Настройка RBAC для управления политикой

Обзор

Роли в Приложении Управления Cato (CMA) внедряют RBAC для определения прав на просмотр и редактирование страниц CMA. Подполитики позволяют вам назначать RBAC для набора правил, чтобы дать администраторам автономию в областях, за которые они отвечают, сохраняя централизованный контроль и границы безопасности.

Создайте подполитики для конкретных правил и определите, какие администраторы имеют доступ для просмотра или редактирования этих подполитик.

Использование

В примерной компании есть 2 команды Центра операционного управления, одна для EMEA и одна для APJ. В политике межсетевого экрана Интернета 50 правил: 20 применяются ко всем регионам, 10 относятся только к трафику EMEA, а 20 — только к трафику APJ. До подполитик команды Центра операционного управления имели разрешения на просмотр и редактирование всех правил в политике межсетевого экрана Интернета, что не соответствовало регламенту компании.

Примерная компания использовала подполитики для ограничения доступа, чтобы каждая команда Центра операционного управления имела доступ только к правилам, которые управляют трафиком для их региона. Они создали подполитику EMEA для 10 правил для трафика EMEA и одну для APJ для 20 правил трафика APJ. Теперь команды Центра операционного управления могут редактировать только правила для регионального трафика, и компания полностью соответствует нормам.

Работа с подполитиками

  • Основное правило подполитики является определяющим правилом, которое определяет, когда правила в подполитике применяются к трафику.
  • Правила подполитики также упорядочены, и действие первого соответствующего правила применяется к трафику.
  • Вы можете добавлять разделы для правил в подполитиках.

  • По умолчанию в конце подполитики добавляется необязательное правило очистки ANY ANY. Это правило применяется только к:

    • Трафик, который соответствует определяющему правилу для подполитики.
    • Не соответствует никакому другому правилу в этой подполитике.

    Примечание: Правила внутри подполитики с условиями ANY применяются только к тому трафику, который также соответствует определяющему правилу подполитики. Это означает, что правило с Блокировкой ANY ANY не влияет на трафик, который НЕ соответствует определяющему правилу.

  • Подполитики не могут содержать другие подполитики (без вложенности).

Любые правила, не включенные в подполитику, являются частью основной подполитики при определении разрешений администратора.

Вы можете определить, какие администраторы могут просматривать/редактировать каждую подполитику.

Создание подполитики и определение разрешений администратора

Сначала создайте подполитики, а затем определите разрешения администратора для тех, кто имеет право просматривать или редактировать правила.

Номера правил остаются неизменными во всей политике, даже когда некоторые администраторы не могут просматривать определенные подполитики. В результате, администраторы без разрешений на просмотр определенных подполитик могут видеть пробелы в нумерации правил.

sub-policy_settings.png

Создание подполитики

Вы можете создать подполитику в любой из поддерживаемых политик. Условия подполитики определяют, когда трафик будет применен к правилам внутри подполитики.

Примечание: Убедитесь, что вы определили правила и разрешения, прежде чем включить пользователей LDAP подполитику.

Чтобы создать подполитику:

  1. В соответствующей политике нажмите Новый > Подполитика.
  2. Определите имя, позицию и условия для подполитики и нажмите Сохранить

Определение разрешений администратора для подполитик

По умолчанию, у администраторов есть разрешения на просмотр и редактирование всех подполитик на каждой странице, к которой у них есть разрешения. Удалите разрешения для сущности для всех подполитик и добавьте их обратно для новой индивидуальной подполитики.

sub-policy-assign.png

Чтобы определить разрешения администратора на подполитику:

  1. Из меню навигации выберите Администрирование > Администраторы.
  2. Выберите администратора и перейдите в область Разрешения доступа к сущностям.
  3. В таблице найдите строку для политики (например, Все политики межсетевого экрана Интернета) и удалите разрешения на просмотр и редактирование.
  4. В выпадающем списке выберите категорию подполитики для вашей страницы (например, Подполитики межсетевого экрана Интернета).
  5. Во втором выпадающем списке выберите целевую подполитику. Подполитика добавлена в таблицу.
  6. В таблице дайте администратору разрешения Редактировать или Только просмотр для подполитики.
  7. Повторите этот процесс для каждого администратора.
  8. После того как разрешения администратора определены, они могут начать настройку правил для подполитики.

Включение подполитик

После того как правила определены в подполитике, вы можете её включить.

sub-policy-enable.png

Чтобы включить подполитику:

  1. В целевой политике нажмите на подполитику.
  2. Разверните раздел Общие настройки и используйте переключатель для включения.

Ограничения

  • Политики межсетевого экрана Интернета и WAN поддерживают подполитики и RBAC для управления политикой.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев