Übersicht über die rollenbasierte Zugriffssteuerung für Daten
Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, mit dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe von individuellen Nutzerrollen eingeschränkt wird. Mit der Daten-RBAC können Administratoren Bereiche definieren und Nutzern zuweisen, um sicherzustellen, dass Nutzer nur auf die Daten zugreifen können, die für ihre Aufgaben erforderlich sind.
Auf dieser Seite finden Sie einen Überblick über die rollenbasierte Zugriffssteuerung für Daten. Außerdem wird erläutert, wie Labels und Bereiche zusammenwirken, um Datenzugriffsberechtigungen zu definieren.
Unterschied zwischen Daten-RBAC und Feature-RBAC
Sowohl die datenbezogene als auch die funktionsbezogene rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) sind Methoden zur Steuerung des Zugriffs innerhalb eines Systems, konzentrieren sich jedoch auf unterschiedliche Aspekte.
Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) für Funktionen wird der Zugriff auf bestimmte Funktionen oder Funktionalitäten in einem System gesteuert. Damit wird festgelegt, welche Funktionen für Nutzer mit bestimmten Rollen verfügbar sind. Ein Junior-Analyst hat beispielsweise möglicherweise nur Zugriff auf das Aufrufen von Dashboards, aber nicht auf das Erstellen oder Ändern von Erkennungsregeln. Ein Senior-Analyst hat möglicherweise die Berechtigungen zum Erstellen und Verwalten von Erkennungsregeln. Weitere Informationen zur rollenbasierten Zugriffssteuerung für Funktionen finden Sie unter Funktionszugriffssteuerung mit IAM konfigurieren.
Mit Data RBAC wird der Zugriff auf bestimmte Daten oder Informationen in einem System gesteuert. Damit wird festgelegt, ob ein Nutzer Daten basierend auf seinen Rollen ansehen, bearbeiten oder löschen kann. In einem CRM-System (Customer Relationship Management) hat ein Vertriebsmitarbeiter beispielsweise möglicherweise Zugriff auf Kundendaten, aber nicht auf Finanzdaten, während ein Finanzmanager Zugriff auf die Finanzdaten, aber nicht auf die Kundendaten hat.
Daten-RBAC und Funktions-RBAC werden häufig zusammen verwendet, um ein umfassendes Zugriffssteuerungssystem zu bieten. Ein Nutzer darf beispielsweise auf eine bestimmte Funktion zugreifen (Funktions-RBAC), aber innerhalb dieser Funktion kann sein Zugriff auf bestimmte Daten basierend auf seiner Rolle eingeschränkt sein (Daten-RBAC).
Implementierung planen
Sehen Sie sich die Liste der vordefinierten Google SecOps-Rollen und -Berechtigungen an und passen Sie sie an die Anforderungen Ihrer Organisation an, um die Implementierung zu planen. Entwickeln Sie eine Strategie, um Bereiche zu definieren und eingehende Daten mit Labels zu versehen. Sie benötigen die Rolle „Rollenbetrachter“ (roles/iam.roleViewer), um Bereiche zu verwalten.
Legen Sie fest, welche Mitglieder Zugriff auf Daten in diesen Bereichen haben müssen.
Wenn Ihre Organisation IAM-Richtlinien benötigt, die über die vordefinierten Google SecOps-Rollen hinausgehen, erstellen Sie benutzerdefinierte Rollen, um bestimmte Anforderungen zu erfüllen.
Nutzerrollen
Nutzer können entweder eingeschränkten Datenzugriff (eingeschränkte Nutzer) oder globalen Datenzugriff (globale Nutzer) haben.
Nutzer mit eingeschränkten Bereichen haben je nach zugewiesenen Bereichen eingeschränkten Zugriff auf Daten. Diese Bereiche beschränken die Sichtbarkeit und Aktionen auf bestimmte Daten. Die spezifischen Berechtigungen, die mit dem eingeschränkten Zugriff verknüpft sind, sind in der folgenden Tabelle aufgeführt.
Globalen Nutzern sind keine Bereiche zugewiesen und sie haben uneingeschränkten Zugriff auf alle Daten in Google SecOps. Die spezifischen Berechtigungen, die mit dem globalen Zugriff verbunden sind, sind in der folgenden Tabelle aufgeführt.
Der globale Zugriff hat Vorrang vor dem eingeschränkten Zugriff. Wenn einem Nutzer sowohl eine globale als auch eine bereichsbezogene Rolle zugewiesen ist, hat er Zugriff auf alle Daten, unabhängig von Einschränkungen, die durch die bereichsbezogene Rolle auferlegt werden.
