Ringkasan RBAC Data
Kontrol akses berbasis peran data (RBAC data) adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. Dengan RBAC data, administrator dapat menentukan cakupan dan menetapkannya kepada pengguna untuk membantu memastikan bahwa pengguna hanya dapat mengakses data yang diperlukan untuk fungsi tugas mereka.
Halaman ini memberikan ringkasan RBAC data, dan membantu Anda memahami cara kerja label dan cakupan bersama-sama untuk menentukan izin akses data.
Perbedaan antara RBAC data dan RBAC fitur
RBAC data dan RBAC fitur adalah metode untuk mengontrol akses dalam sistem, tetapi keduanya berfokus pada aspek yang berbeda.
RBAC fitur mengontrol akses ke fitur atau fungsi tertentu dalam sistem. Kebijakan ini menentukan fitur mana yang dapat diakses pengguna berdasarkan peran mereka. Misalnya, seorang analis junior mungkin hanya memiliki akses untuk melihat dasbor, tetapi tidak untuk membuat atau mengubah aturan deteksi, sementara seorang analis senior mungkin memiliki izin untuk membuat dan mengelola aturan deteksi. Untuk mengetahui informasi selengkapnya tentang RBAC fitur, lihat Mengonfigurasi kontrol akses fitur menggunakan IAM.
RBAC data mengontrol akses ke data atau informasi tertentu dalam sistem. Fitur ini mengontrol apakah pengguna dapat melihat, mengedit, atau menghapus data berdasarkan perannya. Misalnya, dalam sistem pengelolaan hubungan pelanggan (CRM), tenaga penjualan mungkin memiliki akses ke data kontak pelanggan, tetapi tidak memiliki akses ke data keuangan, sedangkan manajer keuangan mungkin memiliki akses ke data keuangan, tetapi tidak memiliki akses ke data kontak pelanggan.
RBAC data dan RBAC fitur sering digunakan bersama untuk menyediakan sistem kontrol akses yang komprehensif. Misalnya, pengguna mungkin diizinkan mengakses fitur tertentu (RBAC fitur), lalu dalam fitur tersebut, aksesnya ke data tertentu mungkin dibatasi berdasarkan perannya (RBAC data).
Merencanakan penerapan Anda
Untuk merencanakan penerapan, tinjau daftar peran dan izin Google SecOps yang telah ditentukan sebelumnya di Google Security Operations
dan sesuaikan dengan kebutuhan organisasi Anda. Buat strategi untuk menentukan cakupan dan memberi label pada data yang masuk. Pastikan Anda memiliki peran
Penampil Peran (roles/iam.roleViewer) untuk mengelola cakupan.
Identifikasi anggota mana yang harus memiliki akses ke data dalam cakupan ini.
Jika organisasi Anda memerlukan kebijakan IAM di luar peran Google SecOps yang telah ditetapkan, buat peran khusus untuk mendukung persyaratan tertentu.
Peran pengguna
Pengguna dapat memiliki akses data yang tercakup (pengguna tercakup) atau akses data global (pengguna global).
Pengguna yang memiliki cakupan akses terbatas ke data berdasarkan cakupan yang ditetapkan. Cakupan ini membatasi visibilitas dan tindakan mereka pada data tertentu. Izin khusus yang terkait dengan akses yang diberi cakupan dijelaskan dalam tabel berikut.
Pengguna global tidak memiliki cakupan yang ditetapkan dan memiliki akses tidak terbatas ke semua data dalam Google SecOps. Izin spesifik yang terkait dengan akses global dijelaskan dalam tabel berikut.
Akses global menggantikan akses yang tercakup. Jika pengguna diberi peran global dan peran yang dicakup, mereka memiliki akses ke semua data, terlepas dari batasan yang diberlakukan oleh peran yang dicakup.
Administrator RBAC data dapat membuat cakupan dan menetapkannya kepada pengguna untuk mengontrol akses data mereka dalam Google SecOps. Untuk membatasi pengguna ke cakupan tertentu, Anda harus menetapkan peran Akses Data Terbatas Chronicle API (roles/chronicle.restrictedDataAccess) beserta peran bawaan atau peran kustom kepada pengguna tersebut. Peran Akses Data yang Dibatasi Chronicle API
mengidentifikasi pengguna sebagai pengguna yang memiliki cakupan. Anda tidak perlu menetapkan peran Akses Data yang Dibatasi Chronicle kepada pengguna yang memerlukan akses data global.
Peran berikut dapat ditetapkan kepada pengguna:
| Jenis akses | Peran | Izin |
|---|---|---|
| Akses global yang telah ditentukan sebelumnya | Pengguna global dapat diberi salah satu peran IAM bawaan. | |
| Akses hanya baca dengan cakupan yang telah ditentukan | Akses Data Terbatas Chronicle API (roles/chronicle.restrictedDataAccess) dan Pelihat Akses Data Terbatas Chronicle API (roles/chronicle.restrictedDataAccessViewer)
|
Chronicle API Restricted Data Access Viewer |
| Akses cakupan kustom | Akses Data Terbatas Chronicle API (roles/chronicle.restrictedDataAccess) dan peran kustom (untuk definisi RBAC fitur)
|
Izin kustom dalam fitur |
| Akses global kustom | izin chronicle.globalDataAccessScopes.permit dan Akses Data Global Chronicle API (roles/globalDataAccess)
|
Izin global dalam fitur |
Berikut adalah deskripsi setiap jenis akses yang ditampilkan dalam tabel:
Akses global yang telah ditentukan sebelumnya: akses ini biasanya diperlukan bagi pengguna yang memerlukan akses ke semua data. Anda dapat menetapkan satu atau beberapa peran kepada pengguna berdasarkan izin yang diperlukan.
