適用されます。 これは、ANY ANYブロックを持つルールが、スコープルールと一致しないトラフィックに影響を与えないことを意味します。
- サブポリシーは他のサブポリシーを含むことはできません(入れ子は不可)
サブポリシーに含まれないすべてのルールは、管理者権限を定義するときにメインサブポリシーの一部となります。
どの管理者が各サブポリシーを表示/編集できるかを定義できます。
まず、サブポリシーを作成し、次にどの管理者がルールを表示または編集する許可を持つかを定義します。
ルール番号はポリシー全体で一貫しており、一部の管理者が特定のサブポリシーを表示できない場合でも変わりません。 その結果、特定のサブポリシーに対する表示権限を持たない管理者は、ルール番号にギャップを見てしまうことがあります。
サポートされているポリシーの任意にサブポリシーを作成できます。 サブポリシーの条件は、サブポリシー内のルールがトラフィックに対して適用されるタイミングを定義します。
注: サブポリシーを有効化する前にルールおよび権限を定義してください。
サブポリシーを作成するには:
- 関連するポリシーで、新規 > サブポリシーをクリックします。
- サブポリシーの名前、位置、および条件を定義し、保存をクリックします。
デフォルトでは、管理者はすべてのページで特定の権限があるすべてのサブポリシーを表示および編集できる権限を持っています。 エンティティに対するすべてのサブポリシーの権限を削除し、新しい個別のサブポリシーでそれを再追加します。
サブポリシーで管理者権限を定義するには:
- ナビゲーションメニューから、管理 > 管理者を選択します。
- 管理者を選択し、エンティティのアクセス権限領域に移動します。
- テーブル内で、ポリシー(例:すべてのインターネットファイアウォールポリシー)の行を見つけ、表示および編集権限を削除します。
- ドロップダウンで、ページのサブポリシーカテゴリ(例:インターネットファイアウォールサブポリシー)を選択します。
- 2つ目のドロップダウンで、ターゲットサブポリシーを選択します。 サブポリシーがテーブルに追加されます。
- テーブル内で、管理者に対して編集または閲覧のみの権限を付与します。
- すべての管理者についてこのプロセスを繰り返します。
- 管理者権限が定義された後、それらはサブポリシーのためのルールの設定を開始できます。
0件のコメント
記事コメントは受け付けていません。