RBACの概要

Tanium RBACの実装および概念

RBACにより、個々のTanium ConsoleおよびAPI ユーザがTanium Core Platformで何を表示および実行できるか、そしてどのエンドポイントを監視、管理できるかを詳細に制御するアクセス権限を設定できます。アクセス権限は、ユーザアカウントが割り当てられ、また、ユーザがユーザグループから継承するペルソナ、ロール、コンピュータグループから得られます。RBACのTanium実装には、次の主要な概念と設定オブジェクトが含まれます。

アクセス権限

アクセス権限は、Tanium Core Platformでユーザに実行許可するアクティビティを定義します。

読み取りアクセス権限は、オブジェクトの表示を許可します。たとえば、パッケージの読み取り権限があると、ユーザは [Administration (運用管理)] > [Content (コンテンツ)] > [Packages (パッケージ)] ページを表示できます。
書き込みアクセス権限があると、ユーザはオブジェクトを作成、編集、削除することができます。たとえば、パッケージの書き込みアクセス権限があると、ユーザはパッケージ構成を作成、編集、削除することができます。
実行アクセス権限があると、ユーザはプロセスの実行(Tanium™ Patch用にエンドポイントの初期化など)、サービスアカウントの使用(Tanium™ Connectサービスアカウントなど)、API操作(Tanium™ Detect APIを使用した操作など)を行うことができます。
削除アクセス権限があると、書き込みアクセス権限範囲外にあるオブジェクトを削除することができます。たとえば、Tanium Threat Responseでライブのエンドポイント接続ファイルを削除するには、削除アクセス権限が必要です。
特別アクセス権限があると、ユーザは他のアクセス権限範囲外のアクティビティを実行できます。たとえば、ほとんどのモジュールには、ユーザがモジュールのワークベンチを表示することを許可する表示アクセス権限があります。

ロールの表示または設定では、Tanium Core Platformは次のカテゴリに基づいてアクセス権限をグループ化します。

プラットフォームコンテンツアクセス権限は、すべてのTaniumモジュールに適用され、コンテンツセットに割り当てられているコンテンツタイプへのアクセスを制御します。たとえば、Defaultコンテンツセットのセンサー、パッケージ、および保存済みQuestionに対するアクセス権限を割り当てることができます。
モジュールアクセス権限は、モジュールのワークベンチ、機能、およびモジュール別のコンテンツ(Tanium™ Trendsのデータなど)に対するアクセス権を制御します。
管理アクセス権限は、Tanium Consoleの [Administration (運用管理)] > [Permissions (アクセス権限)] ページと [Administration (運用管理)] > [Configuration (構成)] ページに対するアクセスを制御します。
グローバルアクセス権限は、予約ロールでのみ使用できるアクティビティ(コンテンツセットの管理など)に対するアクセスを制御します。

アクセス権限は、Tanium Core Platformでユーザに実行許可する読み取り、書き込み、実行アクティビティを定義します。

特定のプラグイン、フィルタグループ、センサー、パッケージ、保存済みQuestion、ダッシュボード、カテゴリに対するアクセス権は、コンテンツセットアクセス権限によって決まります。
マイクロ管理者アクセス権限は、Tanium Consoleのシステム管理ページへのアクセスを決定します。
モジュールのアクセス許可は、Taniumソリューションモジュールワークベンチおよび機能へのアクセス権を決定します。
グローバルアクセス権限は、コンテンツセットを作成および管理する機能など、あらゆるモジュールにまたがって指定されるアクティビティを行うアクセス権を決定します。

詳しくは暗黙のアクセス権限および有効なロールのアクセス権限を参照してください。

ロール

ロールは、許可されたアクティビティのアクセス権限の付与または禁止されているアクティビティのアクセス権限の拒否を指定します。ユーザまたはユーザグループには次の種類のロールを割り当てることができます。

