Vue d’ensemble du RBAC

Mise en œuvre et concepts de RBAC Tanium

Le contrôle d’accès basé sur les rôles (RBAC) vous permet de configurer des permissions granulaires, qui contrôlent ce que les utilisateurs de la Tanium Console et de l’API peuvent voir et faire avec Tanium Core Platform, et les endpoints qu’ils peuvent surveiller et gérer. Les permissions dérivent des personas, rôles et groupes d’ordinateurs affectés aux comptes d’utilisateur et que les utilisateurs héritent des groupes d’utilisateurs. La mise en œuvre Tanium de RBAC implique les concepts clés et les objets de configuration suivants.

Pour enquêter sur les problèmes liés au RBAC et trouver une mesure de remédiation, reportez-vous à la section Résoudre les problèmes de contrôle d’accès basé sur les rôles (Role-based access control, RBAC).

Examinez et, si nécessaire, mettez à jour les configurations RBAC chaque trimestre pour vous assurer que les utilisateurs peuvent accéder à toutes les fonctionnalités Tanium dont ils ont besoin, mais sans avoir accès aux informations sensibles dont ils n’ont pas besoin. Reportez-vous au Guide d’utilisation de Tanium Maintenance : Examinez et mettez à jour les permissions de RBAC et les paramètres d’authentification.

Permissions

Les permissions définissent les fonctionnalités et les objets de configuration auxquels les utilisateurs peuvent accéder sur Tanium Core Platform. Une configuration des rôles spécifie une ou plusieurs activités à autoriser ou à interdire pour chaque permission attribuée au rôle :

Activité Description
Lire Les permissions de lecture contrôlent la visibilité des objets. Par exemple, la permission de lecture Package (Package) détermine si les utilisateurs peuvent ouvrir la page Administration (Administration) > Content (Contenu) > Packages (Packages) et afficher les configurations de package.
Écrire Les permissions d’écriture contrôlent la capacité à créer, modifier ou supprimer des objets. Par exemple, la permission d’écriture Package (Package) détermine si les utilisateurs peuvent créer, modifier ou supprimer des configurations de package.
Exécution Les permissions d’exécution contrôlent la capacité à :
  • Exécuter des processus, tels que l’initialisation d’endpoints pour Tanium™ Patch.

  • Utiliser des comptes de service, tels que le compte de service Tanium™ Connect.

  • Effectuer des opérations disponibles sur les API, par exemple via l’API de Tanium™ Detect.

Supprimer

Les permissions de suppression contrôlent la capacité à supprimer des objets qui dépassent le périmètre des permissions d’écriture. Par exemple, la permission de suppression Threat Response Live Connection File (Fichier de connexion en direct du module Réponse aux menaces) contrôle la capacité à supprimer un fichier sur un endpoint pendant une connexion en direct.

Spéciales Les permissions spéciales contrôlent la capacité à effectuer des activités qui dépassent le périmètre des autres permissions. Par exemple, la plupart des modules disposent d’une permission Show (Afficher) qui détermine si les utilisateurs peuvent afficher les interfaces du module.

Les pages de configuration pour les permissions de rôle, d’utilisateur, de groupe d’utilisateurs et de groupe de personas sont basées sur le type de fonctionnalités et d’objets de configuration pour lesquels les permissions contrôlent l’accès :

Type de fonctionnalités ou d’objets Description
Contenu de la plateforme Les permissions de contenu de plateforme contrôlent l’accès aux types de contenu qui s’appliquent à tous les modules Tanium et qui sont attribués aux Content Sets. Par exemple, vous pouvez attribuer des permissions pour les sensors, les packages et les questions enregistrées dans le Content Set Default (Par défaut).
Module Les permissions de module contrôlent l’accès aux interfaces de module, aux fonctionnalités et au contenu spécifique au module (tels que les données de tendances Tanium™).
Administration Les permissions d’administration contrôlent l’accès aux pages Administration (Administration) > Permissions (Permissions) et aux pages Administration (Administration) > Configuration (Configuration) de Tanium Console.
Mondial Les permissions globales contrôlent l’accès aux activités exclusivement conçues pour les rôles réservés. Par exemple, seul le rôle réservé Administrator (Administrateur) a la permission de gérer la licence Tanium.

Pour en savoir plus, reportez-vous aux sections Autorisations de rôle fournies et Afficher les permissions de rôle en vigueur.

