使用RBAC管理管理员角色

本文解释如何配置管理员角色,以控制对Cato管理应用程序的访问。 了解更多关于RBAC的信息,请参阅什么是管理员和基于角色的访问控制(RBAC)

了解预定义管理员角色

Cato提供了一些预定义的角色,您可以将这些角色分配给管理员。 您可以点击角色行以显示"编辑角色"面板中每个页面的权限。 但是,预定义的角色无法修改或删除。

这些是预定义的角色:

  • 编辑者 - 所有页面的完全读/写权限
  • 查看者 - 所有页面的仅查看权限
  • 网络管理员 - 主要处理连接性和网络访问的管理员。 权限包括在网络菜单下和其他相关页面(如WAN防火墙下)编辑所有页面,但安全功能(如互联网防火墙)仅限查看权限。 访问功能的权限也仅限查看。
  • 安全管理员 - 主要处理安全性的管理员。 权限包括,例如,编辑安全性和资产菜单下的所有页面,但网络和访问功能仅限查看权限。
  • 访问管理员 - 允许编辑访问菜单下的所有页面,其他页面的权限设为
  • 区域查看者 - 所有站点和SDP用户的仅读取权限,以及所有事件和应用分析的权限。
  • 受限制查看者 - 所有站点和SDP用户的仅读取权限(无对事件和应用分析的访问权限)。
  • 物流管理员 - Sockets和配件页面的完全读/写权限。
  • AI安全敏感 - 访问查看用户在AI安全模块中输入的提示数据。

使用自定义管理员角色

您可以在CMA中创建自定义角色并定义详细的页面权限以满足您组织的确切需求。 但是,您不能为页面中的各个选项卡和功能设置单独的权限。

默认情况下,当您创建新角色时,所有权限都设置为仅查看。 您可以点击角色的行来修改编辑角色面板中的权限。 您可以从角色行中的更多菜单中删除角色,但是,对于当前分配给管理员的自定义角色,您无法删除。

  • 只有拥有编辑者角色的管理员可以创建或修改角色
  • 您可以在 审计追踪(监控 > 审计追踪)中审计 自定义角色 的更改,包括 创建、修改和删除角色

某些页面的权限会自动配置其他页面和功能的依赖权限。 创建角色时,以下依赖权限适用:

  • 导航菜单中的页面定义了其下属页面和部分的权限。 例如,“站点”页面(网络 > 站点)的权限决定了从“站点”页面访问的站点配置页面的权限。
  • 对于支持导出功能的页面,授予编辑权限可让管理员导出数据或策略。 例如,具有互联网防火墙页面编辑权限的角色允许管理员将规则导出为CSV文件。

  • 查看或编辑以下页面的权限会授予事件页面仅查看权限。 您可以将事件权限更改为编辑而不是

    • 站点(网络 > 站点)
    • 用户(访问 > 用户)
    • 应用分析(主页 > 应用分析)
    • 威胁仪表板(安全 > 安全威胁)
    • 云应用仪表板(安全 > 云应用仪表板)
    • MITRE ATT&CK®(安全性 > MITRE ATT&CK®)

要创建自定义管理员角色:

  1. 从导航菜单中,点击账户 > 角色 & 权限
  2. 点击新建来创建自定义角色。 创建角色面板打开。
  3. 输入角色名称并展开部分以定义各部分中Cato管理应用程序页面的权限。

  4. 点击提交

    自定义角色出现在角色列表中。

分配角色给管理员

在管理员页面,您可以为每位管理员分配一个或多个角色。 当管理员被分配多个角色时,如果不同角色对同一页面有不同权限,则应用更高权限。 例如,如果管理员被分配一个具有编辑权限的角色和另一个具有仅查看权限的角色,管理员便可编辑WAN防火墙访问权限策略。

注意:如果您使用IdP导入一组管理员,您可以使用此过程以组定义他们的角色。

  • 只有具有编辑者角色的管理员才能分配或移除角色。
  • 您可以在审计追踪中查看角色分配的更改(监控 > 审计追踪)
Assign_Role.png

要为管理员分配角色:

  1. 从导航菜单中,点击账户 > 管理员
  2. 点击管理员的一行以打开该管理员的设置。
  3. 角色下拉菜单中选择一个或多个角色。

  4. 点击保存

    这些角色被应用于管理员。

为站点、用户和高级组提供管理员访问权限

您可以定义Cato管理应用程序管理员可以编辑或查看哪些站点、SDP用户和高级组。 未对特定站点或用户拥有查看权限的管理员将在CMA页面上看不到该实体的信息。

  • 当管理员被授予编辑/查看群组(非高级群组)的权限时,可查看/编辑群组内的站点。 如果组中有非站点项,将被忽略。
  • 当管理员被授予查看/编辑高级群组的权限时,意味着他们可以查看群组中的实体或添加、移除群组的成员。
  • 只有在管理员对所有用户组具有编辑权限时,才能创建新的SDP用户。
  • 对于基于角色分配权限的管理员,角色与实体之间存在与关系。 例如,如果管理员被分配了伦敦站点的查看权限,但没有查看站点页面的权限,那么他们无法查看伦敦站点。 或者如果他们对伦敦站点有编辑权限,但对站点页面只有查看权限,那么他们只能查看站点,不能编辑。
Admin_site_users.png

允许管理员访问站点、用户和高级组:

  1. 从导航菜单中,点击账户 > 管理员
  2. 创建一个新管理员或编辑现有管理员。
  3. 实体的访问权限中,选择下拉菜单中的项目类型。
  4. 使用下拉菜单选择一个或多个实体。 实体被添加到表中。
  5. 查看所有与实体类型相关的设置。 例如,如果您刚刚添加了单个站点的权限,请确保所有站点的访问设置是适当的。
  6. 在表中定义管理员项目的权限
  7. 点击保存。 这些站点和用户组已分配给管理员。

实体权限的已知限制

  • 管理员可以对最多1000个SDP用户拥有权限,结合所有分配给管理员的用户组。

    如果管理员对超过1000个SDP用户拥有权限,则会收到错误。 需要删除某些用户群组的权限,使其包含的权限少于1000名SDP用户。

  • 管理员可以对最多200个单独站点拥有权限。 如果站点应用于群组则没有限制。
  • Cato报告不会根据站点和用户的管理员权限过滤。 您可以限制对报告页面的访问,以控制哪些管理员可以生成和查看报告。
  • 当您将一个群组分配给管理员时,仅应用站点和用户。 群组中的其他项(如网络范围)将被忽略。

  • 以下仪表板和监控页面不会自动根据站点或SDP用户过滤:

    • 路由表
    • 审计追踪
    • SaaS安全API仪表板
    • XDR 仪表板
    • 检测与响应
    • 资产
  • 管理员在管理策略中的规则时,可以使用任何值(例如,任何站点、任何用户群组等),即使他们仅对某些站点、用户群组或高级群组有权限。
  • 具有用户群组权限的管理员只能将SDP用户添加到规则中。 他们不能将通过用户意识识别的用户添加到规则中。

这篇文章有帮助吗?

8 人中有 7 人觉得有帮助

0 条评论