Vue d’ensemble du RBAC

Mise en œuvre et concepts de RBAC Tanium

Le contrôle d’accès basé sur les rôles (RBAC) vous permet de configurer des permissions granulaires, qui contrôlent ce que les utilisateurs de la console Tanium et de l’API peuvent voir et faire avec Tanium Core Platform, et les endpoints qu’ils peuvent surveiller et gérer. Les permissions dérivent des personas, rôles et groupes d’ordinateurs affectés aux comptes d’utilisateur et que les utilisateurs héritent des groupes d’utilisateurs. La mise en œuvre Tanium de RBAC implique les concepts clés et les objets de configuration suivants.

Permissions

Les permissions définissent les activités qu’un utilisateur est autorisé à effectuer dans Tanium Core Platform :

  • Les permissions de lecture permettent aux utilisateurs d’afficher les objets. Par exemple, la permission Read Package (Lire le package) permet aux utilisateurs d’afficher la page Administration (Administration) > Content (Contenu) > Packages (Packages).
  • Les permissions d’écriture permettent aux utilisateurs de créer, modifier ou supprimer des objets. Par exemple, la permission Write Package (Écrire un package) permet aux utilisateurs de créer, modifier ou supprimer des configurations de package.
  • Les permissions d’exécution permettent aux utilisateurs d’exécuter des processus (tels que l’initialisation des endpoints pour Tanium™ Patch), d’utiliser des comptes de service (tels que le compte de service Tanium™ Connect) ou d’effectuer des opérations d’API (par le biais de l’API Tanium™ Detect, par exemple).
  • Les permissions de suppression permettent aux utilisateurs de supprimer des objets qui dépassent le périmètre des permissions d’écriture. Par exemple, une permission de suppression est requise pour supprimer les fichiers de connexion de endpoint en direct dans la réponse à la menace Tanium.
  • Les permissions spéciales permettent aux utilisateurs d’effectuer des activités qui dépassent le périmètre des autres permissions. Par exemple, la plupart des modules disposent d’une permission Show (Afficher) qui permet aux utilisateurs d’afficher les interfaces du module.

Lorsque vous affichez ou configurez des rôles, Tanium Core Platform regroupe les permissions en fonction des catégories suivantes :

  • Les permissions de contenu de plateforme contrôlent l’accès aux types de contenu qui s’appliquent à tous les modules Tanium et qui sont attribués aux Content Sets. Par exemple, vous pouvez attribuer des permissions pour les sensors, les packages et les questions enregistrées dans le Content Set par défaut.
  • Les permissions de module contrôlent l’accès aux interfaces de module, aux fonctionnalités et au contenu spécifique au module (tels que les données de tendances Tanium™).
  • Les permissions d’administration contrôlent l’accès aux pages Administration (Administration) > Permissions (Permissions) et aux pages Administration (Administration) > Configuration (Configuration) de Tanium Console.
  • Les permissions globales contrôlent l’accès aux activités qui sont disponibles uniquement pour les rôles réservés (comme la gestion des Content Sets).

Les permissions définissent les activités de lecture, d’écriture et d’exécution qu’un utilisateur est autorisé à effectuer dans Tanium Core Platform

  • Les permissions du Content Set déterminent l’accès aux plug-ins, groupes de filtres, sensors, packages, questions enregistrées, tableaux de bord et catégories spécifiés.
  • Les permissions micro admin déterminent l’accès aux pages d’administration du système de la console Tanium.
  • Les permissions de module déterminent l’accès aux interfaces et aux fonctions des modules de solution Tanium.
  • Les permissions globales déterminent les droits d’accès aux activités spécifiées dans tous les modules, par exemple, la possibilité de créer et de gérer des Content Set.

Pour plus de détails, reportez-vous à la section Permissions de rôles implicites et Permissions de rôles en vigueur.

