1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ giải thích cho các bạn biết Admin Roles là gì, tác dụng của nó cũng như cách cấu hình nó trên thiết bị tường lửa Palo Alto.
2.Admin Roles là gì và công dụng của nó ?
Admin Roles là một profile dùng để xác định chi tiết các quyền truy cập quản trị đối với tài khoản quản trị mà nó được áp dụng.
Nó sẽ giúp cho người quản trị có thể phân quyền một cách hợp lý cho các tài khoản quản trị cấp thấp hơn để bảo vệ các thông số cấu hình, logs của thiết bị, các thông tin nhạy cảm của công ty và người dùng.
3.Hướng dẫn cấu hình
Mặc định trên thiết bị Palo Alto đã tạo sẵn 3 Admin Roles cho chúng ta đó là auditadmin, cryptoadmin, securityadmin.
Chúng ta sẽ cùng tìm hiểu 3 Admin Roles này gồm những quyền truy cập nào.
3.1. Audit Admin
Auditadmin được áp dụng cho các quản trị viên chuyên thu thập và phân tích các logs được ghi lại từ các hoạt động trong hệ thống mạng.
Chúng ta có thể vào Device > Admin Roles > nhấn vào auditadmin.
Lúc này chúng ta sẽ thấy auditadmin chỉ có quyền truy cập vào các phần như Monitor để xem logs, cài đặt log, xem các cảnh báo của hệ thống,…
Còn lại các phần cấu hình khác thì auditadmin không thể xem được.
3.2. Crypto Admin
Admin Roles cryptoadmin sẽ bao gồm các quyền mà auditadmin có kèm theo một số quyền như có thể cấu hình các tính năng IPSec VPN Site-to-Site, SSL VPN Global Protect, SSL/TLS Service Profile, Certificate,..
3.3.Security Admin
Admin Roles securityadmin sẽ có gần như tất cả các quyền truy cập trong tab Web UI như cấu hình Policy, NAT, Interface, Zone, xem logs, tạo các Security Profile,… và nó sẽ không có các quyền như cấu hình VPN, certificate, Gre.
Ngoài ra các bạn cũng có thể tự custom cho mình một Admin Roles theo như ý muốn của bạn.
3.4. Tạo Admin Roles
Để tạo Admin Roles các bạn vào Device > Admin Roles > nhấn Add và chúng ta sẽ có các thông số sau:
- Name: Đặt tên cho Admin Roles
- Desscription: thêm mô tả
- Web UI: đây là tab liệt kê danh sách các quyền có trên trang quản trị của thiết bị Palo Alto, các bạn có thể tùy chỉnh theo ý muốn của mình bằng cách nhấn vào biểu tượng chấm tròn bên trái của quyền, nếu nó là dấu tích xanh là cho phép còn dấu x màu đỏ là không cho phép và biểu tượng móc khóa là quyền Read only.
- XML/REST API: Đây là các quyền về sử dụng các XML hoặc REST API để tích hợp các giải pháp của bên thứ 3.
- Command Line: đây là quyền cho phép người quản trị có thể truy cập cấu hình thiết bị firewall bằng giao diện dòng lệnh.
3.5. Gán Admin Roles vào tài khoản quản trị
Sau khi tạo Admin Roles chúng ta có thể gán nó vào cho một tài khoản quản trị.
Để gán vào Device > Administrators.
Nhấn vào tên tài khoản quản trị.
Tại mục Administrator Type chọn Role Based và chọn Admin Roles từ danh sách.