セキュリティ ゾーンの理解

セキュリティ ゾーンとは、管理者が、別の管理者によって管理されている の部分を区切ることができるようにする の機能です。セキュリティ ゾーンは、関連するエンティティ(サービス、ポリシー、フォルダ、信頼できる証明書など)のコレクションです。
gateway90
セキュリティ ゾーンとは、管理者が、別の管理者によって管理されている の部分を区切ることができるようにする
Layer7 API Gateway
Layer7 API Gateway
の機能です。セキュリティ ゾーンは、関連するエンティティ(サービス、ポリシー、フォルダ、信頼できる証明書など)のコレクションです。
セキュリティ ゾーンは、組み込みのロールを拡張して、どのユーザが
Layer7 API Gateway
の何にアクセスできるかをより正確に制御できるようにします。
Layer7 API Gateway
がセキュリティ アクセスの「permissive」モデルを使用することに注意してください。これは基本的には、ユーザが特定の機能へのアクセス権を提供しないロールと提供する別のロールを持っている場合、アクセスが許可されることを意味します。
セキュリティ ゾーンを作成すると、以下の 2 つの新しいロールが自動的に追加されます。
  • View X Zone
  • Manage X Zone
「X」はセキュリティ ゾーンの名前です。これらのロールは、アクセスを制御する既存のロールと組み合わせて使用できます。
「Widget A」という名前のゾーンを定義し、そのゾーンにいくつかのアサーションおよびフォルダを追加します。「View Widget A Zone」および「Manage Widget A Zone」ロールが使用可能になります。
  • Bob には、セキュリティ ゾーンにかかわらず、任意のエンティティを表示できる「Operator」ロールがあります。Bob は、セキュリティ ゾーン ロールがない場合でも、Widget A ゾーンのアイテムを表示できます。
  • Sue には、「View any Folder where Security Zone = Widget B」カスタム ロールがあります。この場合、Sue は、セキュリティ ゾーンが Widget B であれば、任意のフォルダを表示できます。これは、必ずしもフォルダの内容へのアクセス権を Sue に与えるわけではありません。フォルダ自体へのアクセス権を与えるだけです。
  • Fred には、「Widget A」ゾーンに配置されたアサーションを表示できるロールがあります。これは、Fred は「View Widget A Zone」ロールがなくてもこれらのアサーションを使用できるということを意味します。
  • Sally には、「Manage Widget A Zone」ロールが割り当てられています。彼女には、Widget A ゾーンに現在追加されている任意のエンティティを作成、表示、更新、および削除する権限があります。その他のロールを使用して、明示的にこれらのエンティティへのアクセス権を付与する必要はありません。
セキュリティ ゾーンは、特定のアサーションへのアクセスを制御するために特に役立ちます。特定のゾーンに適切なアサーションを配置することによって、以下のように管理を委任できます。
  • ネットワーク管理者は、ソース IP アドレスなどを確認するためにポリシー フラグメントを編集できます。
  • セキュリティ管理者は、TLS およびメッセージ レベルの暗号化を処理するポリシー フラグメントを編集できます。
  • アプリケーション管理者は、XSL 変換およびその他のポリシー ロジックを作成することができます。
    (1)セキュリティ ゾーンに対する読み取り(表示)アクセス権によって、アサーションがインターフェース上のアサーション パレットに表示されます。ただし、セキュリティ ゾーンにアサーションが含まれるポリシーを保存するには、(ゾーンに対する)作成アクセス権が必要です。(2)セキュリティ ゾーンが実装されている場合、ポリシーを作成または編集するためには、「All assertions must...」複合アサーションおよびポリシーに現在含まれている(またはポリシーに追加する)すべてのアサーションを含む「Manage X Zone」ロールが必要です。
ほとんどのエンティティをセキュリティ ゾーンに配置することができます。注意すべき例外には以下が含まれます。
  • ユーザ
  • グループ
  • キーストア
  • クラスタ プロパティおよびクラスタ情報
  • サービス使用状況
  • メトリック ビン
  • ロール
  • 管理イベントおよびシステム イベントの監査レコード
  • パスワード ポリシー
  • セキュリティ ゾーン
セキュリティ ゾーンの以下の制限に注意してください。
  • エンティティは一度に 1 つのゾーンにのみ存在することができます。
  • セキュリティ ゾーンは別のセキュリティ ゾーン内に配置できません。
以下の表では、セキュリティ ゾーンのタスクの概要について説明します。
目的
参照先
セキュリティ ゾーンの追加、編集、削除
セキュリティ ゾーンの管理
セキュリティ ゾーンに対するエンティティの追加または削除
セキュリティ ゾーンの割り当て
エンティティ タイプ内のすべてのエンティティのリストの表示
セキュリティ ゾーンの管理([Entities]タブ)
セキュリティ ゾーン ロールの詳細の確認
事前定義済みのロールおよび権限
セキュリティ ゾーンの詳細が使用できない場合
セキュリティ ゾーンは、ユーザに対し、同様にゾーンに分けられたエンティティへのアクセスを制限するように設計されています。ただし、Policy Manager のセキュリティ ロールの「累積的」な性質のために、ユーザが、セキュリティ ゾーンの外部のエンティティへのアクセスを許可するほかのロールを持っている場合に、そのエンティティにアクセスできる可能性があります。これが発生した場合、セキュリティ ゾーン情報を表示しようとすると、Policy Manager は「Current zone (zone details are unavailable)」を表示します。
例:
サービスを公開すると、「Manage <service>」ロールに割り当てられます。この権限では、セキュリティ ゾーンにかかわらず、システム内のすべてのアイデンティティ プロバイダを読み取ることができます。Bob には、「Zone A」のエンティティへのアクセスを許可するロールがあります。また、「Zone B」には、LDAP アイデンティティ プロバイダ「Alpha」があります。Bob はサービスを公開し、現在「Manage <service>」ロールがあります。
サービスを公開する前は、別のゾーンにあるため、Bob は「Alpha」エンティティを表示できません。サービスを公開した後、Bob は「Alpha」アイデンティティ プロバイダを表示できるようになります。ただし、そのセキュリティ ゾーンを確認すると、以下が表示されます。
Security_Zone_Identity_Provider.png
これは、アイデンティティ プロバイダが別のセキュリティ ゾーンにあり、その他のロールによって付与された権限が原因でそれを表示できることを Bob に示します。
 
「Current zone (zone details are unavailable)」メッセージは、ゾーン
のエンティティへのアクセス権があるというまれな場合でも表示されます。ただし、どういう理由であれ、ゾーン属性自体(ゾーンの名前など)への読み取りアクセス権はありません。