Rôles

Un rôle spécifie des permissions d’autorisation pour les activités autorisées ou des permissions d’interdiction pour les activités interdites. Vous attribuez les rôles aux utilisateurs, aux groupes d’utilisateurs et aux personas alternatifs pour contrôler l’accès des utilisateurs aux fonctionnalités et aux objets de configuration de Tanium. Pour obtenir plus de détails et consulter les procédures connexes, reportez-vous à la section Gestion des rôles et aux best practices pour Rôles.

Content Sets

Un Content Set est un groupe d’objets de configuration (tels que des sensors, des packages et des questions enregistrées) pour lesquels des permissions contrôlent l’accès au niveau défini. Par exemple, vous pouvez configurer un rôle qui applique la permission de lecture Sensor (Sensor) à tous les sensors du Content Set Base (De base). Un Content Set peut contenir le contenu de la plateforme (tel que les sensors) qui s’applique à l’ensemble des modules ou du contenu spécifique au module (par exemple les données Tanium Trends). Vous ne pouvez pas attribuer explicitement des actions à un Content Set, mais elles appartiennent effectivement au même content set que leurs packages associés. Tanium fournit plusieurs Content Sets prédéfinis via les solutions Tanium. Vous pouvez créer un Content Set pour contenir un contenu personnalisé ou adapter les modifications dans la configuration RBAC du déploiement Tanium. Vous pouvez affecter un objet de contenu à un seul Content Set. Par exemple, vous ne pouvez pas affecter le sensor Domain Name (Nom de domaine) aux Content Sets Base (De base) et Default (Par défaut), bien que vous puissiez déplacer le sensor d’un ensemble à l’autre. Un rôle peut appliquer une permission à plusieurs Content Sets. Pour plus de détails et les tâches associées, reportez-vous à la section Gestion des Content Sets et aux meilleures pratiques en matière de Content Sets.

Utilisateurs

La configuration d’utilisateur Tanium associe des personas, des groupes d’utilisateurs, des groupes d’ordinateurs et des rôles à un compte d’utilisateur. Un utilisateur peut disposer d’un ou de plusieurs rôles. Les utilisateurs n’ont pas d’autres permissions que celles associées à leurs rôles. Un utilisateur sans rôle peut se connecter, mais est dirigé vers une page indiquant des permissions insuffisantes. Un utilisateur peut avoir un ou plusieurs groupes d’ordinateurs. Il peut être dépourvu de groupe d’utilisateurs ou en avoir plusieurs. Chaque utilisateur a un persona par défaut. Il peut être dépourvu de personas alternatifs ou en avoir plusieurs. Pour authentifier les utilisateurs lorsqu’ils accèdent à la Tanium Console ou à l’API, vous pouvez configurer un service d’authentification à distance ou utiliser le service d’authentification local au Tanium Server. Pour plus de détails et les tâches associées, reportez-vous à la section Gestion des utilisateurs et aux meilleures pratiques en matière de Permissions d’utilisateur.

Groupe d’utilisateurs

Une configuration de groupe d’utilisateurs Tanium associe des personas, des groupes d’ordinateurs et des rôles à un ensemble d’utilisateurs héritant de toutes les permissions du groupe d’utilisateurs. Un groupe d’utilisateurs peut être dépourvu d’utilisateurs ou en compter plusieurs. Il peut avoir un rôle et un groupe d’utilisateurs ou en compter plusieurs. Chaque groupe d’utilisateurs possède un persona par défaut. Il peut être dépourvu de personas alternatifs ou en avoir plusieurs. Pour plus de détails et les tâches associées, reportez-vous à la section Gérer des groupes d’utilisateurs et aux meilleures pratiques en matière de Permissions de groupe d’utilisateurs.

Groupes d’ordinateurs

Les utilisateurs Tanium peuvent émettre des questions et déployer des actions uniquement aux endpoints qui appartiennent à un groupe de gestion d’ordinateurs affecté aux utilisateurs ou à leurs groupes d’utilisateurs. Les utilisateurs Tanium utilisent des groupes de filtres d’ordinateurs dans les questions et les résultats des questions. Les utilisateurs peuvent utiliser uniquement les groupes de filtres affectés à un Content Set associé à un rôle. Le rôle doit être affecté aux utilisateurs ou à leurs groupes d’utilisateurs. Pour plus de détails et les tâches associées, reportez-vous à la section Gestion des groupes d’ordinateurs et aux meilleures pratiques en matière de Groupes de gestion d’ordinateurs.