Rôles

Un rôle spécifie les permissions d’attribution pour les activités autorisées ou les permissions de refus pour les activités interdites. Vous pouvez affecter les types de rôles suivants aux utilisateurs et groupes d’utilisateurs :

  • Les rôles personnalisés sont des rôles que vous créez pour attribuer une combinaison de permissions d’administration, de contenu de plateforme, de module et globales.
  • Les rôles avancés sont des rôles existants prédéfinis qui attribuent des permissions de contenu de plateforme qui s’appliquent à tous les modules Tanium au lieu de modules spécifiques.
  • Les rôles avancés attribuent des permissions de Content Set qui s’appliquent à tous les modules Tanium au lieu de modules spécifiques.
  • Les rôles de module sont des rôles prédéfinis qui attribuent des permissions pour des activités et du contenu spécifiques au module.
  • Les rôles de module (attribution uniquement) attribuent des permissions pour des activités et du contenu spécifiques au module.
  • Les rôles de micro admin attribuent des permissions pour les activités administratives dans Tanium Core Platform, telles que la configuration des sous-réseaux isolés du Tanium Client.
  • Les rôles réservés sont des rôles prédéfinis qui affectent des permissions globales pour des capacités particulières qui sont au-delà du périmètre des autres rôles, comme la personnalisation de Tanium Console.

Pour plus de détails et de tâches associées, reportez-vous à la section Gestion des rôles.

Content Sets

Un Content Set est un groupe d’objets de configuration (tels que des sensors, des packages et des questions enregistrées), pour lesquels les permissions contrôlent l’accès. Les permissions de contenu de plateforme contrôlent l’accès au contenu qui s’applique à tous les modules. Les permissions de module contrôlent l’accès au contenu spécifique au module, tel que les données de tendances Tanium. Les actions ne sont pas explicitement considérées comme du contenu, mais sont traitées comme appartenant au même Content Set que les packages utilisés. Tanium fournit plusieurs Content Sets prédéfinis via le Content pack par défaut et les modules Tanium. Vous pouvez créer un Content Set pour contenir un contenu personnalisé ou adapter les modifications dans la configuration RBAC du déploiement Tanium. Vous pouvez affecter un objet de contenu à un seul Content Set. Un rôle peut spécifier des permissions pour plusieurs Content Sets. Pour plus de détails et des tâches connexes, reportez-vous à la section Gestion des Content Sets.

utilisateurs

La configuration d’utilisateur Tanium associe des personas, des groupes d’utilisateurs, des groupes d’ordinateurs et des rôles à un compte d’utilisateur. Un utilisateur peut dispose d’un ou de plusieurs rôles d’attribution et de refus. Les utilisateurs n’ont pas d’autres permissions que celles associées à leurs rôles. Un utilisateur sans rôle peut se connecter, mais est dirigé vers une page indiquant des permissions insuffisantes. Un utilisateur peut avoir un ou plusieurs groupes d’ordinateurs. Il peut être dépourvu de groupe d’utilisateurs ou en avoir plusieurs. Chaque utilisateur a un persona par défaut. Il peut être dépourvu de personas alternatifs ou en avoir plusieurs. Pour authentifier les utilisateurs lorsqu’ils accèdent à la console Tanium ou à l’API, vous pouvez configurer un service d’authentification à distance ou utiliser le service d’authentification local au serveur Tanium. Pour plus de détails et de tâches associées, reportez-vous à la section Gestion des utilisateurs.

Groupe d’utilisateurs

Une configuration de groupe d’utilisateurs Tanium associe des personas, des groupes d’ordinateurs et des rôles à un ensemble d’utilisateurs héritant de toutes les permissions du groupe d’utilisateurs. Un groupe d’utilisateurs peut être dépourvu d’utilisateurs ou en compter plusieurs. Il peut avoir un rôle et un groupe d’utilisateurs ou en compter plusieurs. Chaque groupe d’utilisateurs possède un persona par défaut. Il peut être dépourvu de personas alternatifs ou en avoir plusieurs. Pour plus de détails et des tâches connexes, reportez-vous à la section Gestion des groupes d’utilisateurs.

