Controlar quién accede a datos específicos dentro de su organización es vital para la seguridad, el cumplimiento y la gobernanza de datos. Mientras que el control de acceso basado en roles de New Relic gestiona a qué características puede acceder el usuario, data access control gestiona qué datos específicos puede ver el usuario.
Actualmente, el control de acceso a datos está disponible para los datos de log, lo que le permite restringir el acceso de los usuarios a particiones de log específicas.
Cómo funciona
Las grandes organizaciones generan enormes cantidades de logs en diversos equipos, servicios y entornos. Los equipos de seguridad necesitan monitorear los logs de seguridad críticos que pueden contener información de identificación personal (PII), mientras que los equipos de desarrollo solo necesitan ver los logs relevantes para sus microservicios específicos. Data access control te permite crear políticas que definen exactamente a qué particiones de log puede acceder cada equipo.
Usted crea políticas de acceso a datos que restringen el acceso a particiones de log específicas y las asigna a grupos de usuarios mediante concesiones de acceso. Los usuarios de grupos con políticas asignadas solo pueden acceder a las particiones de log permitidas por dichas políticas.
Recomendamos comenzar con un enfoque de denegación total y luego agregar políticas de licencia para otorgar acceso solo a las particiones necesarias. Esto se ajusta al principio de mínimo privilegio y garantiza que los usuarios solo accedan a los datos que necesitan.
Conceptos clave:
- Políticas de acceso a datos: Defina a qué particiones de log puede acceder el usuario mediante listas de 'permitidos' o listas de denegación.
- Asignación de políticas: Las políticas se asignan a los grupos a través de la UI Access Management*.
- Coincidencia con comodines: emplee
%como comodín para que coincida con varias particiones (por ejemplo,log_prod%coincide con todas las particiones que comienzan con "log_prod"). - Políticas múltiples: Cuando un usuario pertenece a varios grupos con políticas diferentes, se aplica el acceso más permisivo.
Importante
Los usuarios con acceso restringido aún podrían ver información de particiones de log restringidas a través de exportaciones históricas, alertas de notificación o la APIInsights . Consulte los posibles riesgos de exposición de datos para obtener detalles y medidas de mitigación.
Requisitos
Para crear y gestionar políticas de acceso a datos, debe tener:
- Cuenta Pro o edición Enterprise
- Rol de administrador de dominio de autenticación
- Tipo de usuario principal o usuario de plataforma completa
Crear y asignar políticas de acceso a datos
Puede crear y asignar políticas de acceso a datos a través de la UI o la APIde NerdGraph. Para crear una política a través de la UI, siga los siguientes pasos:
Crear una política
Vaya a one.newrelic.com > Administration > Access Management > Data access policies.
Haga clic en Create a policy (o Add a policy si tiene políticas existentes).
Introduzca un nombre para la póliza.
Seleccione una condición:
- Deny selectedBloquea el acceso a las particiones de log seleccionadas.
- Allow selectedPermite el acceso únicamente a las particiones de log seleccionadas.
Desde el menú desplegable Filter partitions by account, seleccione las cuentas para preseleccionar la lista de particiones de log.
Seleccione las particiones de log que se incluirán en la política:
- Seleccione las particiones en el menú desplegable, o
- Escriba los nombres de las particiones o comodines (por ejemplo,
log_go%para que coincidan varias particiones), separados por comas.
Haz clic en Review policy para verificar tu configuración.
Haga clic en Create policy.
La política aparece en la pestaña Data access policies. Para verlo, editarlo o eliminarlo, haga clic en el menú.
Asignar la política a un grupo
Vaya a Administration > Access Management > Grants.
Busque la subvención a la que asignar la política y, a continuación, haga clic en menú al lado.
Seleccione Add data access policy.
Desde el menú desplegable Policies, seleccione su póliza.
Haga clic en Save.
La columna Policy name muestra la política asignada. Para eliminarlo o cambiarlo, emplee el menú.
Múltiples políticas y resolución de acceso
Cuando un usuario pertenece a varios grupos con diferentes políticas de acceso a datos:
- Permitir combinación de políticas: el usuario obtiene acceso a todas las particiones permitidas en sus grupos. Por ejemplo, si el Grupo A permite
log_frontend%y el Grupo B permitelog_backend%, el usuario tiene acceso a ambos. - Anulación de políticas de denegación: Cualquier anulación de políticas de denegación permite políticas. Por ejemplo, si el Grupo A permite
log_%pero el Grupo B deniegalog_sensitive, el usuario accede a todas las particiones exceptolog_sensitive.
Para ver qué políticas se aplican a un usuario, vaya a Administration > Access Management > Grants y consulte la columna Policy name para ver sus grupos.
Riesgos potenciales de exposición de datos
Si bien el control de acceso a los datos restringe el acceso a los datos de log en la mayoría de las funciones New Relic, existen escenarios en los que el usuario aún podría ver datos restringidos:
Temas relacionados
Conceptos de gestión de usuarios
Conozca los tipos de usuario, sus roles y las capacidades de gestión de usuarios.
Gestiona usuarios con NerdGraph
Emplee la API de NerdGraph para gestionar mediante programación las licencias de usuario y de acceso.
Particiones de log
Comprenda cómo organizar sus datos de log en particiones para un mejor control y rendimiento.
Gestiona las políticas de acceso a datos mediante NerdGraph.
Aprenda a crear y gestionar políticas de acceso a datos empleando la API de NerdGraph.