Personas

Tous les comptes d’utilisateur ont un persona prédéfini par défaut, qui est le persona qui s’applique lorsque les utilisateurs se connectent à Tanium Console. Lorsque vous utilisez le persona par défaut, un utilisateur dispose de permissions dérivées de tous les rôles et groupes d’ordinateurs affectés à ce persona. Le persona par défaut d’un utilisateur fournit également des permissions héritées des personas par défaut des groupes d’utilisateurs auxquels l’utilisateur est affecté. Après avoir choisi un persona alternatif, l’utilisateur n’a que les permissions dérivées des rôles et des groupes d’ordinateurs affectés à ce persona. Pour plus de détails et les tâches associées, reportez-vous à la section Gestion des personas et aux meilleures pratiques en matière de Vue d’ensemble du RBAC.

Vue d’ensemble de la configuration de RBAC

La figure suivante illustre les relations entre les composants RBAC. Les flèches indiquent comment affecter les composants pour configurer les permissions d’utilisateur. Notez que les rôles et les groupes d’ordinateurs que vous affectez directement aux groupes d’utilisateurs et aux comptes d’utilisateur sont affectés de manière efficace au persona par défaut de ces groupes d’utilisateurs et utilisateurs.

Figure 1 : Relations et affectations entre les composants RBAC

Les étapes suivantes récapitulent le workflow pour configurer le RBAC. Les étapes expliquent également comment les composants interagissent pour définir les permissions en vigueur des utilisateurs lorsqu’ils accèdent à la Tanium Console sous différents personas. Les chiffres de ces étapes décrivent deux groupes d’utilisateurs pour illustrer les implications d’affectation de rôles et de groupes d’ordinateurs aux personas alternatifs et aux personas par défaut.

Avant de commencer ce workflow, passez en revue les détails importants et les meilleures pratiques décrites dans Planifier votre implémentation du RBAC.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD, configurez les importations avant de configurer le RBAC (reportez-vous à la section Intégration aux serveurs LDAP).

  1. Configurez des rôles personnalisés. Notez que les rôles avec des permissions de contenu de plateforme et des permissions de module appliquent des permissions aux Content Sets. Les solutions Tanium fournissent plusieurs du contenu et des Content Sets prédéfinis. Vous pouvez également créer des contenus et des Content Sets personnalisés.

    La figure suivante affiche un exemple avec un rôle système qui définit les permissions du module (G) et trois rôles personnalisés (A, C, D).

    Figure 2 : Configurations du rôle de l’utilisateur (cliquez sur l’image pour l’agrandir)

    La figure suivante illustre les relations entre le contenu, les Content Sets et les permissions dans chaque configuration de rôle (rôles A à D dans la Figure 2).

    Figure 3 : Autorisations de rôle et Content Sets (cliquez sur l’image pour l’agrandir)

    Pour obtenir plus de détails et consulter des procédures connexes sur les rôles, reportez-vous à la section Gestion des rôles.

  2. Définissez les groupes de gestion d’ordinateurs.

    Figure 4 : Configurations du groupe de gestion d’ordinateurs (cliquez sur l’image pour l’agrandir)

    Pour obtenir plus de détails et consulter des procédures connexes sur les groupes d’ordinateurs, reportez-vous à la section Gestion des groupes d’ordinateurs.

  3. Définissez des personas alternatifs. Pour chaque persona, affectez des rôles et des groupes de gestion d’ordinateurs.

    Figure 5 : Configurations des personas alternatifs (cliquez sur l’image pour l’agrandir)

    Pour obtenir plus de détails et consulter des procédures connexes sur les personas, reportez-vous à la section Gestion des personas.

  4. Configurez les groupes d’utilisateurs que vous avez importés depuis les serveurs LDAP ou ajoutez manuellement des groupes locaux au Tanium Server. Vous pouvez affecter des personas alternatifs à chaque groupe d’utilisateurs, des rôles et des groupes de gestion d’ordinateurs au persona par défaut de chaque groupe d’utilisateurs.

    Figure 6 : Configurations du groupe d’utilisateurs (cliquez sur l’image pour l’agrandir)

    Pour obtenir plus de détails et consulter des procédures connexes sur les groupes d’utilisateurs, reportez-vous à la section Gérer des groupes d’utilisateurs.

  5. Configurez les comptes d’utilisateurs que vous avez importés depuis les serveurs LDAP ou ajoutez manuellement des comptes locaux au Tanium Server. Affectez des personas alternatifs et des groupes d’utilisateurs à chaque utilisateur. Vous pouvez également affecter des rôles et des groupes d’ordinateurs au persona par défaut de chaque utilisateur.