Administratoren mit Daten-RBAC können Bereiche erstellen und Nutzern zuweisen, um den Datenzugriff in Google SecOps zu steuern. Wenn Sie einen Nutzer auf bestimmte Bereiche beschränken möchten, müssen Sie ihm die Rolle „Chronicle API Restricted Data Access“ (roles/chronicle.restrictedDataAccess) zusammen mit einer vordefinierten oder benutzerdefinierten Rolle zuweisen. Mit der Rolle „Chronicle API Restricted Data Access“ wird ein Nutzer als eingeschränkter Nutzer identifiziert. Sie müssen Nutzern, die globalen Datenzugriff benötigen, nicht die Rolle „Chronicle Restricted Data Access“ zuweisen.
Nutzern können die folgenden Rollen zugewiesen werden:
| Zugriffstyp | Rollen | Berechtigungen |
|---|---|---|
| Vordefinierter globaler Zugriff | Globalen Nutzern kann eine der vordefinierten IAM-Rollen zugewiesen werden. | |
| Vordefinierter schreibgeschützter Zugriff | Chronicle API Restricted Data Access (roles/chronicle.restrictedDataAccess) und Chronicle API Restricted Data Access Viewer (roles/chronicle.restrictedDataAccessViewer)
|
Chronicle API Restricted Data Access Viewer |
| Benutzerdefinierter Zugriff | Chronicle API Restricted Data Access (roles/chronicle.restrictedDataAccess) und benutzerdefinierte Rolle (für die RBAC-Definition für Funktionen)
|
Benutzerdefinierte Berechtigungen in Funktionen |
| Benutzerdefinierter globaler Zugriff | Berechtigung chronicle.globalDataAccessScopes.permit und Chronicle API Global Data Access (roles/globalDataAccess)
|
Globale Berechtigungen in Funktionen |
Im Folgenden finden Sie eine Beschreibung der einzelnen Zugriffstypen in der Tabelle:
Vordefinierter globaler Zugriff:Dieser Zugriff ist in der Regel für Nutzer erforderlich, die Zugriff auf alle Daten benötigen. Sie können einem Nutzer je nach den erforderlichen Berechtigungen eine oder mehrere Rollen zuweisen.
Vordefinierter schreibgeschützter Zugriff mit eingeschränktem Umfang:Dieser Zugriff ist für Nutzer, die schreibgeschützten Zugriff benötigen. Mit der Rolle „Chronicle API Restricted Data Access“ wird ein Nutzer als eingeschränkter Nutzer identifiziert. Die Rolle „Chronicle API Restricted Data Access Viewer“ gewährt Nutzern innerhalb ihrer Funktionen Ansichtszugriff.
Zugriff mit benutzerdefiniertem Umfang:Mit der Rolle „Chronicle API Restricted Data Access“ wird ein Nutzer als Nutzer mit eingeschränktem Umfang identifiziert. In der benutzerdefinierten Rolle werden die Funktionen angegeben, auf die der Nutzer zugreifen kann. Die der Rolle „Chronicle API Restricted Data Access“ hinzugefügten Bereiche geben die Daten an, auf die die Nutzer in den Funktionen zugreifen können.
Damit benutzerdefinierte RBAC-Bereiche korrekt funktionieren, müssen Sie beim Erstellen der benutzerdefinierten Rollen die Berechtigung chronicle.dataAccessScopes.list einbeziehen. Die Berechtigungen chronicle.DataAccessScopes.permit oder chronicle.globalDataAccessScopes.permit dürfen jedoch nicht enthalten sein. Diese Berechtigungen sind möglicherweise enthalten, wenn Sie die vordefinierte Rolle „Chronicle API Editor“ oder „Chronicle API Admin“ als Ausgangspunkt für Ihre benutzerdefinierten Rollen verwendet haben.
Benutzerdefinierter globaler Zugriff:Dieser Zugriff ist für Nutzer vorgesehen, die uneingeschränkte Berechtigungen für die ihnen zugewiesenen Funktionen benötigen. Wenn Sie einem Nutzer benutzerdefinierten globalen Zugriff gewähren möchten, müssen Sie zusätzlich zur benutzerdefinierten Rolle, die dem Nutzer zugewiesen ist, die Berechtigung chronicle.globalDataAccessScopes.permit angeben.
