Управление ролями пользователей и контролем доступа

Управление доступом на основе ролей (RBAC) - это мощный механизм безопасности, реализованный в Security Center и обеспечивающий надежный и гибкий подход к управлению ролями пользователей и привилегиями доступа. RBAC позволяет организациям назначать пользователям определенные роли и права, исходя из их обязанностей и требований в экосистеме безопасности приложений.

Роли

Роль представляет собой предопределенный набор прав, назначаемых пользователям. Например, если у пользователя есть роль с доступом к определенным продуктам, он может читать и редактировать настройки этих продуктов (включая правила Авто Валидатора и Дедупликатора, которые влияют на эти продукты).

Чтобы узнать, как создавать и редактировать пользователей в Security Center, см. страницу Управление пользователями.

Встроенные роли

Security Center оснащен двумя встроенными ролями, которые служат основой для управления доступом и правами пользователей:

Встроенная роль	Права	Описание
superuser	Создание, редактирование и удаление ролей и учетных записей пользователей Управление глобальными настройками Редактирование настроек продукта Управление всеми типами продуктов	Роль высшего уровня, автоматически создаваемая в процессе развертывания Security Center. Как суперпользователь, эта роль обладает всеми правами, доступными в платформе.
default	Нет прав	Встроенная роль, не имеющая назначенных прав. Когда пользователь изначально добавляется в Security Center без какой-либо явно назначенной роли, ему автоматически назначается роль по умолчанию. Пользователи с ролью по умолчанию имеют ограниченный доступ в платформе. Они могут только просматривать глобальные настройки, но не могут их изменять.

Встроенная роль

Права

Описание

superuser

Создание, редактирование и удаление ролей и учетных записей пользователей
Управление глобальными настройками
Редактирование настроек продукта
Управление всеми типами продуктов

Роль высшего уровня, автоматически создаваемая в процессе развертывания Security Center. Как суперпользователь, эта роль обладает всеми правами, доступными в платформе.

default

Нет прав

Встроенная роль, не имеющая назначенных прав. Когда пользователь изначально добавляется в Security Center без какой-либо явно назначенной роли, ему автоматически назначается роль по умолчанию. Пользователи с ролью по умолчанию имеют ограниченный доступ в платформе. Они могут только просматривать глобальные настройки, но не могут их изменять.

Пользовательские роли

В то время как встроенные роли, такие как superuser и default, являются отправной точкой, пользовательские роли позволяют осуществлять более тонкий контроль над привилегиями пользователей и согласовывать доступ с конкретными должностными обязанностями. Вот несколько причин, по которым организациям стоит задуматься о создании пользовательских ролей:

Гранулярное управление доступом: пользовательские роли позволяют точно определить, к каким действиям и функциям Security Center должен иметь доступ каждый пользователь. Создавая роли в соответствии с конкретными обязанностями, организации могут предоставлять пользователям соответствующий уровень доступа, необходимый для эффективного выполнения их задач, предотвращая при этом несанкционированный доступ к конфиденциальным функциям или данным.
Безопасность и соответствие нормативным требованиям: пользовательские роли позволяют организациям обеспечить соблюдение мер безопасности и соответствия нормативным требованиям, ограничивая доступ к критически важным функциям. Назначая разрешения на основе принципа наименьших привилегий, организации могут снизить риск несанкционированных действий, минимизировать потенциальные уязвимости и обеспечить соответствие отраслевым нормам и внутренним политикам безопасности.
Оптимизация рабочего процесса: пользовательские роли могут быть разработаны для оптимизации рабочих процессов и развития взаимодействия. Создавая роли, соответствующие различным должностным функциям, команды могут эффективно управлять своими задачами и сосредоточиться на своих конкретных обязанностях в процессе обеспечения безопасности приложений.

Инструкции по созданию и редактированию ролей в Security Center см. в руководстве «Создание и редактирование ролей». В нем содержатся пошаговые инструкции по настройке ролей, назначению разрешений и изменению существующих ролей.

Назначение нескольких ролей

Портал поддерживает назначение пользователям нескольких ролей, обеспечивая гибкий и универсальный подход к доступу и правам пользователей.

Вот как это работает в Security Center:

Неограниченное количество пользователей и ролей: Security Center не имеет ограничений по количеству пользователей, которые могут быть добавлены в систему. Организации могут подключать столько пользователей, сколько необходимо, гарантируя, что у каждого из них будет своя учетная запись в платформе. Аналогично, нет ограничений на количество создаваемых ролей.
Комбинации ролей: пользователям может быть назначена любая комбинация ролей в Security Center. Это означает, что одному пользователю может быть назначено несколько ролей одновременно.