Groupes d’ordinateurs

Les utilisateurs Tanium peuvent émettre des questions et déployer des actions uniquement aux endpoints qui appartiennent à un groupe de gestion d’ordinateurs affecté aux utilisateurs ou à leurs groupes d’utilisateurs. Les utilisateurs Tanium utilisent des groupes de filtres d’ordinateurs dans les questions et les résultats des questions. Les utilisateurs peuvent utiliser uniquement les groupes de filtres affectés à un Content Set associé à un rôle. Le rôle doit être affecté aux utilisateurs ou à leurs groupes d’utilisateurs. Pour plus de détails et des tâches connexes, reportez-vous à la section Gestion des groupes d’ordinateurs.

Personas

Tous les comptes d’utilisateur ont un persona prédéfini par défaut, qui est le persona qui s’applique lorsque les utilisateurs se connectent à Tanium Console. Lorsque vous utilisez le persona par défaut, un utilisateur dispose de permissions dérivées de tous les rôles et groupes d’ordinateurs affectés à ce persona. Le persona par défaut d’un utilisateur fournit également des permissions héritées des personas par défaut des groupes d’utilisateurs auxquels l’utilisateur est affecté. Après avoir choisi un persona alternatif, l’utilisateur n’a que les permissions dérivées des rôles et des groupes d’ordinateurs affectés à ce persona. Pour plus de détails et des tâches connexes, reportez-vous à la section Gestion des personas.

La figure suivante illustre les relations entre ces composants RBAC. Les flèches indiquent comment affecter les composants pour configurer les permissions d’utilisateur. Le surlignage jaune indique la meilleure pratique pour configurer les permissions : affecter des rôles et des groupes d’ordinateurs à des personas alternatifs et affecter les personas alternatifs aux groupes d’utilisateurs. Notez que les rôles et les groupes d’ordinateurs que vous affectez directement aux groupes d’utilisateurs et aux comptes d’utilisateur sont affectés de manière efficace au persona par défaut de ces groupes d’utilisateurs et utilisateurs.

F : Figure 1 :  Relations et affectations entre les composants RBAC

Vue d’ensemble de la configuration de RBAC

Les étapes suivantes récapitulent le workflow pour configurer le RBAC. Les étapes expliquent également comment les composants interagissent pour définir les permissions en vigueur des utilisateurs lorsqu’ils accèdent à la console Tanium sous différents personas. Les chiffres de ces étapes décrivent deux groupes d’utilisateurs pour illustrer les implications d’affectation de rôles et de groupes d’ordinateurs aux personas alternatifs et aux personas par défaut.

Avant de commencer ce workflow, passez en revue les détails importants et les meilleures pratiques décrites dans Planifier votre implémentation du RBAC.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD, configurez les importations avant de configurer le RBAC (reportez-vous à la section Intégration aux serveurs LDAP).

  1. Configurez des rôles personnalisés. Notez que les rôles avec des permissions de contenu de plateforme et des permissions de moduleles rôles avancés et les rôles de module appliquent des permissions aux Content Sets. Les packs de contenus et les modules de solution Tanium fournissent des contenus et des Content Sets prédéfinis. Vous pouvez également créer des contenus et des Content Sets personnalisés.

    La figure suivante affiche un exemple avec trois rôles personnalisés (A, C, D) et un rôle de module prédéfini (B).

    La figure suivante affiche un exemple avec deux rôles avancés (A et D), un rôle de module (B) et un rôle de micro admin (C).

    F : Figure 2 :  Configuration des rôles d’utilisateur

    La figure suivante illustre les relations entre le contenu, les Content Sets et les permissions dans chaque configuration de rôle (rôles A à D dans la F : Figure 2).

