Управление ролями администраторов с использованием RBAC

Эта статья объясняет, как настроить роли администраторов, которые контролируют доступ к Приложению Управления Cato (CMA). Чтобы узнать больше о RBAC, см. Что такое Администраторы и Контроль Доступа на Основе Ролей (RBAC).

Понимание предопределенных административных ролей

Cato предоставляет несколько предопределенных ролей, которые вы можете назначить администраторам. Вы можете нажать на строку роли, чтобы показать разрешения для каждой страницы в панели Редактировать роль. Однако предопределенные роли не могут быть изменены или удалены.

Это предопределенные роли:

  • Редактор - Полные права на чтение/запись для всех страниц
  • Просмотр - Права только на чтение для всех страниц
  • Сетевой администратор - Администраторы, которые в основном занимаются подключением и доступом к сети. Разрешения включают редактирование всех страниц в меню 'Сеть' и других соответствующих страниц, таких как WAN файервол, но только право на просмотр для функций безопасности, таких как Интернет файервол. Разрешения для функций доступа также только в режиме просмотра.
  • Администратор безопасности - Администраторы, которые в основном занимаются безопасностью. Разрешения включают, например, редактирование всех страниц в меню 'Безопасность' и 'Активы', но только право на просмотр для сетевых и доступных функций.
  • Администратор доступа - Разрешено редактирование всех страниц в меню 'Доступ', разрешения для всех остальных страниц установлены на Нет.
  • Региональный просмотрщик - Права только на чтение для всех сайтов и пользователей SDP, а также для всех событий и аналитики приложений.
  • Ограниченный просмотрщик - Права только на чтение для всех сайтов и пользователей SDP (без доступа к событиям и аналитике приложений)
  • Администратор логистики - Полные права на чтение/запись для страницы 'Сокеты и аксессуары'
  • Чувствительный модуль безопасности AI - Доступ для просмотра данных запросов введенных пользователями в модуле безопасности AI.

Работа с пользовательскими административными ролями

Вы можете создать пользовательские роли и определить детализированные разрешения для всех страниц в CMA, чтобы соответствовать точным потребностям вашей организации. Тем не менее, вы не можете установить отдельные разрешения для отдельных вкладок и функций внутри страницы.

По умолчанию, когда вы создаете новую роль, все разрешения установлены на Только просмотр. Вы можете нажать на строку роли, чтобы изменить разрешения на панели Редактировать роль. Вы можете удалить роль из меню 'ещё' в строке роли, однако вы не можете удалить пользовательскую роль, которая в настоящее время назначена администратору.

  • Только администратор с ролью Редактор может создавать или изменять роли
  • Вы можете аудитировать изменения в пользовательских ролях в Журнале аудита (Мониторинг > Журнал аудита), включая создание, изменение и удаление ролей

Разрешения для некоторых страниц автоматически настраивают зависимые разрешения для других страниц и функций. Следующие зависимые разрешения применяются при создании роли:

  • страницы в навигационном меню определяют разрешения для страниц и разделов, которые находятся под ними. Например, разрешения для страницы Сайты (Сеть > Сайты) определяют разрешения для страниц Конфигурации сайта, доступных с страницы Сайты.
  • Для страниц, поддерживающих функцию экспорта, предоставление разрешений Редактировать позволяет администратору экспортировать данные или политики. Например, роль с разрешениями Редактировать для страницы Интернет Firewall позволяет администратору экспортировать правила в файл CSV.

  • Просмотр или редактирование разрешений для следующих страниц предоставляет Только просмотр для страницы События. Вы можете изменить разрешения для Событий на Редактировать, но не на Нет.

    • Сайты (Сеть > Сайты)
    • Пользователи (Доступ > Пользователи)
    • Аналитика приложений (Домашняя > Аналитика приложений)
    • Панель угроз (Безопасность > Панель угроз)
    • Панель управления облачными приложениями (Безопасность > Панель управления облачными приложениями)
    • MITRE ATT&CK® (Безопасность > MITRE ATT&CK®)

Чтобы создать пользовательскую роль администратора:

  1. В меню навигации нажмите Аккаунт > Роли & Разрешения.
  2. Нажмите Новый, чтобы создать пользовательскую роль. Откроется панель Создать роль.
  3. Введите Имя роли и разверните секции, чтобы определить разрешения для страниц Cato Management Application в каждой секции.

  4. Нажмите Отправить.

    Пользовательская роль появляется в списке ролей.

Назначение ролей администраторам

На странице Администраторы вы можете назначить одну или несколько ролей каждому администратору. Когда администратору назначены несколько ролей, включающих разные разрешения для одной и той же страницы, применяются более широкие разрешения. Например, если администратору назначена одна роль с Редактировать разрешениями для страницы Межсетевой экран WAN и другая роль с Только просмотр разрешениями, администратор может редактировать политику Межсетевого экрана WAN.