    Figure 7 : Configurations de l’utilisateur (cliquez sur l’image pour l’agrandir)

    Pour obtenir plus de détails et consulter des procédures connexes sur les utilisateurs, reportez-vous à la section Gestion des utilisateurs.

  6. Connectez-vous à Tanium Console. Pour chaque utilisateur, le persona par défaut est actif par défaut et possède des permissions pour tous les rôles et groupes de gestion d’ordinateurs directement affectés au compte d’utilisateur ou hérités des groupes d’utilisateurs.

    Dans cet exemple, le rôle RBAC_Administrator et le groupe d’ordinateurs HQ sont affectés au persona par défaut de l’utilisateur. L’utilisateur hérite également des permissions du rôle de surveillance et du groupe d’ordinateurs Europe_Branch qui sont affectés au groupe d’utilisateurs Europe.

    Figure 8 : Connexion en tant que persona par défaut (cliquez sur l’image pour l’agrandir)
  7. Lorsque l’utilisateur passe à un persona alternatif pour la session de la Tanium Console, il dispose uniquement de permissions pour les rôles et les groupes de gestion d’ordinateurs qui sont affectés à ce persona.

    Dans la figure suivante, l’utilisateur sélectionne le persona NAM_Monitor hérité du groupe d’utilisateurs NAM.

    Figure 9 : Sélection d’un persona alternatif : exemple 1 (cliquez sur l’image pour l’agrandir)

    Dans la figure suivante, l’utilisateur sélectionne le persona APAC_Trends affecté au compte d’utilisateur (persona par défaut).

    Figure 10 : Sélection d’un persona alternatif : exemple 2 (cliquez sur l’image pour l’agrandir)

La figure suivante montre le workflow complet pour configurer les permissions en vigueur des trois personas dans cet exemple.

Figure 11 : Workflow de configuration RBAC (cliquez sur l’image pour l’agrandir)

Planifier votre implémentation du RBAC

Vous trouverez ci-dessous des éléments importants et les meilleures pratiques pour discuter avec votre équipe et l’assistance Tanium (consultez la section Contactez l’assistance Tanium) lorsque vous planifierez la mise en œuvre du RBAC pour le déploiement Tanium.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP (Lightweight Directory Access Protocol) ou d’un serveur Active Directory (AD), faites-le avant de configurer le RBAC. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

Convention de dénomination

Avant de configurer des rôles personnalisés, des Content Sets, des groupes d’ordinateurs et d’autres objets de RBAC, définissez une convention de dénomination qui permet aux utilisateurs Tanium de déterminer facilement l’objectif de chaque objet et de le distinguer des objets similaires fournis par Tanium qui sont importés via les solutions Tanium. Il est important de distinguer les objets personnalisés car il est recommandé de ne pas modifier les objets fournis par Tanium (reportez-vous à la section Conseil 4 : limitez les personnalisations du contenu Tanium). Par exemple, vous pouvez utiliser le nom de votre organisation comme préfixe dans les noms d’objets personnalisés.

Groupes de gestion d’ordinateurs

Identifiez les ensembles de endpoints que vous souhaitez gérer en tant que groupe dans le cadre des opérations effectuées par les utilisateurs et les modules Tanium. Par exemple, vous pouvez configurer des groupes d’ordinateurs en fonction de l’emplacement géographique de votre organisation, avec un groupe par région. Vous pouvez également baser les groupes d’ordinateurs sur la fonction (comme les centres de données et les succursales) ou tout autre critère.

Les groupes d’ordinateurs peuvent se chevaucher. Par exemple, un groupe d’ordinateurs pour tous les endpoints Windows peut inclure des endpoints qui appartiennent également aux groupes d’ordinateurs basés sur la région ou la fonction. Assurez-vous de prendre en compte l’impact d’un chevauchement lors de la configuration et de l’affectation des groupes d’ordinateurs. Par exemple, vous souhaiterez peut-être que les utilisateurs d’un centre d’opérations de sécurité disposent des droits de gestion des endpoints Windows afin de pouvoir déployer des mises à jour de sécurité. Cependant, il se peut que vous ne souhaitiez pas que ces utilisateurs disposent des droits de gestion pour le sous-ensemble de endpoints Windows qui stockent des informations financières sensibles.

Basez l’appartenance des groupe d’ordinateurs sur les filtres basés sur les sensors et non sur les listes définies manuellement. Cela permet un contrôle granulaire des endpoints à inclure ou à exclure dans les groupes.