    F : Figure 3 :  Permissions de rôle et Content Sets

    Pour obtenir plus de détails et consulter des procédures connexes sur les rôles, reportez-vous à la section Gestion des rôles.

  2. Définissez les groupes de gestion d’ordinateurs.

    F : Figure 4 :  Configurations de groupes de gestion d’ordinateurs

    Pour obtenir plus de détails et consulter des procédures connexes sur les groupes d’ordinateurs, reportez-vous à la section Gestion des groupes d’ordinateurs.

  3. Définissez des personas alternatifs. Pour chaque persona, affectez des rôles et des groupes de gestion d’ordinateurs.

    F : Figure 5 :  Configurations des persona alternatifs

    Pour obtenir plus de détails et consulter des procédures connexes sur les personas, reportez-vous à la section Gestion des personas.

  4. Configurez les groupes d’utilisateurs que vous avez importés depuis les serveurs LDAP ou ajoutez manuellement des groupes locaux au serveur Tanium. Vous pouvez affecter des personas alternatifs à chaque groupe d’utilisateurs, des rôles et des groupes de gestion d’ordinateurs au persona par défaut de chaque groupe d’utilisateurs.

    F : Figure 6 :  Configurations de groupe d’utilisateurs

    Pour obtenir plus de détails et consulter des procédures connexes sur les groupes d’utilisateurs, reportez-vous à la section Gestion des groupes d’utilisateurs.

  5. Configurez les comptes d’utilisateurs que vous avez importés depuis les serveurs LDAP ou ajoutez manuellement des comptes locaux au serveur Tanium. Affectez des personas alternatifs et des groupes d’utilisateurs à chaque utilisateur. Vous pouvez également affecter des rôles et des groupes d’ordinateurs au persona par défaut de chaque utilisateur.

    F : Figure 7 :  Configurations utilisateur

    Pour obtenir plus de détails et consulter des procédures connexes sur les utilisateurs, reportez-vous à la section Gestion des utilisateurs.

  6. Connectez-vous à Tanium Console. Pour chaque utilisateur, le persona par défaut est actif par défaut et possède des permissions pour tous les rôles et groupes de gestion d’ordinateurs directement affectés au compte d’utilisateur ou hérités des groupes d’utilisateurs.

    Dans cet exemple, le rôle RBAC_Administrator et le groupe d’ordinateurs HQ sont affectés au persona par défaut de l’utilisateur. L’utilisateur hérite également des permissions du rôle de surveillance et du groupe d’ordinateurs Europe_Branch qui sont affectés au groupe d’utilisateurs Europe.

    F : Figure 8 :  Connexion en tant que persona par défaut
  7. Lorsque l’utilisateur passe à un persona alternatif pour la session de la console Tanium, il dispose uniquement de permissions pour les rôles et les groupes de gestion d’ordinateurs qui sont affectés à ce persona.

    Dans la figure suivante, l’utilisateur sélectionne le persona NAM_Monitor hérité du groupe d’utilisateurs NAM.

    F : Figure 9 :  Sélection d’un persona alternatif (exemple 1)

    Dans la figure suivante, l’utilisateur sélectionne le persona APAC_Trends affecté au compte d’utilisateur (persona par défaut).

    F : Figure 10 :  Sélection d’un persona alternatif (exemple 2)

La figure suivante montre le workflow complet pour configurer les permissions en vigueur des trois personas dans cet exemple.