カスタムロールは、運用管理、プラットフォームコンテンツ、モジュール、グローバルアクセス権限の組み合わせを割り当てるために作成するロールです。
高度なロールは、特定のTaniumモジュールではなく、すべてのTaniumモジュールに適用されるプラットフォームコンテンツのアクセス権限を割り当てる定義済みのレガシーロールです。
高度なロールは、特定のTaniumモジュールではなく、すべてのTaniumモジュールに適用されるコンテンツセットアクセス権限を割り当てるです。
モジュールロールは、モジュール別のアクティビティとコンテンツに対するアクセス権限を割り当てる定義済みロールです。
モジュールロール (付与のみ)は、モジュール別のアクティビティとコンテンツに対するアクセス権限を割り当てるです。
micro adminロールでは、Tanium Core Platformの管理アクティビティ(分離Tanium Clientサブネットの構成など)に対するアクセス権限を割り当てることができます。
予約ロールは、Tanium Consoleのカスタマイズなどの、他のロールの範囲外にある特別な用途の機能に対するグローバルアクセス権限を割り当てる定義済みロールです。

関連するタスクと詳細についてはロールの管理を参照してください。

コンテンツセット

コンテンツセットとは、アクセス権限によってアクセス権を制御する構成オブジェクト(センサー、パッケージ、保存済みQuestion)のグループです。プラットフォームコンテンツアクセス権限は、すべてのモジュールに適用されるコンテンツに対するアクセスを制御します。モジュール権限は、Tanium Trendsデータなどのモジュール別のコンテンツに対するアクセスを制御します。は、Tanium Trendsのデータなどのモジュール別コンテンツに対するアクセスを制御します。アクションは、明示的にはコンテンツとみなされないものの、それらが使用するパッケージと同じコンテンツセットに属するものとして扱われます。Taniumは、Default ContentパックとTaniumモジュールで定義済みコンテンツセットをいくつか提供しています。カスタムコンテンツを含めるため、またはTanium展開のRBAC設定における変更に対応するためにコンテンツセットを作成できます。個々のコンテンツオブジェクトはひとつのコンテンツセットにのみ割り当てることができます。1つのロールで、複数のコンテンツセットに対するアクセス権限を指定できます。詳細および関連するタスクについてはコンテンツセットの管理を参照してください。

ユーザ

Taniumユーザ設定は、ペルソナ、ユーザグループ、コンピュータグループ、ロールをユーザアカウントに関連付けます。ユーザは1つ以上の付与または拒否ロールを保有できます。ユーザは、自分のロールが提供するアクセス権限以外のアクセス権限を保有していません。ロールを持たないユーザはサインインできますが、アクセス権限が不足していることを示すページが表示されます。ユーザには、1つ以上のコンピュータグループとユーザグループを割り当てることができます(ユーザグループは割り当てなくてもかまいません)。すべてのユーザにはデフォルトペルソナがあり、1つ以上の代替ペルソナを所有できます(所有していなくてもかまいません)。Tanium ConsoleまたはAPIにアクセスする時にユーザを認証するには、リモート認証サービスを設定するか、Tanium Serverに対してローカルである認証サービスを使用できます。詳細と関連タスクについてはユーザの管理を参照してください。

ユーザグループ

Taniumユーザグループ設定は、ペルソナ、コンピュータグループ、ロールを、ユーザグループのすべてのアクセス権限を継承する一連のユーザに関連付けます。ユーザグループには、1つ以上のユーザ、ロール、コンピュータグループを割り当てることができます(ユーザは割り当てなくてもかまいません)。すべてのユーザグループにはデフォルトペルソナがあり、1つ以上の代替ペルソナを所有できます(所有していなくてもかまいません)。詳細と関連タスクについてはユーザグループの管理を参照してください。

コンピューターグループ

Taniumユーザは、ユーザまたはそのユーザグループに割り当てられているコンピュータ管理グループに属するエンドポイントに対してのみQuestionを発行してアクションを展開できます。Taniumユーザはコンピュータフィルタグループを、QuestionとQuestionの結果におけるフィルタとして利用します。ユーザは、ロールに関連付けられているコンテンツセットに割り当てられているフィルタグループのみを使用でき、そのロールはユーザまたはそのユーザグループに割り当てられている必要があります。詳細と関連タスクについてはコンピュータグループの管理を参照してください。