Права

Права играют решающую роль в определении действий и функций, которые пользователи могут выполнять в платформе.

Эти права могут быть назначены ролям, что позволяет точно настроить доступ пользователей. Ниже перечислены доступные права в Security Center:

Права	Описание
Возможность управления ролями и пользователями	Пользователи с этими правами обладают административными привилегиями при управлении пользователями в Security Center. Они могут создавать пользовательские роли, изменять существующие роли, создавать новые учетные записи пользователей, назначать или удалять роли для других пользователей (т. е. имеют доступ к вкладке "Пользователи и роли").
Возможность управления глобальными настройками	Роли с этими правами могут вносить изменения в параметры конфигурации, влияющие на всю платформу, такие как глобальные настройки (вкладки "Сканеры" и "Метрики") и настройки интеграции (вкладка "Интеграции").
Возможность редактирования настроек продукта	Роли с этими правами имеют возможность изменять настройки конкретных продуктов (права "Может управлять всеми типами продуктов", "Имеет доступ к продуктам с типами" и "Имеет доступ к продуктам" определяют, какие продукты доступны для роли). Эти настройки включают такие параметры, как тип продукта, ключи проекта Jira и связанные с продуктом теги.
Может управлять всеми типами продуктов	Эти права предоставляют роли полный контроль над всеми типами продуктов и их настройками, обеспечивая полный доступ к управлению и настройке любого продукта, доступного на платформе.
Имеет доступ к продуктам с типами	Эти права позволяют администраторам указывать типы продуктов, к которым имеет доступ та или иная роль.
Имеет доступ к продуктам	Позволяет администраторам указывать отдельные продукты, к которым имеет доступ та или иная роль.

Права

Описание

Возможность управления ролями и пользователями

Пользователи с этими правами обладают административными привилегиями при управлении пользователями в Security Center. Они могут создавать пользовательские роли, изменять существующие роли, создавать новые учетные записи пользователей, назначать или удалять роли для других пользователей (т. е. имеют доступ к вкладке "Пользователи и роли").

Возможность управления глобальными настройками

Роли с этими правами могут вносить изменения в параметры конфигурации, влияющие на всю платформу, такие как глобальные настройки (вкладки "Сканеры" и "Метрики") и настройки интеграции (вкладка "Интеграции").

Возможность редактирования настроек продукта

Роли с этими правами имеют возможность изменять настройки конкретных продуктов (права "Может управлять всеми типами продуктов", "Имеет доступ к продуктам с типами" и "Имеет доступ к продуктам" определяют, какие продукты доступны для роли). Эти настройки включают такие параметры, как тип продукта, ключи проекта Jira и связанные с продуктом теги.

Может управлять всеми типами продуктов

Эти права предоставляют роли полный контроль над всеми типами продуктов и их настройками, обеспечивая полный доступ к управлению и настройке любого продукта, доступного на платформе.

Имеет доступ к продуктам с типами

Эти права позволяют администраторам указывать типы продуктов, к которым имеет доступ та или иная роль.

Имеет доступ к продуктам

Позволяет администраторам указывать отдельные продукты, к которым имеет доступ та или иная роль.

Поддержка RBAC в Авто валидаторе и Дедупликаторе

Ролевые права позволяют точно контролировать взаимодействие пользователей с правилами в Авто и Дедупликатор е, обеспечивая эффективную сортировку и дедупликацию найденных уязвимостей.

В таблице ниже показаны различия в управлении и доступе в зависимости от наличия продукта в Security Center:

Уровень прав	Видимость роли	Редактирование роли	Добавление/удаление продуктов из ролей
Нет доступа (для роли нет доступных типов продуктов/продуктов, влияющих на это правило)	Скрыта	Н/Д	Н/Д
Частичный доступ (хотя бы один продукт из этого правила доступен для роли)	Показана	Запрещено	Разрешено (только продукты, которые специально назначены для данной роли)
Полный доступ (все продукты в правиле доступны для роли)	Показана	Разрешено	Разрешено

Уровень прав

Видимость роли

Редактирование роли

Добавление/удаление продуктов из ролей

Нет доступа (для роли нет доступных типов продуктов/продуктов, влияющих на это правило)

Скрыта

Н/Д

Частичный доступ (хотя бы один продукт из этого правила доступен для роли)

Показана

Запрещено

Разрешено (только продукты, которые специально назначены для данной роли)

Полный доступ (все продукты в правиле доступны для роли)