F : Figure 11 :  Workflow de configuration du RBAC

Planifier votre implémentation du RBAC

Vous trouverez ci-dessous des éléments importants et les meilleures pratiques pour discuter avec votre équipe et l’assistance Tanium (consultez la section Contacter l’assistance Tanium) lorsque vous planifierez la mise en œuvre du RBAC pour le déploiement Tanium.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP (Lightweight Directory Access Protocol) ou d’un serveur Active Directory (AD), faites-le avant de configurer le RBAC. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

Convention de dénomination

Avant de configurer des rôles personnalisés, des Content Sets, des groupes d’ordinateurs et d’autres objets du RBAC, définissez une convention de dénomination qui permet aux utilisateurs Tanium de déterminer facilement l’objectif de chaque objet et de le distinguer des objets similaires fournis par Tanium qui sont importés via des modules Tanium et des packs de contenus. Il est important de distinguer les objets personnalisés car il est recommandé de ne pas modifier les objets fournis par Tanium (reportez-vous à la section Conseil 4 : limiter les personnalisations du contenu Tanium). Par exemple, vous pouvez utiliser le nom de votre organisation comme préfixe dans les noms d’objets personnalisés.

Groupes de gestion d’ordinateurs

Identifiez les ensembles de endpoints que vous souhaitez gérer en tant que groupe dans le cadre des opérations effectuées par les utilisateurs et les modules Tanium. Par exemple, vous pouvez configurer des groupes d’ordinateurs en fonction de l’emplacement géographique de votre organisation, avec un groupe par région. Vous pouvez également baser les groupes d’ordinateurs sur la fonction (comme les centres de données et les succursales) ou tout autre critère.

Les groupes d’ordinateurs peuvent se chevaucher. Par exemple, un groupe d’ordinateurs pour tous les endpoints Windows peut inclure des endpoints qui appartiennent également aux groupes d’ordinateurs basés sur la région ou la fonction. Assurez-vous de prendre en compte l’impact d’un chevauchement lors de la configuration et de l’affectation des groupes d’ordinateurs. Par exemple, vous souhaiterez peut-être que les utilisateurs d’un centre d’opérations de sécurité disposent des droits de gestion des endpoints Windows afin de pouvoir déployer des mises à jour de sécurité. Cependant, il se peut que vous ne souhaitiez pas que ces utilisateurs disposent des droits de gestion pour le sous-ensemble de endpoints Windows qui stockent des informations financières sensibles.

Basez l’appartenance des groupe d’ordinateurs sur les filtres basés sur les sensors et non sur les listes définies manuellement. Cela permet un contrôle granulaire des endpoints à inclure ou à exclure dans les groupes.

Content Sets

Décidez du mode d’organisation des permissions de Content Sets pour contrôler l’accès aux données spécifiques et déployer des actions sur les endpoints. La meilleure pratique consiste à vérifier que le contenu de tout jeu particulier est similaire pour réduire le risque d’affectation de permissions involontaires aux rôles d’utilisateur. Vous pouvez organiser les Content Sets en fonction des éléments suivants :

  • Capacité : permissions de lecture ou d’écriture
  • Type de contenu : questions enregistrées, sensors ou packages, par exemple
  • Objet : administration du client Tanium ou administration du système Windows, par exemple

Pour le contenu fourni par les modules Tanium et les Content Packs, conservez les objets de contenus dans leurs Content Sets d’origine fournis par Tanium. Pour maintenir cette pratique lors du déplacement du contenu entre les Content Sets, créez des copies du contenu fourni par Tanium et déplacez-les à la place des versions originales. Avant de poursuivre, Contacter l’assistance Tanium si vous devez déplacer le contenu d’origine fourni par Tanium.

Rôles

Voici les meilleures pratiques pour gérer les rôles :

  • Configurez les rôles personnalisés qui spécifient les permissions du module avant de configurer les rôles qui spécifient le contenu de la plateforme ou les permissions d’administration. Les permissions du module donnent accès à un module spécifique et fournissent souvent des permissions supplémentaires de contenu de plateforme et d’administration.
  • Configurez les rôles du module avant les rôles avancés ou les rôles micro admin. Les permissions du module donnent accès à un module spécifique et fournissent souvent des permissions supplémentaires de type avancé et micro admin.
  • Lors de la configuration des rôles, profitez de leur modularité et de leur effet cumulatif sur les permissions d’utilisateur. Par exemple, au lieu de créer un rôle avec toutes les permissions dont un utilisateur particulier a besoin, et de créer un autre rôle avec des permissions légèrement différentes pour un autre utilisateur, créez plusieurs rôles avec des jeux de permissions réduits mais uniques. Vous pouvez ensuite combiner et associer ces rôles minimalistes à plusieurs utilisateurs pour obtenir les mêmes permissions en vigueur que les rôles individuels disposant de permissions complètes. Pour plus de détails, reportez-vous à la section Permissions de rôles en vigueur.

