Mengontrol akses ke aplikasi berdasarkan pengguna & konteks perangkat

Contoh Akses Kontekstual untuk Mode dasar

Artikel ini menjelaskan kasus penggunaan umum untuk Akses Kontekstual dan mencakup contoh konfigurasi yang dikembangkan dalam Mode dasar.

Untuk melihat contoh tingkat akses yang dikembangkan dalam Mode lanjutan (menggunakan editor CEL), buka contoh Akses Kontekstual untuk Mode lanjutan.

Mengizinkan akses ke kontraktor hanya melalui jaringan perusahaan

Banyak perusahaan yang ingin membatasi akses kontraktor ke resource perusahaan. Misalnya, perusahaan yang menggunakan kontraktor untuk menjawab panggilan dukungan umum atau bekerja di pusat bantuan dan pusat panggilan. Seperti halnya karyawan purnawaktu, kontraktor harus memiliki lisensi yang didukung agar dicakup oleh kebijakan Akses Kontekstual.

Dalam contoh ini, kontraktor mendapatkan akses ke resource perusahaan hanya dari rentang alamat IP khusus perusahaan.

Nama tingkat akses akses_kontraktor
Kontraktor mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1 Subnet IP
   74.125.192.0/18
Penetapan tingkat akses Unit organisasi untuk kontraktor
Semua aplikasi yang digunakan kontraktor

Memblokir akses dari alamat IP pembajak yang umum

Agar resource perusahaan tidak disusupi, banyak perusahaan yang memblokir akses ke sumber berisiko tinggi yang umum.

Dalam contoh ini, alamat IP 74.125.195.105 diblokir. Pengguna mendapatkan akses ke resource perusahaan jika sesinya berasal dari alamat IP lainnya. Anda dapat menentukan beberapa alamat dan rentang IP.

Nama tingkat akses memblokir_risiko_tinggi
Pengguna mendapatkan akses jika Tidak memenuhi atribut
Atribut kondisi 1 Subnet IP
   74.125.195.105
Penetapan tingkat akses Unit organisasi tingkat teratas
Semua aplikasi

Mengizinkan atau melarang akses dari lokasi tertentu

Jika memiliki karyawan yang secara rutin bepergian ke perusahaan atau kantor partner yang jauh, Anda dapat menentukan lokasi geografis tempat mereka dapat mengakses resource perusahaan.

Misalnya, jika sekelompok personel penjualan mengunjungi pelanggan di Australia dan India secara rutin, Anda dapat membatasi akses grup ke lokasi kantor mereka dan Australia serta India. Jika mereka bepergian ke negara lain untuk liburan pribadi sebagai bagian dari perjalanan bisnis, mereka tidak dapat mengakses resource perusahaan dari negara tersebut.

Dalam contoh ini, grup penjualan hanya dapat mengakses resource perusahaan dari AS (lokasi kantor), Australia, dan India.

Nama tingkat akses akses_penjualan
Tim penjualan mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1 Asal geografis
   AS, Australia, India
Penetapan tingkat akses Grup personel penjualan
 Semua aplikasi yang digunakan personel penjualan

Anda juga dapat membuat kebijakan untuk menolak akses dari negara tertentu dengan menetapkan bahwa pengguna akan mendapatkan akses jika mereka tidak memenuhi kondisi. Anda harus mencantumkan negara asal akses yang hendak diblokir.

Gunakan tingkat akses bertingkat alih-alih memilih beberapa tingkat akses selama penetapan

Dalam beberapa kasus, saat Anda mencoba menetapkan tingkat akses ke unit organisasi atau grup tertentu dan aplikasi (atau kumpulan aplikasi), Anda mungkin melihat pesan error yang meminta untuk mengurangi jumlah aplikasi atau tingkat akses.

Untuk mencegah error ini, Anda dapat mengurangi jumlah tingkat akses yang digunakan selama penetapan dengan menumpuknya menjadi satu tingkat akses. Tingkat akses bertingkat menggabungkan beberapa kondisi dengan operasi ATAU, dengan setiap kondisi yang berisi tingkat akses individual.

