이 문서에서는 Cato 관리 애플리케이션(CMA)에 대한 접근을 제어하는 관리자 역할을 구성하는 방법을 설명합니다. RBAC에 대한 자세한 내용은 무엇이 관리자와 역할 기반 접근 제어(RBAC)인가를 참조하세요.
Cato는 관리자가 할당할 수 있는 여러 사전 정의된 역할을 제공합니다. 역할의 행을 클릭하여 역할 편집 패널의 각 페이지에 대한 권한을 표시할 수 있습니다. 그러나, 사전 정의된 역할은 수정되거나 삭제될 수 없습니다.
다음은 사전 정의된 역할들입니다:
- 편집자 - 모든 페이지에 대한 읽기/쓰기 권한
- 뷰어 - 모든 페이지에 대한 읽기 전용 권한
- 네트워크 관리자 - 주로 연결성 및 네트워크 액세스를 다루는 관리자. 권한에는 네트워크 메뉴 아래의 모든 페이지 및 WAN 방화벽과 같은 기타 관련 페이지의 편집이 포함되지만, 인터넷 방화벽과 같은 보안 기능은 보기 전용 권한입니다. 액세스 기능에 대한 권한도 보기 전용입니다.
- 보안 관리자 - 주로 보안을 다루는 관리자. 권한에는 예를 들어 보안 및 자산 메뉴 아래의 모든 페이지의 편집이 포함되지만, 네트워크 및 클라우드 액세스 기능은 보기 전용 권한입니다.
- 액세스 관리자 - 액세스 메뉴 아래에 있는 모든 페이지의 편집을 허용하며, 모든 다른 페이지에 대한 권한은 없음으로 설정됩니다.
- 지역 뷰어 - 모든 사이트 및 SDP 사용자에 대한 읽기 전용 권한 및 모든 이벤트 및 애플리케이션 분석에 대한 읽기 전용 권한
- 제한된 뷰어 - 모든 사이트 및 SDP 사용자에 대한 읽기 전용 권한 (이벤트 및 애플리케이션 분석에 대한 액세스 없음)
- 물류 관리자 - 소켓과 액세서리 페이지에 대한 읽기/쓰기 권한
- AI 보안 민감도 - 사용자에 의해 AI 보안 모듈에 입력된 프롬프트 데이터를 볼 수 있는 클라우드 액세스.
맞춤형 역할을 만들고, 조직의 구체적인 요구에 맞게 CMA의 모든 페이지에 대한 세분화된 권한을 정의할 수 있습니다. 그러나 개별 탭과 기능 내에서 별도의 권한을 설정할 수는 없습니다.
기본적으로 새로운 역할을 만들 때 모든 권한은 보기 전용으로 설정됩니다. 역할의 행을 클릭하여 역할 편집 패널에서 권한을 수정할 수 있습니다. 역할의 행에서 더 보기 메뉴를 통해 역할을 삭제할 수 있지만, 현재 관리자에게 할당된 사용자 정의 역할은 삭제할 수 없습니다.
- 편집자 역할이 있는 관리자만 역할을 생성하거나 수정할 수 있습니다
- 감사 추적(모니터링 > 감사 추적)에서 사용자 정의 역할의 변경, 생성, 수정 및 삭제 등을 감사할 수 있습니다
일부 페이지에 대한 권한은 자동으로 다른 페이지와 기능에 대한 종속 권한을 구성합니다. 역할을 만들 때 다음 종속 권한이 적용됩니다:
- 네비게이션 메뉴의 페이지는 그 아래 있는 페이지와 섹션에 대한 권한을 정의합니다. 예를 들어, 사이트 페이지 (네트워크 > 사이트)에 대한 권한은 사이트 페이지에서 접근할 수 있는 사이트 구성을 위한 페이지에 대한 권한을 결정합니다.
- 내보내기 기능을 지원하는 페이지의 경우, 편집 권한을 부여하면 관리자가 데이터 또는 정책을 내보낼 수 있습니다. 예를 들어, 인터넷 방화벽 페이지에 대해 편집 권한이 있는 역할은 관리자가 규칙을 CSV 파일로 내보낼 수 있도록 합니다.
-
다음 페이지에 대한 보기 또는 편집 권한은 이벤트 페이지에 대한 보기 전용 권한을 부여합니다. 이벤트 권한을 편집으로 변경할 수는 있지만 없음으로는 변경할 수 없습니다.
- 사이트 (네트워크 > 사이트)
- 사용자 (접근 권한 > 사용자)
- 애플리케이션 분석 (홈페이지 > 앱 분석)
- 위협 대시보드 (보안 > 보안 위협 대시보드)
- 클라우드 앱 대시보드 (보안 > 클라우드 앱 대시보드)
- MITRE ATT&CK® (보안 > MITRE ATT&CK®)
관리자 페이지에서 각 관리자에게 하나 이상의 역할을 할당할 수 있습니다. 관리자에게 동일한 페이지에 대한 다른 권한이 포함된 여러 역할이 할당된 경우, 더 큰 권한이 적용됩니다. 예를 들어, 관리자가 WAN 방화벽 페이지에 대한 편집 권한이 있는 역할 하나와 보기 전용 권한이 있는 다른 역할을 할당받은 경우, 관리자는 WAN 방화벽 정책을 편집할 수 있습니다.
