יצירה והקצאה של רמות גישה מותאמות אישית באמצעות נתונים של Falcon ZTA

במאמר הזה מוסבר איך ליצור רמות גישה מותאמות אישית שמבוססות על מכשירים באמצעות נתונים של Falcon ZTA, ולהקצות את רמות הגישה האלה למשאבים של הארגון.

לפני שמתחילים

יצירה של רמות גישה בהתאמה אישית

אפשר ליצור רמות גישה עם תנאי אחד או יותר. אם רוצים שהמכשירים של המשתמשים יעמדו בכמה תנאים (לוגיקת AND של תנאים), צריך ליצור רמת גישה שמכילה את כל התנאים הנדרשים.

כדי ליצור רמת גישה מותאמת אישית חדשה באמצעות הנתונים שסופקו על ידי Falcon ZTA, מבצעים את הפעולות הבאות:

  1. נכנסים לדף Access Context Manager במסוף Google Cloud .

    מעבר אל Access Context Manager
  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.
  3. בדף Access Context Manager, לוחצים על New.
  4. בחלונית New Access Level (רמת גישה חדשה), מזינים את הפרטים הבאים:
    1. בשדה שם רמת הגישה, מזינים שם לרמת הגישה. השם צריך להיות באורך של עד 50 תווים, להתחיל באות ויכול להכיל רק מספרים, אותיות, קווים תחתונים ורווחים.
    2. בקטע Create Conditions in (יצירת תנאים ב), בוחרים באפשרות Advanced Mode (מצב מתקדם).
    3. בקטע תנאים, מזינים את הביטויים לרמת הגישה המותאמת אישית. התנאי חייב להניב ערך בוליאני יחיד.

      כדי למצוא את השדות הזמינים של CrowdStrike לביטוי CEL, אפשר לעיין בנתוני Falcon ZTA שנאספו מהמכשירים.

      דוגמאות

      הביטוי הבא ב-CEL יוצר כלל שמאפשר גישה רק ממכשירים שמנוהלים על ידי Falcon ZTA עם ציון הערכת מערכת הפעלה גבוה מ-50:

      device.vendors["CrowdStrike"].is_managed_device == true && device.vendors["CrowdStrike"].data["assessment.os"] > 50.0

      הביטוי הבא ב-CEL יוצר כלל שמאפשר גישה רק ממכשירים ש-Falcon ZTA העריך ביומיים האחרונים. השדה iat (issued at) מסופק כחלק מהערכת אפס האמון של Falcon ZTA. 

      request.time - timestamp(device.vendors["CrowdStrike"].data["iat"]) < duration("48h")

      הביטוי הבא ב-CEL יוצר כלל שמאפשר גישה רק ממכשירים שההערכה שלהם ב-Falcon ZTA לא פגה. השדה exp (תאריך התפוגה) מסופק כחלק מהערכת הגישה המבוססת על אפס אמון (ZTA) של Falcon.

      timestamp(device.vendors["CrowdStrike"].data["exp"]) - request.time > duration("0m")

      דוגמאות ומידע נוסף על תמיכה ב-Common Expression Language ‏(CEL) ועל רמות גישה מותאמות אישית זמינים במאמר מפרט של רמות גישה מותאמות אישית.

    4. לוחצים על Save.

הקצאת רמות גישה בהתאמה אישית

אתם יכולים להקצות רמות גישה מותאמות אישית כדי לשלוט בגישה לאפליקציות. האפליקציות האלה כוללות אפליקציות של Google Workspace ואת האפליקציות שמוגנות על ידי Identity-Aware Proxy ב- Google Cloud (שנקרא גם משאב מאובטח באמצעות IAP). אפשר להקצות רמת גישה אחת או יותר לאפליקציות. אם בוחרים כמה רמות גישה, המשתמשים יקבלו גישה לאפליקציה אם המכשירים שלהם יעמדו בתנאים של אחת מרמות הגישה.

הקצאה של רמות גישה מותאמות אישית לאפליקציות Google Workspace

הקצאה של רמות גישה לאפליקציות Google Workspace דרך מסוף Google Workspace Admin:

  1. בדף הבית של מסוף Admin, נכנסים אל אבטחה > בקרת גישה מבוססת-הקשר.

    אל בקרת גישה מבוססת-הקשר

  2. לוחצים על הקצאת רמות גישה.

    תוצג רשימת אפליקציות.

  3. בקטע יחידות ארגוניות, בוחרים את היחידה הארגונית או הקבוצה.

  4. בוחרים את האפליקציה שרוצים להקצות לה רמת גישה ולוחצים על הקצאה.

    הקצאת רמת גישה

    מוצגת רשימה של כל רמות הגישה. רמות הגישה הן משאב משותף בין Google Workspace, ‏ Cloud Identity ו- Google Cloud , ולכן יכול להיות שתראו ברשימה רמות גישה שלא יצרתם.

  5. בוחרים רמת גישה אחת או יותר לאפליקציה.
  6. כדי להחיל את רמות הגישה על משתמשים באפליקציות למחשב ולנייד (וגם בדפדפן), בוחרים באפשרות החלה על אפליקציות של Google לנייד ולאינטרנט. תיבת הסימון הזו רלוונטית רק לאפליקציות מובנות.
  7. לוחצים על Save. השם של רמת הגישה מופיע ברשימת רמות הגישה שהוקצו לצד האפליקציה.

הקצאת רמות גישה בהתאמה אישית למשאבים שמוגנים על ידי IAP

כדי להקצות רמות גישה למשאבים שמאובטחים באמצעות IAP דרך מסוף Google Cloud , פועלים לפי ההוראות במאמר החלה של רמת גישה למשאבים שמאובטחים באמצעות IAP.