Dalam contoh ini, USWest, USeast, dan USCentral berada di 3 tingkat akses yang terpisah. Misalnya, Anda ingin pengguna dapat mengakses aplikasi jika memenuhi tingkat akses USWest ATAU USeast ATAU USCentral. Anda dapat membuat tingkat akses bertingkat (disebut USRegions) menggunakan operator ATAU. Jika sudah waktunya untuk menetapkan tingkat akses, tetapkan tingkat akses USRegions ke aplikasi untuk unit organisasi atau grup.

Nama Tingkat Akses

USRegions

Pengguna mendapatkan akses jika

Memenuhi atribut

Atribut kondisi 1

(hanya 1 tingkat akses per kondisi)

Tingkat akses

   USWest

Menggabungkan kondisi 1 dan kondisi 2 dengan

ATAU

Pengguna mendapatkan akses jika

Memenuhi atribut

Atribut kondisi 2

Tingkat akses

   USEast

Menggabungkan kondisi 2 dan kondisi 3 dengan 

ATAU

Pengguna mendapatkan akses jika

Memenuhi atribut

Atribut kondisi 3

Tingkat akses

   USCentral

Mewajibkan perangkat desktop, bukan perangkat seluler, milik perusahaan

Perusahaan mungkin mewajibkan perangkat desktop milik perusahaan, bukan perangkat seluler milik perusahaan.

Pertama-tama, buat tingkat akses untuk perangkat desktop:

 

Nama tingkat akses

akses_semuadesktop

Pengguna mendapatkan akses jika

Memenuhi atribut

Atribut kondisi 1

Kebijakan perangkat


Perangkat milik perusahaan diwajibkan

Enkripsi perangkat = Tidak didukung

OS Perangkat

macOS = 0.0.0

Windows = 0.0.0

Linux OS = 0.0.0

Chrome OS = 0.0.0

Kemudian, buat tingkat akses untuk perangkat seluler:

Nama tingkat akses

akses_semuaseluler

Pengguna mendapatkan akses jika

Memenuhi atribut

Atribut kondisi 1

OS Perangkat

 

iOS = 0.0.0

Android = 0.0.0

Mewajibkan keamanan perangkat dasar

Kebanyakan perusahaan enterprise kini mewajibkan karyawan mengakses resource perusahaan melalui perangkat yang dienkripsi dan memenuhi versi sistem operasi minimum. Beberapa perusahaan juga mewajibkan karyawan menggunakan perangkat milik perusahaan.

Anda dapat mengonfigurasi kebijakan ini untuk semua unit organisasi atau hanya untuk unit organisasi yang bekerja dengan data sensitif, seperti eksekutif perusahaan, keuangan, atau divisi sumber daya manusia.

Ada beberapa cara yang dapat digunakan untuk mengonfigurasi kebijakan yang mencakup enkripsi data, versi sistem operasi minimum, dan perangkat milik perusahaan. Masing-masing memiliki kelebihan dan kelemahan.

1 tingkat akses yang berisi semua persyaratan keamanan

Dalam contoh ini, atribut enkripsi perangkat, versi sistem operasi minimum, dan perangkat milik perusahaan disertakan dalam satu tingkat akses. Pengguna harus memenuhi semua kondisi untuk mendapatkan akses.

Misalnya, jika perangkat pengguna dienkripsi dan milik perusahaan, namun tidak menjalankan versi sistem operasi yang memenuhi syarat, akses mereka akan ditolak.