Примечание: Если вы использовали IdP для импорта группы администраторов, вы можете использовать эту процедуру для определения их ролей как группы.

  • Только администратор с ролью Редактор может назначать или удалять роли
  • Вы можете просмотреть изменения в назначениях ролей в Журнале аудита (Мониторинг > Журнал аудита)
Назначить_Роль.png

Чтобы назначить роли администратору:

  1. В меню навигации нажмите Аккаунт > Администраторы.
  2. Щелкните по строке администратора, чтобы открыть Настройки для администратора.
  3. В выпадающем меню Роли выберите одну или несколько ролей.

  4. Нажмите Сохранить.

    Роли применяются к администратору.

Предоставить доступ администратора к Сайтам, Пользователям и Расширенным группам

Вы можете определить, какие сайты, пользователи SDP и расширенные группы администраторы Cato Management Application имеют разрешение редактировать или просматривать. Администраторы, у которых нет разрешения на просмотр конкретного сайта или пользователя, не увидят информацию об этом объекте на страницах CMA.

  • Когда администраторам предоставляются разрешения на редактирование/просмотр группы (не расширенной группы), это означает способность просматривать/редактировать площадки внутри этой группы. Если в группе есть элементы, не относящиеся к сайтам, они игнорируются.
  • Когда администраторам предоставляется разрешение на просмотр/редактирование расширенной группы, это означает, что они могут видеть, какие сущности находятся в группе, или добавлять, или удалять участников из группы.
  • Администраторы могут создавать новых Пользователи SDP только если у них есть Редактировать разрешения для всех групп пользователей.
  • Для администраторов, которым назначены разрешения на основе ролей, существует логическая связь 'И' между ролью и объектом. Например, если администратору назначено разрешение на просмотр Лондонского сайта и у него нет разрешения на просмотр страницы Сайтов, то он не сможет просматривать Лондонский сайт. Или, если у него есть разрешение на редактирование Лондонского сайта, но есть разрешение на просмотр сайта, то он сможет только просматривать сайт и не сможет его редактировать.
Admin_site_users.png

Чтобы предоставить администраторам доступ к сайтам, пользователям и расширенным группам:

  1. В навигационном меню нажмите на Аккаунт > Администраторы.
  2. Создайте нового администратора или редактируйте существующего.
  3. В Разрешениях на доступ для сущностей, выберите тип элемента в раскрывающемся списке.
  4. Используйте раскрывающийся список, чтобы выбрать одну или несколько сущностей. Объекты добавляются в таблицу.
  5. Просмотрите все настройки, относящиеся к типу сущности. Например, если вы только что добавили разрешение на индивидуальный сайт, убедитесь, что настройка доступа ко Всем сайтам подходит.
  6. Определите администраторское Разрешение для элемента в таблице.
  7. Нажмите Сохранить. Сайты и группы пользователей назначены администратору.

Известные ограничения по разрешениям для объектов

  • Администраторы могут иметь разрешения до 1000 пользователей SDP, объединяя все назначенные администратору группы пользователей

    Если у администратора есть разрешения для более чем 1000 Пользователи SDP, то он получает ошибку. Необходимо удалить разрешения для некоторых групп пользователей, чтобы у них было разрешений на меньше чем 1000 Пользователей SDP.

  • Администраторы могут иметь разрешения для до 200 индивидуальных сайтов. Нет ограничений, когда сайты прикладываются к группе.
  • Отчеты Cato не фильтруются в соответствии с разрешениями администраторов для сайтов и пользователей. Вы можете ограничить доступ к странице Отчеты, чтобы контролировать, какие администраторы могут генерировать и просматривать отчеты.
  • Когда вы назначаете группу администратору, применяются только сайты и пользователи. Другие элементы в группе (такие как диапазоны сети) игнорируются.

  • Следующие панели и страницы мониторинга не фильтруются автоматически для сайтов или пользователей SDP:

    • Таблица маршрутизации
    • Журнал аудита
    • Панель управления SaaS Security API
    • XDR Панель управления
    • Обнаружение и Реагирование
    • Активы
  • При управлении правилами в политиках администраторы могут создавать правила, используя значение Любое (например, Любой сайт, Любая группа пользователей и т. д.), даже если у них есть разрешения только для некоторых сайтов, групп пользователей или расширенных групп.
  • Администраторы, имеющие разрешения для групп пользователей, могут добавлять в правила только Пользователей SDP. Они не могут добавлять пользователей, идентифицированных с Осведомленность Пользователя, в правила.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 8

0 комментариев