3.2. Добавление ролей

Alphabyte контролирует доступ к ресурсам на основе ролей (RBAC): группы пользователей с одной и той же ролью имеют одинаковые права доступа.

Каждый отдельный доступ включает 2 компонента: разрешенные IP-адреса и разрешенные типы трафика для этих IP-адресов.

Разрешенные IP-адреса могут быть указаны как один или несколько IP-блоков:

  • все IP-адреса сети;

  • все IP-адреса подсети;

  • индивидуальный IP-адрес в указанной сети.

Мы используем термин «тип трафика» для любых комбинаций параметров трафика, не включающих исходные или конечные IP-адреса. На данный момент, мы используем комбинации разрешенных портов и протоколов. Другие типы трафика будут добавляться в последующих обновлениях Alphabyte.

Использование IP-адресов и типов трафика упрощает создание и обновление ролей:

  • Вы можете использовать один и тот же тип трафика для нескольких ресурсов.

  • Вы можете изменять IP-адрес ресурса без изменения типа трафика.

Каждый IP-адрес может быть связан с одним или несколькими типами трафика. Если для одного IP-адреса указано несколько типов трафика, пакет, соответствующий любому указанному типу трафика, будет разрешен. Например, если для одного IP-адреса указаны типы трафика SSH (TCP-порт 22) и HTTPS (TCP-порт 443), для этого IP-адреса будут разрешены TCP-пакеты с портами 22 и 443. Пакеты с другими протоколами и портами будут запрещены, даже если доступ к IP-адресу разрешен.

Для добавления или изменения ролей, откройте панель Роли. Также, вы можете добавлять роли отдельным пользователям в панели Пользователи.

Чтобы добавить новую роль, выполните следующие действия:

  1. Создайте имя роли для группы пользователей, которые должны иметь одинаковые разрешения доступа (например, Разработчик, DevOps, Поддержка, QA, Бухгалтерия, Продажи и т. д.).

  2. Определите IP-адреса и диапазоны, доступные для созданной роли (например, сети для администраторов, подсети для DevOps-инженеров, ресурсы для разработчиков и т. д.).

  3. При добавлении каждого IP-адреса или диапазона, выберите один или несколько ранее добавленных типов трафика, либо добавьте один или несколько новых типов трафика.

Одна роль может иметь комбинированный доступ к различным сегментам вашей инфраструктуры. Например, локальный администратор может иметь доступ ко всем IP-адресам одной сети и к нескольким отдельным ресурсам в других сетях.

Администратор также может настроить несколько типов IP-блоков для обращения к одним и тем же ресурсам, если некоторым ресурсам требуются дополнительные разрешения доступа. Например, роль Разработчик может иметь доступ по HTTPS ко всем ресурсам в подсети и ограниченный доступ по SSH только к одному серверу.

Подсказка

Мы рекомендуем блокировать исходящий трафик с SSH-серверов на локальном маршрутизаторе, чтобы предотвратить обход контроля доступа. Если это решение по каким-либо причинам неприменимо, установите дополнительный коннектор на каждом SSH-сервере и поместите этот сервер в изолированную сеть VLAN.

При добавлении или обновлении роли, администратор также может обновить список пользователей для этой роли или даже добавить нового пользователя без переключения на панель Пользователи.

Управление типами трафика

Наряду с добавлением или созданием типов трафика в панели Роли, вы можете управлять типами трафика в выделенной панели Типы Трафика:

../_images/10_traf_types_init.png

По умолчанию доступен стандартный неудаляемый тип трафика Any, разрешающий прием пакетов для всех протоколов и портов. При создании нового типа трафика, доступны шаблоны правил для распространенных протоколов и портов. Если вам необходимо создать правило, отсутствующее в списке шаблонов, вы можете создать свой тип трафика.

Чтобы добавить новый тип трафика из шаблона:

  1. Нажмите на кнопку Добавить.

  2. Выберите тип трафика из выпадающего списка Выберите шаблон: например, HTTPS (TCP порт 443).

  3. При необходимости, добавьте в выбранный шаблон новые правила или измените существующие: для этого нажмите на кнопки Добавить правило или Изменить.

../_images/12_add_template.png

При добавлении или изменении правила, укажите условия совпадения параметров пакета:

  • по протоколу;

  • по порту назначения.

Затем назначьте соответствующее действие при выполнении условий:

  • Разрешить - пропускать пакеты;

  • Запретить - отклонять пакеты.

../_images/11_add_type.png

Чтобы создать новый тип трафика:

  1. Нажмите на кнопку Добавить.

  2. Нажмите на строку Создайте свой тип.

  3. Введите имя нового типа трафика.

  4. Нажмите на кнопку Добавить правило, чтобы создать правило для типа трафика.

При редактировании или создании типа трафика, вы можете указать несколько правил для проверки пакетов на соответствие нескольким наборам условий. В этом случае, действуют следующие закономерности:

  • Действие Разрешить имеет приоритет: если проверка хотя бы одного набора условий завершается действием Разрешить, пакет пропускается даже в том случае, если проверки других типов трафика завершаются действием Запретить.

  • Пакет отбрасывается только в том случае, если ни один из проверяемых наборов условий не завершился действием Разрешить: иными словами, ни одно правило не совпало с параметрами пакета, либо все совпадающие правила вызывали действие Запретить. Эта закономерность соответствует принципу ZTNA: доступ к ресурсу запрещен по умолчанию, если нет эксплицитного разрешения.