Ne modifiez pas les rôles du module fourni par Tanium. Le processus de mise à niveau ou de réimportation d’un module écrase les configurations des rôles du module, ainsi que toutes les modifications que vous avez apportées.

Personas

Vous pouvez réaffecter des personas alternatifs à plusieurs utilisateurs et groupes d’utilisateurs. En revanche, chaque persona par défaut est propre à un seul utilisateur ou à un seul groupe et vous ne pouvez pas le réaffecter. Par conséquent, la meilleure pratique pour modulariser les permissions consiste à affecter des rôles et des groupes d’ordinateurs à des personas alternatifs plutôt qu’à des personas par défaut. Cette pratique simplifie la mise à jour de votre mise en œuvre RBAC, le cas échéant, par exemple lorsque les utilisateurs quittent ou rejoignent votre organisation, ou lorsqu’ils se déplacent entre des groupes d’utilisateurs.

Utilisateurs et groupes d’utilisateurs

Support LDAP

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP (Lightweight Directory Access Protocol) ou d’un serveur Active Directory (AD), faites-le avant d’effectuer d’autres tâches du RBAC. Le serveur Tanium est synchronisé automatiquement avec le serveur LDAP toutes les cinq minutes et vous pouvez synchroniser manuellement à tout moment. La synchronisation met à jour le serveur Tanium en utilisant les modifications apportées sur le serveur LDAP, y compris les utilisateurs nouveaux ou supprimés, les groupes d’utilisateurs nouveaux ou supprimés, et les modifications apportées aux membres des groupes. Vous pouvez également utiliser un serveur LDAP pour authentifier les utilisateurs importés. Pour plus de détails et de tâches associées, reportez-vous à la section Intégration aux serveurs LDAP.

Permissions de groupe d’utilisateurs

Contrôlez les permissions au niveau du groupe d’utilisateurs plutôt qu’au niveau de l’utilisateur. L’affectation des groupes d’ordinateurs, des rôles, des personas, et des utilisateurs aux groupes d’utilisateurs minimise l’effort administratif nécessaire pour mettre à jour la configuration du RBAC. Ainsi, au lieu de modifier les affectations de rôles pour les personas de chaque utilisateur pouvant rejoindre ou quitter votre organisation, ou dont les responsabilités peuvent changer, vous pouvez configurer des groupes d’utilisateurs dotés de filtres basés sur des sensors pour ajuster dynamiquement l’appartenance du groupe en cas de modifications.

Permissions d’utilisateur

Pour identifier les permissions nécessaires, définissez les missions de chaque équipe au sein de votre organisation via le système Tanium. Pour être plus précis, tenez compte des éléments suivants :

  • Quels utilisateurs doivent accéder aux workbenches du module Tanium et au contenu du module ?
  • Souhaitez-vous utiliser la permission Permission Administrator (Administrateur de permissions) rôle réservé Administrateur pour affecter tous les privilèges d’administrateur à quelques utilisateurs ou affecter des permissions d’administration granulaires qui attribuent ou refusent un accès en lecture et en écriture spécifique aux pages Administration (Administration) > Configuration (Configuration) ?

Authentification SAML

Vous pouvez utiliser un fournisseur d’identité SAML pour fournir une authentification SSO pour les utilisateurs de la console Tanium. Pour plus de détails et de tâches associées, reportez-vous à la section Intégration à un PDi SAML.