ペルソナ

すべてのユーザアカウントには定義済みのデフォルトのペルソナがあり、ユーザがTanium Consoleにサインインすると適用されます。デフォルトペルソナを使用する場合、ユーザは、そのペルソナに割り当てられているすべてのロールとコンピュータグループから得たアクセス権限を保有します。ユーザのデフォルトペルソナは、ユーザが割り当てられたユーザグループのデフォルトペルソナから継承されたアクセス権限も提供します。代替ペルソナに切り替えた後、ユーザはそのペルソナに割り当てられたロールとコンピュータグループから得たアクセス権限のみを保有します。詳細と関連タスクについてはペルソナの管理を参照してください。

以下の図は、これらのRBACコンポーネント間の関係を示しています。矢印は、ユーザのアクセス権限を設定するコンポーネントをどのように割り当てるかを示しています。黄色のハイライト表示は、アクセス権限を設定するためのベストプラクティスを示しています。ベストプラクティスは、ロールとコンピュータグループを代替ペルソナに割り当て、その代替ペルソナをユーザグループに割り当てることです。ユーザグループとユーザアカウントに直接割り当てるロールとコンピュータグループは、ユーザグループおよびユーザのデフォルトペルソナに効果的に割り当てられます。

RBAC設定の概要

以下の手順は、RBACを設定するためのワークフローをまとめたものです。また、各コンポーネントが異なるペルソナの下でTanium Consoleにアクセスする時にユーザの有効なアクセス権限を定義するにあたり、コンポーネントがどのような方法でやり取りするかについても説明してます。これらの手順の図は、ロールとコンピュータグループを代替ペルソナとデフォルトペルソナに割り当てるという異なる関係を図示するために、2つのユーザグループを示しています。

このワークフローを開始する前に、RBAC実装を計画するにおいて説明された重要な詳細とベストプラクティスを確認してください。

LDAPまたはADサーバからユーザとユーザグループをインポートする計画の場合、RBACを設定する前にインポートを設定します(LDAPサーバとの統合を参照)。

カスタムロールを設定します。プラットフォームコンテンツ権限とモジュールアクセス権限を持つロール高度なロールとモジュールロールでは、コンテンツセットに対するアクセス権限が適用されることに注意してください。Taniumコンテンツパックおよびソリューションモジュールは、定義済みのコンテンツおよびコンテンツセットを提供します。カスタムコンテンツとコンテンツセットを作成することもできます。
次の図は、3つのカスタムロール(、、)と1つの定義済みモジュールロール()の例を示しています。
次の図は、2つの高度なロール(、)と1つのモジュールロール()、1つのmicro adminロール()の例を示しています。
図2：ユーザのロール構成
次の図は、各ロール構成例のコンテンツとコンテンツセット、アクセス権限の関係を示しています(図2のロール)。
図3：ロールのアクセス権限とコンテンツセット
ロールに関連する詳細および手順についてはロールの管理を参照してください。
コンピュータ管理グループを定義します。

図4：コンピュータ管理グループの設定

コンピュータグループに関連する詳細および手順についてはコンピュータグループの管理を参照してください。
代替ペルソナを定義します。各ペルソナについて、ロールとコンピュータ管理グループを割り当てます。

図5：代替ペルソナの設定

ペルソナに関連する詳細および手順についてはペルソナの管理を参照してください。
LDAPサーバからインポートしたユーザグループを構成するか、またはTanium Serverにローカルのグループを手動で追加します。代替ペルソナを各ユーザグループに割り当て、各ユーザグループのデフォルトペルソナにロールとコンピュータ管理グループを割り当てることができます。

図6：ユーザグループの設定

ユーザグループに関連する詳細と手順についてはユーザグループの管理を参照してください。
LDAPサーバからインポートしたユーザアカウントを構成するか、Tanium Serverにローカルのアカウントを手動で追加します。代替ペルソナとユーザグループを各ユーザに割り当てます。ロールとコンピュータグループを各ユーザのデフォルトペルソナに割り当てることもできます。

図7：ユーザ設定

ユーザグルーに関連する詳細と手順についてはユーザの管理を参照してください。
Tanium Consoleにサインインします。どのユーザの場合も、デフォルトペルソナはデフォルトでアクティブであり、ユーザアカウントに直接割り当てられている、あるいはユーザグループから継承されているすべてのロールおよびコンピュータ管理グループのアクセス権限を保有しています。