Akses hanya baca yang tercakup dan telah ditentukan sebelumnya: akses ini ditujukan bagi pengguna yang memerlukan akses hanya baca. Peran Akses Data Terbatas Chronicle API mengidentifikasi pengguna sebagai pengguna bercakupan. Peran Pelihat Akses Data Terbatas Chronicle API memberikan akses lihat kepada pengguna dalam fitur mereka.
Akses dengan cakupan khusus: peran Akses Data Terbatas Chronicle API mengidentifikasi pengguna sebagai pengguna dengan cakupan. Peran khusus menentukan fitur yang dapat diakses pengguna. Cakupan yang ditambahkan ke peran Akses Data Terbatas Chronicle API menentukan data yang dapat diakses pengguna dalam fitur.
Untuk memverifikasi fungsi cakupan kustom RBAC dengan benar, sertakan izin chronicle.dataAccessScopes.list
saat membuat peran kustom. Namun, jangan sertakan izin chronicle.DataAccessScopes.permit atau chronicle.globalDataAccessScopes.permit. Izin ini mungkin disertakan jika Anda telah menggunakan Editor Chronicle API atau Admin Chronicle API bawaan sebagai titik awal untuk peran kustom Anda.
Akses global kustom: akses ini ditujukan bagi pengguna yang memerlukan izin tidak terbatas dalam fitur yang ditetapkan untuk mereka. Untuk memberikan akses global kustom kepada
pengguna, Anda harus menentukan izin chronicle.globalDataAccessScopes.permit
selain peran khusus yang ditetapkan kepada pengguna.
Kontrol akses dengan cakupan dan label
Google SecOps memungkinkan Anda mengontrol akses data pengguna dengan menggunakan cakupan. Cakupan ditentukan dengan bantuan label yang menentukan data yang dapat diakses oleh pengguna dalam cakupan. Selama penyerapan, metadata ditetapkan ke data dalam bentuk label seperti namespace (opsional), metadata penyerapan (opsional), dan jenis log (wajib). Ini adalah label default yang diterapkan ke data selama penyerapan. Selain itu, Anda dapat membuat label kustom. Anda dapat menggunakan label default dan kustom untuk menentukan cakupan dan tingkat akses data yang akan ditentukan oleh cakupan.
Visibilitas data dengan label izinkan dan tolak
Setiap cakupan berisi satu atau beberapa label izinkan akses dan secara opsional, label tolak akses. Label akses yang diizinkan memberikan akses pengguna ke data yang dikaitkan dengan label. Label penolakan akses menolak akses pengguna ke data yang terkait dengan label. Label tolak akses menggantikan label izinkan akses dalam membatasi akses pengguna.
Dalam definisi cakupan, label akses dari jenis yang sama (misalnya, jenis log) digabungkan menggunakan operator OR, sedangkan label dari jenis yang berbeda (misalnya, jenis log dan label kustom) digabungkan menggunakan operator AND. Label penolakan akses digabungkan menggunakan operator OR. Jika beberapa label tolak akses diterapkan dalam cakupan, akses akan ditolak jika label tersebut cocok dengan SALAH SATU label tersebut.
Misalnya, pertimbangkan sistem Cloud Logging yang mengategorikan log menggunakan jenis label berikut:
Jenis log: Akses, Sistem, Firewall
Namespace: App1, App2, Database
Tingkat Keseriusan: Kritis, Peringatan
Pertimbangkan cakupan bernama Log terbatas yang memiliki akses berikut:
| Jenis label | Nilai yang diizinkan | Nilai yang ditolak |
|---|---|---|
| Jenis log | Akses, Firewall | Sistem |
| Namespace | App1 | App2, Database |
| Keparahan | Peringatan | Kritis |
Definisi cakupan terlihat seperti ini:
Izinkan: (Log type: "Access" OR "Firewall") AND (Namespace: "App1") AND (Severity: "Warning")
Tolak: Log type: "System" OR Namespace: App2 OR Namespace: Database OR Severity: "Critical"
Contoh log yang cocok dengan cakupan:
- Log akses dari App1 dengan Tingkat Keparahan: Peringatan
- Log firewall dari App1 dengan Tingkat Keseriusan: Peringatan
Contoh log yang tidak sesuai dengan cakupan:
- Log sistem dari App1 dengan Tingkat Keseriusan: Peringatan
- Log akses dari Database dengan Tingkat Keparahan: Peringatan
- Log firewall dari App2 dengan Tingkat Keparahan: Kritis
Visibilitas data dalam peristiwa yang dipertkaya
Peristiwa yang diperkaya adalah peristiwa keamanan yang telah ditingkatkan dengan konteks dan informasi tambahan di luar yang terdapat dalam data log mentah. Peristiwa yang dipertkaya dapat diakses dalam cakupan hanya jika peristiwa dasarnya dapat diakses dalam cakupan dan salah satu label yang dipertkaya tidak menyertakan salah satu label penolakan cakupan.
Misalnya, pertimbangkan log mentah yang menunjukkan upaya login yang gagal dari alamat IP dan memiliki label yang telah di-enrich user_risk: high (menunjukkan pengguna berisiko tinggi).
Pengguna dengan cakupan yang memiliki label penolakan user_risk: high tidak dapat melihat upaya login yang gagal oleh pengguna berisiko tinggi.
Dampak RBAC data pada fitur Google Security Operations
Setelah RBAC data dikonfigurasi, pengguna akan mulai melihat data yang difilter di fitur Google Security Operations. Dampak bergantung pada cara fitur diintegrasikan dengan data pokok. Untuk memahami pengaruh RBAC data terhadap setiap fitur, lihat Dampak RBAC data terhadap fitur Google Security Operations.
Langkah berikutnya
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.