Content Sets

Décidez du mode d’organisation des permissions de Content Sets pour contrôler l’accès aux données spécifiques et déployer des actions sur les endpoints. La meilleure pratique consiste à vérifier que le contenu de tout jeu particulier est similaire pour réduire le risque d’affectation de permissions involontaires aux rôles d’utilisateur. Vous pouvez organiser les Content Sets en fonction des éléments suivants :

  • Capacité : permissions de lecture ou d’écriture
  • Type de contenu : questions enregistrées, sensors ou packages, par exemple
  • Objet : administration du client Tanium ou administration du système Windows, par exemple

Pour le contenu qui est fourni via les solutions Tanium, conservez les objets de contenu dans leurs Content Sets d’origine fournis par Tanium. Pour maintenir cette pratique lors du déplacement du contenu entre les Content Sets, créez des copies du contenu fourni par Tanium et déplacez-les à la place des versions originales. Avant de poursuivre, Contactez l’assistance Tanium si vous devez déplacer le contenu d’origine fourni par Tanium.

Rôles

Voici les meilleures pratiques pour gérer les rôles :

  • Configurez les rôles personnalisés qui spécifient les permissions du module avant de configurer les rôles qui spécifient le contenu de la plateforme ou les permissions d’administration. Les permissions du module autorisent l’accès à un module spécifique et fournissent souvent des permissions supplémentaires de contenu de plateforme et d’administration.
  • Lors de la configuration des rôles, profitez de leur modularité et de leur effet cumulatif sur les permissions d’utilisateur. Par exemple, au lieu de créer un rôle avec toutes les permissions dont un utilisateur particulier a besoin, et de créer un autre rôle avec des permissions légèrement différentes pour un autre utilisateur, créez plusieurs rôles avec des jeux de permissions réduits mais uniques. Vous pouvez ensuite combiner et associer ces rôles minimalistes à plusieurs utilisateurs pour obtenir les mêmes permissions en vigueur que les rôles individuels disposant de permissions complètes. Pour plus de détails, reportez-vous à la section Afficher les permissions de rôle en vigueur.

Utilisateurs et groupes d’utilisateurs

Support LDAP

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP (Lightweight Directory Access Protocol) ou d’un serveur Active Directory (AD), configurez les importations avant d’effectuer d’autres tâches du RBAC. Le Tanium Server est synchronisé automatiquement avec le serveur LDAP toutes les cinq minutes et vous pouvez synchroniser manuellement à tout moment. La synchronisation met à jour le Tanium Server en utilisant les modifications apportées sur le serveur LDAP, y compris les utilisateurs nouveaux ou supprimés, les groupes d’utilisateurs nouveaux ou supprimés, et les modifications apportées aux membres des groupes. Vous pouvez également utiliser un serveur LDAP pour authentifier les utilisateurs importés. Pour plus de détails et de tâches associées, reportez-vous à la section Intégration aux serveurs LDAP.

Permissions de groupe d’utilisateurs

Contrôlez les permissions au niveau du groupe d’utilisateurs plutôt qu’au niveau de l’utilisateur. L’affectation des groupes d’ordinateurs, des rôles, des personas, et des utilisateurs aux groupes d’utilisateurs minimise l’effort administratif nécessaire pour mettre à jour la configuration du RBAC. Ainsi, au lieu de modifier les affectations de rôles pour les personas de chaque utilisateur pouvant rejoindre ou quitter votre organisation, ou dont les responsabilités peuvent changer, vous pouvez configurer des groupes d’utilisateurs dotés de filtres basés sur des sensors pour ajuster dynamiquement l’appartenance du groupe en cas de modifications.

Permissions d’utilisateur

Pour identifier les permissions nécessaires, définissez les missions de chaque équipe au sein de votre organisation via le système Tanium. Pour être plus précis, tenez compte des éléments suivants :

  • Quels utilisateurs doivent accéder aux workbenches du module Tanium et au contenu du module ?
  • Souhaitez-vous utiliser la permission Permission Administrator (Administrateur de permissions) le rôle réservé Administrator (Administrateur) pour affecter toutes les permissions d’administrateur à quelques utilisateurs ou affecter des permissions d’administration granulaires qui autorisent ou refusent l’accès en lecture et en écriture spécifique aux pages Administration (Administration) > Configuration (Configuration) ?

Authentification SAML

Vous pouvez utiliser un fournisseur d’identité SAML pour fournir une authentification SSO pour les utilisateurs de la Tanium Console. Pour plus de détails et de tâches associées, reportez-vous à la section Intégration à un PDi SAML.