참고: IdP를 사용하여 관리자 그룹을 가져온 경우, 이 절차를 사용하여 그룹으로서의 역할을 정의할 수 있습니다.
- 편집자 역할을 가진 관리자만이 역할을 할당하거나 제거할 수 있습니다
- 계정 감사 기록(모니터링 > 감사 추적)에서 역할 할당의 변경 사항을 검토할 수 있습니다
Cato 관리 애플리케이션 관리자가 편집 또는 보기 권한을 가진 사이트, SDP 사용자 및 고급 그룹을 정의할 수 있습니다. 특정 사이트 또는 사용자에 대한 보기 권한이 없는 관리자는 CMA 페이지에서 해당 엔터티에 대한 정보를 볼 수 없습니다.
- 관리자가 그룹(고급 그룹 아님)에 대한 편집/보기 권한을 부여받은 경우, 이는 해당 그룹 내 사이트를 보기/편집할 수 있는 능력을 의미합니다. 그룹에 사이트가 아닌 항목이 있는 경우 무시됩니다.
- 관리자가 고급 그룹을 보기/편집할 권한을 부여받은 경우, 이는 그룹 내 어떤 엔터티가 있는지 볼 수 있거나, 그룹에서 멤버를 추가하거나 제거할 수 있다는 것을 의미합니다.
- 모든 사용자 그룹에 대해 편집 권한이 있을 때만 관리자가 새로운 SDP 사용자를 생성할 수 있습니다.
- 역할을 기반으로 권한이 할당된 관리자에 대해 역할과 엔터티 간에는 AND 관계가 있습니다. 예를 들어, 관리자가 런던 사이트에 대한 보기 권한이 부여되었지만 사이트 페이지에 대한 권한이 없는 경우, 런던 사이트를 볼 수 없습니다. 또는 런던 사이트에 대한 편집 권한이 있지만 사이트 페이지에 대한 보기 권한이 있는 경우, 사이트를 볼 수만 있고 편집할 수는 없습니다.
사이트, 사용자 및 고급 그룹에 대한 관리자 접근 권한을 허용하려면:
- 네비게이션 메뉴에서 계정 > 관리자를 클릭하십시오.
- 새로운 관리자를 생성하거나 기존 관리자를 편집하십시오.
- 엔터티에 대한 접근 권한에서 드롭다운에서 항목 유형을 선택합니다.
- 드롭다운을 사용하여 하나 이상의 엔터티를 선택하십시오. 엔터티가 테이블에 추가됩니다.
- 엔터티 유형과 관련된 모든 설정을 검토하십시오. 예를 들어, 개별 사이트에 대한 권한을 추가한 경우 모든 사이트에 대한 접근 권한 설정이 적절한지 확인하십시오.
- 테이블 항목에 대한 관리자 권한을 정의합니다.
- 저장을 클릭하십시오. 사이트 및 사용자 그룹이 관리자에게 할당됩니다.
-
관리자는 관리자가 할당한 모든 사용자 그룹을 결합하여 최대 1000명의 SDP 사용자에 대한 권한을 가질 수 있습니다
관리자가 1000명 이상의 SDP 사용자에 대한 권한을 가지고 있는 경우, 오류가 발생합니다. 일부 사용자 그룹에 대해 권한을 제거하여 1000명 이하의 SDP 사용자가 포함되도록 해야 합니다.
- 관리자는 최대 200개 개별 사이트에 대한 권한을 가질 수 있습니다. 사이트가 그룹에 적용될 때 제한이 없습니다.
- Cato 보고서는 사이트 및 사용자에 대한 관리자 권한에 따라 필터링되지 않습니다. 어느 관리자가 보고서를 생성하고 볼 수 있는지를 제어하기 위해 보고서 페이지에 대한 액세스를 제한할 수 있습니다.
- 관리자에게 그룹을 할당할 때, 사이트와 사용자만 적용됩니다. 그룹의 기타 항목(예: 네트워크 범위)은 무시됩니다.
-
다음 대시보드 및 모니터링 페이지는 사이트나 SDP 사용자에 대해 자동으로 필터링되지 않습니다:
- 라우팅 테이블
- 감사 추적
- SaaS 보안 API 대시보드
- XDR 대시보드
- 탐지 및 대응
- 자산
- 정책 내 규칙을 관리할 때, 관리자들은 일부 사이트, 사용자 그룹 또는 고급 그룹에 대한 권한만 있어도 모든 값 (예: 모든 사이트, 모든 사용자 그룹 등)을 사용하여 규칙을 생성할 수 있습니다.
- 사용자 그룹에 대한 권한이 있는 관리자는 규칙에 SDP 사용자만 추가할 수 있습니다. 사용자 인식을 통해 확인된 사용자는 규칙에 추가할 수 없습니다.
댓글 0개
댓글을 남기려면 로그인하세요.