はじめに
Falconユーザーの権限について解説を試みる記事の2つ目です。
前回の記事ではFalconユーザーの基本的な概念やロールベースアクセスコントロール(RBAC)について説明しました。
今回は更に柔軟なアクセスコントロールをするための機能について話していきたいと思います。
アクセス可能な範囲を指定するこの制御機能はきめ細かなアクセス制御(FGA: Fine-Grained Access)と呼ばれています。
ユーザーの権限の考え方
ロールによる機能制御+対象範囲によるアクセス制御
ユーザーの権限のコントロールの基本は、前回の記事で紹介したユーザーロールベースのアクセスコントロール(RBAC)です。
RBACは役割(ユーザーができること)を定義しますが、それに組み合わせて範囲(ユーザーが見れるところ)も定義することでより細かにコントロールしましょう、というのがFGAのコンセプトです。
設定方法と対象範囲
例えばどんな範囲で制限ができるのか、というヒントは、前回紹介したユーザー作成画面で説明をスキップした箇所にあります。
ここで特定のホストグループ・クラウドグループ・アクセススコープを指定することで、指定された範囲のみがそのユーザーの管理・監視対象となります。
※ FGAが対応している機能に限ります
現在FGAで指定可能な範囲と対象機能を表にまとめるとこんな感じになります。
適用例:ホストグループに基づくアクセス制御
実際に適用するとどうなるのか試してみました。
今回利用するのはホストグループに基づくきめ細やかなアクセス制御です。
その名のとおり、ユーザーは指定されたホストグループおよびそのグループに所属しているホストのみにアクセスできるようになります。
ホストグループはCrowdStrikeの設定の一つで、保護対象のホストをグループ分けする機能です。
ホストグループFGAの概要
このFGA(正式名称ではないですが、このページでは便宜上「ホストグループFGA」と呼びます)は、ドキュメントの記述としては、現在以下の3つの機能に適用されることになっています。
- ホスト管理
- ホストグループ管理
- リアルタイムレスポンス(RTR)
なお実際は、これらの機能と連動する形でエンドポイント検知の画面にもFGAが適用されます。
適用されると、ホストやホストグループはホストグループFGAで指定されたもののみが表示されるようになります。
※ リアルタイムレスポンスはビフォー/アフターで画面上の違いがなく、イメージなしで失礼します
RBACとの組み合わせ
FGAは「見えるところ」を制御する機能なので、「できること」の制御は基本的には前回ご紹介したロールベースアクセスコントロール(RBAC)の仕事です。
例外として、FGAで制限している範囲そのものに関わる操作については、RBACの設定とは関係なく制御されることがあります。
例えばホストグループFGAが適用されたユーザーは、ロールにかかわらずホストグループの編集権限がありません。
せっかく制限している範囲をユーザー自身が勝手にいじれてしまうと話が難しくなりますからね……
FGAとRBACを組み合わせると、例えば部署ごとに監視担当者を分けるような運用もできます。
画像の例では、3人のユーザーにはRBACとして「Security Lead」のロールを設定します。
Security Leadは、日々の監視に必要な権限をもつロールです。
また、彼らには自分の部署に対応する形でホストグループFGAを割り当てます。
2つの設定を組み合わせることで、3人はそれぞれ「自分の部署の」「日々の監視」を行うことができるユーザーになります。
一方で、設定変更などの権限はFalcon Administratorと比べて限定的です。
監視担当者は皆運用ルールの変更などはできませんし、他の部署の様子を伺うこともできません。
このように、役割と範囲を適切に制限することで、必要な権限だけを持つ監視担当者を安全に割り当てることができます。
まとめとおまけ
説明が長くなってしまいましたが、「ユーザー権限に関わる設定はRBACとFGAの2パターンがある」というところだけでも伝われば幸いです。
PoLP(最小権限の原則)の概念にも通じるものがありますが、ややこしい設定は運用もややこしくします。必要十分なものをシンプルに設定することが大切ですね。
ちなみに、最近のリリースで、複数のユーザーへのアクセス権限を一括管理できるプロファイルグループ機能が追加されました。
管理の手間を削減できる機能がまめにリリースされるのはユーザーとしてはありがたいですね。
今後のアップデートにも期待したいと思います。
ありがとうございました!