Kelebihan: Mudah disiapkan. Saat Anda menetapkan tingkat akses ini untuk aplikasi, pengguna harus memenuhi semua persyaratan.
Kelemahan: Untuk menetapkan persyaratan keamanan secara terpisah untuk unit organisasi yang berbeda, Anda harus membuat tingkat akses terpisah untuk setiap persyaratan keamanan.
Nama tingkat akses keamanan_perangkat
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1
(Anda dapat menambahkan semua atribut ke satu kondisi atau 
membuat 3 kondisi dan menggabungkannya dengan DAN)

Kebijakan perangkat
   Enkripsi perangkat = dienkripsi
   Perangkat milik perusahaan diwajibkan

OS perangkat
   macOS 
   Windows
   Versi Chrome

3 tingkat akses terpisah

Dalam contoh ini, atribut enkripsi perangkat, versi sistem operasi minimum, dan perangkat milik perusahaan berada di 3 tingkat akses yang terpisah. Untuk memperoleh akses, pengguna harus memenuhi kondisi di satu tingkat akses saja. Ini adalah logika ATAU dari tingkat akses.

Misalnya, pengguna yang memiliki perangkat yang dienkripsi dan menjalankan sistem operasi versi lama di perangkat pribadi akan mendapatkan akses.

Kelebihan: Cara terperinci dalam menentukan tingkat akses. Anda dapat menetapkan tingkat akses secara terpisah untuk unit organisasi yang berbeda.
Kelemahan: Pengguna harus memenuhi kondisi di satu tingkat akses saja.
Nama tingkat akses enkripsi_perangkat
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1

Kebijakan perangkat
   Enkripsi perangkat = dienkripsi

 

Nama tingkat akses perangkat_perusahaan
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1

Kebijakan perangkat
   Perangkat milik perusahaan = wajib

 

Nama tingkat akses os_minimum
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1

Kebijakan perangkat
   Versi sistem operasi minimum = 
   versi Windows Mac, Chrome

1 tingkat akses dengan tingkat akses bertingkat

Dalam contoh ini, persyaratan enkripsi perangkat, versi sistem operasi minimum, dan keamanan perangkat milik perusahaan berada di 3 tingkat akses yang terpisah. Ketiga tingkat akses tersebut ditempatkan bertingkat di dalam tingkat akses keempat.

Saat Anda menetapkan tingkat akses keempat untuk aplikasi, pengguna harus memenuhi kondisi pada masing-masing dari 3 tingkat akses bertingkat guna mendapatkan akses. Ini adalah logika DAN dari tingkat akses.

Misalnya, jika perangkat pengguna dienkripsi dan menjalankan sistem operasi lama di perangkat pribadi, akses mereka akan ditolak.

Kelebihan: Anda memiliki fleksibilitas dalam memisahkan persyaratan keamanan di semua tingkat akses 1, 2, dan 3. Dengan menggunakan tingkat akses 4, Anda juga dapat menerapkan kebijakan dengan semua persyaratan keamanan.
Kelemahan: Log audit hanya mencatat akses yang ditolak ke tingkat akses 4 (bukan ke tingkat akses 1, 2, dan 3), karena tingkat akses 1, 2, dan 3 tidak ditetapkan secara langsung untuk aplikasi.

Buat 3 tingkat akses seperti yang dijelaskan di “3 tingkat akses terpisah” di atas: “enkripsi_perangkat”, “perangkat_perusahaan”, dan “os_minimum”. Kemudian, buat tingkat akses keempat yang disebut “keamanan_perangkat” yang memiliki 3 kondisi. Setiap kondisi memiliki tingkat akses sebagai atributnya. (Anda hanya dapat menambahkan 1 atribut tingkat akses per kondisi.)
Nama tingkat akses keamanan_perangkat
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1
(hanya 1 tingkat akses per kondisi)
Tingkat akses
   enkripsi_perangkat
Menggabungkan kondisi 1 dan kondisi 2 dengan DAN
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1 Tingkat akses
   perangkat_perusahaan
Menggabungkan kondisi 2 dan kondisi 3 dengan  DAN
Pengguna mendapatkan akses jika Memenuhi atribut
Atribut kondisi 1 Tingkat akses
   os_minimum

Informasi terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
15185638655054017547
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false