Zugriffssteuerung mit Bereichen und Labels
Mit Google SecOps können Sie den Datenzugriff für Nutzer mithilfe von Bereichen steuern. Bereiche werden mithilfe von Labels definiert, die die Daten festlegen, auf die ein Nutzer innerhalb des Bereichs Zugriff hat. Während der Aufnahme werden Daten Metadaten in Form von Labels zugewiesen, z. B. Namespace (optional), Aufnahmemetadaten (optional) und Logtyp (erforderlich). Dies sind Standardlabels, die beim Erfassen auf Daten angewendet werden. Außerdem können Sie benutzerdefinierte Labels erstellen. Sie können sowohl Standard- als auch benutzerdefinierte Labels verwenden, um Ihre Bereiche und die Datenzugriffsebene zu definieren, die durch die Bereiche festgelegt wird.
Datensichtbarkeit mit Zulassungs- und Ablehnungslabels
Jeder Bereich enthält ein oder mehrere Zugriff zulassen-Labels und optional Zugriff verweigern-Labels. Mit Zugriffslabels erhalten Nutzer Zugriff auf die Daten, die mit dem Label verknüpft sind. Mit Labels für verweigerten Zugriff wird Nutzern der Zugriff auf die Daten verweigert, die mit dem Label verknüpft sind. „Zugriff verweigern“-Labels haben Vorrang vor „Zugriff erlauben“-Labels, wenn es darum geht, den Nutzerzugriff einzuschränken.
In einer Bereichsdefinition werden Zugriffslabels desselben Typs (z. B. Logtyp) mit dem OR-Operator kombiniert, während Labels unterschiedlicher Typen (z. B. Logtyp und benutzerdefiniertes Label) mit dem AND-Operator kombiniert werden. „Zugriff verweigern“-Labels werden mit dem OR-Operator kombiniert. Wenn innerhalb eines Bereichs mehrere Labels vom Typ „Zugriff verweigern“ angewendet werden, wird der Zugriff verweigert, wenn sie mit einem dieser Labels übereinstimmen.
Angenommen, Sie haben ein Cloud Logging-System, in dem Logs mit den folgenden Labeltypen kategorisiert werden:
Protokolltyp:Zugriff, System, Firewall
Namespace:App1, App2, Database
Schweregrad:Kritisch, Warnung
Angenommen, es gibt einen Bereich namens „Eingeschränkte Logs“ mit dem folgenden Zugriff:
| Labeltyp | Zulässige Werte | Abgelehnte Werte |
|---|---|---|
| Logtyp | Zugriff, Firewall | System |
| Namespace | App1 | App2, Datenbank |
| Schweregrad | Warnung | Kritisch |
Die Bereichsdefinition sieht so aus:
Zulassen:(Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Ablehnen:Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Beispiele für Logs, die dem Umfang entsprechen:
- Zugriffsprotokoll von App1 mit Schweregrad: Warnung
- Firewall-Log von App1 mit Schweregrad: Warnung
Beispiele für Logs, die nicht dem Umfang entsprechen:
- Systemprotokoll von App1 mit Schweregrad: Warnung
- Zugriffsprotokoll aus der Datenbank mit dem Schweregrad „Warnung“
- Firewall-Log von App2 mit Schweregrad: Kritisch
Datensichtbarkeit in angereicherten Ereignissen
Angereicherte Ereignisse sind Sicherheitsereignisse, die mit zusätzlichem Kontext und Informationen ergänzt wurden, die über die Rohlogdaten hinausgehen. Auf angereicherte Ereignisse kann nur dann innerhalb eines Bereichs zugegriffen werden, wenn auf das zugehörige Basisereignis innerhalb des Bereichs zugegriffen werden kann und keine der angereicherten Labels Ablehnungs-Labels des Bereichs enthält.
Angenommen, ein Rohlog enthält einen fehlgeschlagenen Anmeldeversuch von einer IP-Adresse und hat das angereicherte Label user_risk: high (weist auf einen Nutzer mit hohem Risiko hin).
Ein Nutzer mit einem Bereich, der das Label „deny“ (verweigern) user_risk: high hat, kann keine fehlgeschlagenen Anmeldeversuche von Nutzern mit hohem Risiko sehen.
Auswirkungen der rollenbasierten Zugriffssteuerung für Daten auf Google Security Operations-Funktionen
Nachdem die datenbasierte rollenbasierte Zugriffssteuerung konfiguriert wurde, sehen Nutzer gefilterte Daten in den Google Security Operations-Funktionen. Die Auswirkungen hängen davon ab, wie die Funktion in die zugrunde liegenden Daten eingebunden ist. Informationen dazu, wie sich die datenbasierte rollenbasierte Zugriffssteuerung auf die einzelnen Funktionen auswirkt, finden Sie unter Auswirkungen der datenbasierten rollenbasierten Zugriffssteuerung auf Google Security Operations-Funktionen.
Nächste Schritte
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten