RBAC-Übersicht

Tanium-RBAC-Implementierung und Konzepte

Die rollenbasierte Zugangskontrolle (RBAC) ermöglicht es Ihnen, detaillierte Berechtigungen zu konfigurieren, die kontrollieren, was einzelne Benutzer der Tanium Console und API in der Tanium Core Platform anzeigen und tun dürfen und welche Endpunkte sie überwachen und verwalten können. Die Berechtigungen stammen von Personas, Rollen und Computergruppen, die Benutzerkonten zugewiesen sind und die Benutzer von Benutzergruppen übernehmen. Die Tanium-RBAC-Implementierung umfasst die folgenden wichtigen Konzepte und Konfigurationsobjekte.

Berechtigungen

Berechtigungen definieren die Lese-, Schreib- und Ausführaktivitäten, die ein Benutzer oder eine Benutzergruppe in der Tanium Core Platform durchführen darf.

  • Inhaltsset-Berechtigungen bestimmen den Zugriff auf bestimmte Plugins, Filtergruppen, Sensoren, Pakete, gespeicherte Fragen, Übersichtsseiten und Kategorien.
  • Micro Admin-Berechtigungen bestimmen den Zugriff auf die System-Administrationsseiten der Tanium Console.
  • Modulberechtigungen bestimmen den Zugriff auf die Arbeitsplätze und Funktionen des Tanium-Lösungsmoduls.
  • Globale Berechtigungen bestimmen die Zugriffsrechte für festgelegte Aktivitäten über alle Module hinweg, beispielsweise die Möglichkeit, Inhaltssets zu erstellen und zu verwalten.

Weitere Informationen erhalten Sie unter Implizierte Rollenberechtigungen und Effektive Rollenberechtigungen.

Rollen

Eine Rolle legt gewährte Berechtigungen für erlaubte Aktivitäten oder abgelehnte Berechtigungen für verbotene Aktivitäten fest. Sie können den Personas von Benutzern und Benutzergruppen die folgenden Arten von Rollen zuweisen:

  • Erweiterte Rollen weisen Berechtigungen für Inhaltssets zu.
  • Micro Admin-Rollen weisen Tanium-System-Administratorberechtigungen zu.
  • Modulrollen (nur Gewähren) weisen Berechtigungen für Tanium-Lösungsmodule und modulspezifische Inhaltsset-Berechtigungen zu.
  • Reservierte Rollen weisen Berechtigungen zu, die spezielle Fähigkeiten ermöglichen, die andere Rollen nicht steuern können, z. B. die Anpassung der Tanium Console.

Verwandte Aufgaben und Einzelheiten finden Sie unter Verwalten von Rollen.

Inhaltssets

Ein Inhaltsset ist eine Gruppe aus Konfigurationsobjekten, einschließlich Plugins, Sensoren, Pakete, Filtergruppen, gespeicherten Fragen, Übersichtsseiten und Kategorien, für die Berechtigungen den Zugriff kontrollieren. Aktionen werden nicht explizit als Inhalt angesehen, sondern als Teil des gleichen Inhaltssets behandelt wie die Pakete, die sie verwenden. Tanium enthält im Inhaltspaket Default Content (Standard-Inhalt) und in den Tanium-Lösungsmodulen mehrere vordefinierte Inhaltssets. Sie können ein Inhaltsset erstellen, das benutzerdefinierte Inhalte oder Änderungen an der RBAC-Konfiguration Ihrer Tanium-Bereitstellung enthält. Sie können jedes Inhaltsobjekt nur einem Inhaltsset zuweisen. Eine Rolle kann Berechtigungen für mehrere Inhaltssets festlegen. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Inhaltssets.

Benutzer

Eine Tanium-Benutzerkonfiguration verknüpft Personas, Benutzergruppen, Computergruppen und Rollen mit einem Benutzerkonto. Ein Benutzer kann eine oder mehrere Gewährungs- oder Ablehnungsrollen besitzen. Benutzer besitzen keine Berechtigungen außer denen, die ihre Rollen ihnen verleihen. Ein Benutzer ohne Rollen kann sich anmelden, wird aber auf eine Seite weitergeleitet, die auf unzureichende Berechtigungen verweist. Ein Benutzer kann eine oder mehrere Computergruppen sowie keine oder mehrere Benutzergruppen besitzen. Jeder Benutzer besitzt eine Standard-Persona und kann keine oder mehrere alternative Personas besitzen. Um Benutzer zu authentifizieren, wenn sie auf die Tanium Console oder API zugreifen, können Sie einen Remote-Authentifizierungsdienst konfigurieren oder den Authentifizierungsdienst verwenden, der lokal auf dem Tanium Server vorhanden ist. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Benutzern.

Benutzergruppen

Eine Tanium-Benutzergruppen-Konfiguration ordnet Personas, Computergruppen und Rollen einem Satz von Benutzern zu, die alle Berechtigungen der Benutzergruppe übernehmen. Eine Benutzergruppe kann keine oder mehrere Benutzer und eine oder mehrere Rollen und Computergruppen enthalten. Jede Benutzergruppe besitzt eine Standard-Persona und kann keine oder mehrere alternative Personas besitzen. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Benutzergruppen.

Computergruppen

Tanium-Benutzer können nur an Endpunkte Fragen ausgeben und Aktionen verteilen, die zu einer Computer-Verwaltungsgruppe gehören, die den Personas der Benutzer oder ihrer Benutzergruppen zugewiesen ist. Tanium-Benutzer verwenden Computer-Filtergruppen als Filter in Fragen und Fragenergebnissen. Benutzer können nur die Filtergruppen verwenden, die einem Inhaltsset zugewiesen sind, das einer Rolle zugeordnet ist, und die Rolle muss den Personas der Benutzer oder ihrer Benutzergruppen zugewiesen sein. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Computergruppen.

Personas

Alle Benutzerkonten verfügen über eine vordefinierte Standard-Persona, dabei handelt es sich um die Persona, die gilt, wenn Benutzer sich bei der Tanium Console anmelden. Bei der Verwendung der Standard-Persona besitzt ein Benutzer die Berechtigungen aller Rollen und Computergruppen, die dieser Persona zugewiesen sind. Die Standard-Persona eines Benutzers stellt auch Berechtigungen bereit, die von den Standard-Personas von Benutzergruppen übernommen wurden, denen der Benutzer zugewiesen ist. Nach dem Umschalten auf eine alternative Persona besitzt der Benutzer nur die Berechtigungen der Rollen und Computergruppen, die dieser Persona zugewiesen sind. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Personas.

Die folgende Abbildung veranschaulicht die Beziehungen zwischen diesen RBAC-Komponenten. Die Pfeile zeigen an, wie Sie die Komponenten zuweisen, um Benutzerberechtigungen zu konfigurieren. Die gelbe Markierung zeigt das bewährte Verfahren zur Konfiguration von Berechtigungen an: Weisen Sie Rollen und Computergruppen an alternative Personas und die alternativen Personas an Benutzergruppen zu. Beachten Sie, dass die Rollen und Computergruppen, die Sie direkt an Benutzergruppen und Benutzerkonten zuweisen, effektiv der Standard-Persona dieser Benutzergruppen und Benutzer zugewiesen werden.

Abbildung 1:  Beziehungen und Zuweisungen zwischen RBAC-Komponenten

Übersicht über die RBAC-Konfiguration

Die folgenden Schritte fassen den Arbeitsablauf für die RBAC-Konfiguration zusammen. Die Schritte erklären auch, wie die Komponenten interagieren, um die effektiven Berechtigungen von Benutzern zu definieren, wenn diese mit verschiedenen Personas auf die Tanium Console zugreifen. Die Abbildungen in diesen Schritten zeigen zwei Benutzergruppen, um die unterschiedlichen Auswirkungen der Zuweisung von Rollen und Computergruppen zu alternativen Personas und Standard-Personas zu veranschaulichen.

Bevor Sie diesen Arbeitsablauf beginnen, lesen Sie die wichtigen Details und bewährten Verfahren, die unter Planen Sie Ihre RBAC-Implementierung beschrieben sind.

Wenn Sie planen, Benutzer und Benutzergruppen von einem LDAP- oder AD-Server zu importieren, konfigurieren Sie die Importe, bevor Sie RBAC konfigurieren (siehe Integration mit LDAP-Servern).

  1. Definieren Sie Rollen. Beachten Sie, dass erweiterte Rollen und Modulrollen Berechtigungen auf Inhaltssets anwenden. Tanium-Inhaltspakete und -Lösungsmodule enthalten vordefinierte Inhalte und Inhaltssets. Sie können auch benutzerdefinierte Inhalte und Inhaltssets erstellen.

    Die folgende Abbildung zeigt ein Beispiel mit zwei erweiterten Rollen (A und D), einer Modulrolle (B) und einer Micro Admin-Rolle (C).

    Abbildung 2:  Konfigurationen für Benutzerrollen

    Die nächste Abbildung veranschaulicht die Beziehungen zwischen Inhalten, Inhaltssets und Berechtigungen in jeder Beispiel-Rollenkonfiguration (Rollen A bis D in Abbildung 2).

    Abbildung 3:  Rollenberechtigungen und Inhaltssets

    Für Details und Verfahren im Zusammenhang mit Rollen siehe Verwalten von Rollen.

  2. Definieren Sie Computer-Verwaltungsgruppen.

    Abbildung 4:  Konfigurationen für Computer-Verwaltungsgruppen

    Für Details und Verfahren im Zusammenhang mit Computergruppen siehe Verwalten von Computergruppen.

  3. Definieren Sie alternative Personas. Weisen Sie für jede Persona Rollen und Computer-Verwaltungsgruppen zu.

    Abbildung 5:  Konfigurationen für alternative Personas

    Für Einzelheiten und Verfahren im Zusammenhang mit Personas siehe Verwalten von Personas.

  4. Konfigurieren Sie die Benutzergruppen, die Sie von LDAP-Servern importiert haben, oder fügen Sie manuell Gruppen hinzu, die lokal auf dem Tanium Server vorhanden sind. Sie können jeder Benutzergruppe alternative Personas zuweisen und der Standard-Persona jeder Benutzergruppe Rollen und Computer-Verwaltungsgruppen zuweisen.

    Abbildung 6:  Benutzergruppen-Konfigurationen

    Für Details und Verfahren im Zusammenhang mit Benutzergruppen siehe Verwalten von Benutzergruppen.

  5. Konfigurieren Sie die Benutzerkonten, die Sie von LDAP-Servern importiert haben, oder fügen Sie manuell Konten hinzu, die lokal auf dem Tanium Server vorhanden sind. Weisen Sie jedem Benutzer alternative Personas und Benutzergruppen zu. Sie können auch der Standard-Persona jedes Benutzers Rollen und Computergruppen zuweisen.

    Abbildung 7:  Benutzerkonfigurationen

    Für Details und Verfahren im Zusammenhang mit Benutzern siehe Verwalten von Benutzern.

  6. Melden Sie sich bei der Tanium Console an. Für jeden Benutzer ist die Standard-Persona standardmäßig aktiv und verfügt über Berechtigungen für alle Rollen und Computer-Verwaltungsgruppen, die direkt dem Benutzerkonto zugewiesen sind oder von Benutzergruppen übernommen werden.

    In diesem Beispiel werden die Rolle RBAC_Administrator und die Computergruppe HQ der Standard-Persona des Benutzers zugewiesen. Der Benutzer übernimmt außerdem Berechtigungen von der Rolle Monitor (Überwacher) und von der Computergruppe Europe_Branch (Niederlassung_Europa), die der Benutzergruppe Europe (Europa) zugewiesen sind.

    Abbildung 8:  Als Standard-Persona anmelden
  7. Wenn der Benutzer für die Tanium Console-Sitzung zu einer alternativen Persona wechselt, verfügt dieser Benutzer nur über die Berechtigungen für die Rollen und Computer-Verwaltungsgruppen, die dieser Persona zugewiesen sind.

    In der folgenden Abbildung wählt der Benutzer die Persona NAM_Monitor aus, die von der Benutzergruppe NAM übernommen wird.

    Abbildung 9:  Eine alternative Persona auswählen (Beispiel 1)

    In der nächsten Abbildung wählt der Benutzer die Persona APAC_Trends aus, die dem Benutzerkonto zugewiesen ist (Standard-Persona).

    Abbildung 10:  Eine alternative Persona auswählen (Beispiel 2)

Die folgende Abbildung zeigt den vollständigen Arbeitsablauf, um die effektiven Berechtigungen aller drei Personas in diesem Beispiel zu konfigurieren.

Abbildung 11:  Arbeitsablauf für die RBAC-Konfiguration

Planen Sie Ihre RBAC-Implementierung

Im Folgenden finden Sie wichtige Punkte und bewährte Verfahren, die Sie mit Ihrem Team und dem technischen Account Manager (TAM) besprechen können, wenn Sie die RBAC-Implementierung für Ihre Tanium-Bereitstellung planen.

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, tun Sie dies, bevor Sie RBAC einrichten. Einzelheiten finden Sie unter Integration mit LDAP-Servern.

Aktualisierungen

Wenn Sie eine Aktualisierung für die Tanium Core Platform 7.0 oder älter durchführen, lesen Sie den KB-Artikel Einrichten des RBAC nach der Aktualisierung der Tanium Core Platform.

Namenskonvention

Bevor Sie benutzerdefinierte Rollen, Inhaltssets, Computergruppen und andere RBAC-Objekte konfigurieren, sollten Sie eine Namenskonvention erstellen, die es Tanium-Benutzern ermöglicht, schnell den Zweck jedes Objekts zu bestimmen und es von ähnlichen, von Tanium bereitgestellten Objekten zu unterscheiden, die über Tanium-Module und Inhaltspakete importiert werden. Die Unterscheidung von benutzerdefinierten Objekten ist wichtig, da es sich um ein bewährtes Verfahren handelt, um eine Änderung der von Tanium bereitgestellten Objekte zu vermeiden (siehe Tipp 4: Beschränken Sie die Anpassung auf Tanium-Inhalte). Sie können beispielsweise den Namen Ihrer Organisation als Präfix in den Namen von benutzerdefinierten Objekten verwenden.

Computer-Verwaltungsgruppen

Identifizieren Sie die Sätze von Endpunkten, die Sie in Bezug auf Operationen, die Tanium-Benutzer und -Module ausführen, als Gruppe verwalten möchten. Sie können beispielsweise Computergruppen basierend auf der geografischen Organisation Ihres Unternehmens konfigurieren, wobei für jede Region eine Gruppe erstellt wird. Sie können Computergruppen auch auf ihrer Funktion (wie Rechenzentren und Niederlassungen), ihrem Betriebssystem (Windows, macOS und Linux) oder anderen Kriterien basieren lassen.

Computergruppen können eine sich überlappende Mitgliedschaft besitzen. Eine Computergruppe für alle Windows-Endpunkte kann beispielsweise Endpunkte beinhalten, die auch Mitglieder von regions- oder funktionsbasierten Computergruppen sind. Denken Sie daran, die Auswirkungen der sich überlappenden Mitgliedschaft bei der Konfiguration und Zuweisung von Computergruppen zu berücksichtigen. Beispielsweise möchten Sie vielleicht Benutzern in einem Security Operations Center Verwaltungsrechte für Windows-Endpunkte verleihen, sodass die Benutzer Sicherheits-Updates verteilen können. Sie möchten jedoch nicht, dass diese Benutzer Verwaltungsrechte für die Untergruppe von Windows-Endpunkten besitzen, die sensible Finanzinformationen speichern.

Die Mitgliedschaft in der Computergruppe auf Grundlage sensorbasierter Filter anstelle von manuell definierten Listen ist ein bewährtes Verfahren und ermöglicht eine abgestufte Kontrolle darüber, welche Endpunkte in die Gruppen eingeschlossen oder aus ihnen ausgeschlossen werden sollen.

Inhaltssets

Legen Sie fest, wie die Inhaltsset-Berechtigungen für die Steuerung des Zugriffs auf bestimmte Daten und der Verteilung von Aktionen an verwaltete Endpunkte organisiert werden soll. Als bewährtes Verfahren sollten Sie sicherstellen, dass sich die Inhalte in einem bestimmten Inhaltsset ähneln, um das Risiko für die Zuweisung unbeabsichtigter Berechtigungen an Benutzerrollen zu minimieren. Sie können Inhaltssets basierend auf Folgendem organisieren:

  • Fähigkeit: Lesen oder Schreiben
  • Inhaltstyp: beispielsweise gespeicherte Fragen, Sensoren oder Pakete
  • Thematik: zum Beispiel die Tanium Client-Administration oder Windows-Systemadministration

Für Inhalte, die über Tanium-Module und Inhaltspakete bereitgestellt werden, ist das bewährte Verfahren, die Inhaltsobjekte in ihren ursprünglichen, von Tanium bereitgestellten Inhaltssets zu belassen. Um diese Praxis aufrechtzuerhalten, wenn Sie Inhalte zwischen Inhaltssets verschieben, erstellen Sie Kopien der von Tanium bereitgestellten Inhalte und verschieben Sie die Kopien anstelle der Originalversionen. Wenn Sie die von Tanium bereitgestellten Inhalte verschieben müssen, konsultieren Sie bitte Ihren technischen Account Manager, bevor Sie fortfahren.

Rollen

Die folgenden Vorgehensweisen sind bewährte Verfahren bei der Verwaltung von Rollen:

  • Konfigurieren Sie die Modulrollen vor den erweiterten oder Micro Admin-Rollen. Modulberechtigungen gewähren Zugriff auf ein bestimmtes Modul und enthalten häufig zusätzliche erweiterte und Micro Admin-Berechtigungen.
  • Wenn Sie Rollen konfigurieren, nutzen Sie deren Modularität und kumulative Auswirkungen auf Benutzerberechtigungen. Anstatt beispielsweise eine Rolle mit allen Berechtigungen zu erstellen, die ein bestimmter Benutzer benötigt, und eine andere Rolle mit nur geringfügig unterschiedlichen Berechtigungen für einen anderen Benutzer, erstellen Sie mehrere Rollen mit weniger, aber einzigartigen Berechtigungen. Sie können dann diese minimalistischen Rollen für verschiedene Benutzer kombinieren, um dieselben effektiven Berechtigungen zu erzielen wie bei einzelnen Rollen, die über umfassende Berechtigungen verfügen. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

Ändern Sie keine von Tanium bereitgestellten Modulrollen. Der Prozess der Aktualisierung oder des erneuten Imports eines Moduls überschreibt die Modul-Rollenkonfigurationen sowie alle daran vorgenommenen Änderungen.

Personas

Sie können alternative Personas mehreren Benutzern und Benutzergruppen zuweisen, wohingegen jede Standard-Persona nur für einen einzelnen Benutzer oder eine einzelne Gruppe gilt, Sie können diese auch nicht neu zuweisen. Daher besteht das bewährte Verfahren für die Modularisierung von Berechtigungen darin, Rollen und Computergruppen alternativen Personas anstelle von Standard-Personas zuzuweisen. Diese Praktik vereinfacht die Aktualisierung Ihrer RBAC-Implementierung, wenn dies erforderlich ist, z. B. wenn Benutzer Ihre Organisation verlassen oder ihr beitreten oder wenn sie zwischen Benutzergruppen wechseln.

Benutzer und Benutzergruppen

LDAP-Unterstützung

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, richten Sie die Importe ein, bevor Sie andere RBAC-Aufgaben erledigen. Der Tanium Server synchronisiert sich automatisch alle fünf Minuten mit dem LDAP-Server und Sie können die Synchronisierung jederzeit manuell durchführen. Die Synchronisierung aktualisiert den Tanium Server mit allen Änderungen, die auf dem LDAP-Server stattgefunden haben, einschließlich neuer oder gelöschter Benutzer, neuer oder gelöschter Benutzergruppen und Änderungen an Gruppenmitgliedschaften. Optional können Sie einen LDAP -Server zur Authentifizierung der importierten Benutzer verwenden. Einzelheiten und verwandte Aufgaben finden Sie unter Integration mit LDAP-Servern.

Berechtigungen für Benutzergruppen

Steuern Sie Berechtigungen so weit wie möglich auf Benutzergruppenebene anstatt auf Benutzerebene. Die Zuweisung von Computergruppen, Rollen, Personas und Benutzern an Benutzergruppen minimiert die administrativen Anstrengungen, die erforderlich sind, um Ihre RBAC-Konfiguration zu aktualisieren. Anstatt beispielsweise die Rollenzuweisungen der Personas jedes Benutzers zu verändern, die Ihrer Organisation beitritt oder sie verlässt oder dessen Verantwortlichkeiten sich verändern, können Sie Benutzergruppen konfigurieren, die sensorbasierte Filter verwenden, um die Gruppenmitgliedschaft dynamisch anzupassen, wenn solche Änderungen auftreten.

Benutzerberechtigungen

Um zu ermitteln, welche Berechtigungen benötigt werden, überlegen Sie, was jedes Team in Ihrer Organisation mithilfe des Tanium-Systems erreichen muss. Beachten Sie insbesondere Folgendes:

  • Welche Benutzer benötigen Zugriff auf welche Tanium-Modularbeitsplätze und -Modulinhalte?
  • Möchten Sie die globale Administrator-Berechtigung verwenden, um einigen Benutzern die vollständigen Administratorberechtigungen oder detaillierte Micro Admin-Berechtigungen zuzuweisen, die den seitenspezifischen Lese- und Schreibzugriff auf die Administrationsseiten der Tanium Console gewähren oder ablehnen?

SAML-Authentifizierung

Sie können einen SAML-Identitätsanbieter (IdP) verwenden,  um eine SSO-Authentifizierung für Benutzer der Tanium Console bereitzustellen. Einzelheiten und verwandte Aufgaben finden Sie unter Integration mit einem SAML-IdP.