この例では、[RBAC_Administrator (RBAC_管理者)]のロールとHQコンピュータグループがユーザのデフォルトペルソナに割り当てられています。ユーザは、ユーザグループ[Europe (ヨーロッパ)]に割り当てられている[Monitor (モニター)]と[Europe_Branch (ヨーロッパ_支店)]コンピュータグループからのアクセス権限も継承します。

図8：デフォルトペルソナでサインインする
ユーザがTanium Consoleセッションの代替ペルソナに切り替えると、そのユーザはそのペルソナに割り当てられたロールとコンピュータ管理グループについてのみアクセス権限を保有します。

次の図において、ユーザはNAMユーザグループから継承されているNAM_Monitorペルソナを選択しています。

図9：代替ペルソナの選択(例1)

次の図において、ユーザはユーザアカウントに割り当てられているAPAC_Trendsペルソナ(デフォルトペルソナ)を選択しています。

図10：代替ペルソナの選択(例2)

以下の図は、この例における全3個のペルソナの有効なアクセス権限を構成するための完全なワークフローを示しています。

RBAC実装を計画する

Tanium展開環境に対するRBAC実現計画を策定する際に、チームおよびTaniumサポートと検討する重要項目とベストプラクティスは以下のようになります(「Taniumサポートに問い合わせる」を参照)。

LDAP またはactive directory(AD) サーバからユーザとユーザグループをインポートする場合、それを行ってからRBACをセットアップしてください。詳しくはLDAPサーバとの統合を参照してください。

命名規則

カスタムロール、コンテンツセット、コンピュータグループ、およびその他のRBACオブジェクトを設定する前に、Taniumユーザが個々のオブジェクトの目的を簡単に判断できるよう、また、Taniumモジュールおよびコンテンツパックを介してインポートされる、類似するTanium提供オブジェクトと区別できるよう命名規則を考案します。Tanium提供のオブジェクトの変更は回避することがベストプラクティスであることから、カスタムオブジェクトの区別は重要です(「推奨4：カスタマイズをTaniumのコンテンツに限定する」を参照)。たとえば、組織名をカスタムオブジェクト名のプリフィックスとして使用できます。

コンピュータ管理グループ

Taniumユーザおよびモジュールが実行する操作に関し、グループとして管理するエンドポイントのセットを定義します。たとえば、組織の地理的組織に基づいて、各地域のグループを用いてコンピュータグループを設定できます。コンピュータグループは、機能(データセンタや拠点など)あるいはその他の基準に依拠することもできます。

コンピュータグループにおいてメンバーシップが重複する可能性があります。たとえば、すべてのWindowsエンドポイントのコンピュータグループは、地域または機能ベースのコンピュータグループのメンバーでもあるエンドポイントを含んでいる可能性があります。コンピュータグループの設定および割り当てを行う場合、メンバーシップの重複による影響について検討してください。たとえば、ユーザがセキュリティ更新を展開できるよう、そのユーザにセキュリティオペレーションセンターにおけるWindowsエンドポイント管理権限を持たせることができます。ただし、機密的な財務情報を保存するWindowsエンドポイントのサブセットの管理権限を持たせたくない場合があります。

コンピュータグループのメンバーシップを手動で定義したリストではなく、センサーに基づくフィルタに依拠することで、グループに含めるまたはグループから除外するエンドポイントをきめ細かく制御することができます。

コンテンツセット

特定のデータに対するアクセス制御およびエンドポイントにおけるアクションの展開についてコンテンツセットのアクセス権限をどのように体系化するのかを決定します。ベストプラクティスとして、特定のコンテンツセット内のコンテンツが類似し、ユーザロールに意図しないアクセス権限を割り当てるリスクを最小限に抑えられることを確認します。以下に基づいてコンテンツセットを体系化できます。

権限: 読み取り/書き込みアクセス権限
コンテンツタイプ別：たとえば、保存済みQuestion、センサー、パッケージ
主題別：たとえば、Tanium Client管理またはWindowsシステム管理

Taniumモジュールやコンテンツパックで提供されるコンテンツの場合、それらコンテンツのオブジェクトは元のTanium提供のコンテンツセットから移動しないでください。コンテンツセット間でコンテンツを移動する時にこの実践を行うには、Tanium提供コンテンツのコピーを作成し、元のバージョンではなくこのコピーを移動させます。元のTanium提供コンテンツを移動する必要がある場合は、事前にTaniumサポートに問い合わせる。

ロール

ロールを管理するためのベストプラクティスは次のとおりです。

プラットフォームのコンテンツまたは管理アクセス権限を指定するロールを構成する前に、モジュールアクセス権限を指定するカスタムロールを設定します。モジュールアクセス権限は特定のモジュールに対するアクセス権を付与し、多くの場合、追加的なプラットフォームコンテンツと管理アクセス権限を提供します。
高度またはmicro adminロールの前にモジュールロールを設定します。モジュールのアクセス権限は特定のモジュールにアクセスを付与し、多くの場合、追加的な高度なアクセス権限とマイクロ管理者アクセス権限を提供します。
ロールを設定する場合、ユーザのアクセス権限に対するモジュール性と累積効果を活用します。たとえば、特定のユーザが必要とするすべてのアクセス権限を持つロールを作成し、また別のユーザにおいてほんのわずかに異なるアクセス権限を持つ別のロールを作成する代わりに、より小さいものの一意のアクセス権限セットを持ついくつかのロールを作成します。さまざまなユーザにおいてこれらのミニマリスティックなロールをうまく組み合わせ、包括的なアクセス権限を持つ個々のロールと同じ有効なアクセス権限を達成できます。詳しくは有効なロールのアクセス権限を参照してください。

Tanium提供モジュールのロールは変更しないでください。モジュールをアップグレードまたは再インポートするプロセスにより、実施する変更に沿ってモジュールのロール設定が上書きされます。

ペルソナ

複数のユーザおよびユーザグループ間で代替ペルソナを再度割り当てることができますが、各デフォルトペルソナは単一のユーザまたはグループに固有であり、再割り当てを行えません。したがって、アクセス権限をモジュラー化するためのベストプラクティスは、デフォルトペルソナではなく代替ペルソナにロールとコンピュータグループを割り当てることです。この実践により、ユーザの組織脱退時、組織参加時、ユーザグループ間での移動時などに、必要に応じてRBAC実装の更新を簡素化できます。

ユーザとユーザグループ

LDAPサポート

LDAP またはactive directory(AD) サーバからユーザおよびユーザグループをインポートする計画の場合、その他のRBACタスクを実行する前にインポートをセットアップしてください。Tanium Serverは5分おきにLDAPサーバと自動的に同期しますが、いつでも手動で同期できます。同期によってTanium Serverは、新しいユーザまたは削除済みユーザ、新しいユーザグループまたは削除済みユーザグループ、グループメンバーシップに対する変更を含む、LDAPサーバにおいて発生したすべての変更を用いて更新されます。オプションとして、LDAP サーバを使用し、インポートされたユーザを認証できます。詳細と関連タスクについてはLDAPサーバとの統合を参照してください。

ユーザグループのアクセス権限

ユーザレベルではなくユーザグループレベルで可能な限り多くのアクセス権限を制御します。コンピュータグループ、ロール、ペルソナ、ユーザをユーザグループに割り当てると、RBACの設定を更新する上で必要な管理的な取り組みを最小限に抑えることができます。たとえば、組織に参加するか組織から脱退する個々のユーザ、あるいは責任が変更された可能性のある個々のユーザのペルソナについてロール割り当てを修正するのではなく、センサーベースのフィルタを使用するユーザグループを設定し、こうした変更が発生した時にグループのメンバーシップを動的に調整することができます。

ユーザのアクセス権限

どのアクセス権限が必要であるかを特定するため、組織の個々のチームがTaniumシステムを介して何を達成する必要があるのかを検討します。具体的には以下を検討します。

どのユーザがどのTaniumモジュールワークベンチとモジュールコンテンツにアクセスする必要があるのか？
管理者として、アクセス権限管理者アクセス権限Administrator予約ロールを使用して、少数のユーザに全管理者アクセス権限を割り当てるか、それとも、[Administration (運用管理)] > [Configuration (構成)] ページに対する読み取り/書き込みアクセス権限をページ別に付与または拒否する管理者アクセス権限をきめ細かく割り当てるのとどちらがよいのでしょうか。

SAML認証

SAML IDプロバイダ(IdP)を使用して Tanium Consoleユーザのシングルサインオン認証を提供できます。詳細と関連タスクについてはSAML IdPとの統合を参照してください。