Product Documentation

NetScaler MAS의 역할 기반 액세스 제어

Apr 26, 2017

NetScaler MAS는 기업 내 개별 사용자의 역할을 기반으로 액세스 권한을 부여할 수 있는 세분화된 역할 기반 액세스 제어(RBAC)를 제공합니다. 이 컨텍스트에서 액세스는 파일 보기, 만들기, 수정 또는 삭제와 같은 특정 작업을 수행 할 수 있는 기능입니다. 역할은 기업 내에서 사용자의 권한 및 책임에 따라 정의됩니다. 예를 들어 한 사용자는 모든 네트워크 작업을 수행할 수 있고 다른 사용자는 응용 프로그램의 트래픽 흐름을 관찰하여 구성 템플릿 만들기를 지원할 수 있습니다.

역할은 정책에 의해 결정됩니다. 정책을 만든 후 역할을 만들고 각 역할을 하나 이상의 정책에 바인딩하고 역할을 사용자에게 할당합니다. 사용자 그룹에 역할을 할당할 수도 있습니다.

그룹은 공통된 권한을 가진 사용자의 모음입니다. 예를 들어 특정 데이터 센터를 관리하는 사용자들을 한 그룹에 할당할 수 있습니다. 역할은 특정 조건에 따라 사용자 또는 그룹에게 부여되는 ID입니다. NetScaler MAS에서 역할 및 정책 만들기는 NetScaler의 RBAC 기능과 관련이 있습니다. 역할 및 정책은 모든 사용자의 권한을 개별적으로 업데이트할 필요 없이 기업의 요구가 발전함에 따라 쉽게 생성, 변경 또는 중단할 수 있습니다.

역할은 기능 기반이거나 리소스 기반일 수 있습니다. 예를 들어 SSL/보안 관리자 및 응용 프로그램 관리자를 가정합니다. SSL/보안 관리자는 SSL 인증서 관리 및 모니터링 기능에 대한 완전한 액세스 권한을 가져야 하지만 시스템 관리 작업에 대해서는 읽기 전용 액세스 권한만 있어야 합니다. 응용 프로그램 관리자는 자신의 권한 범위에 속한 리소스에만 액세스할 수 있어야 합니다.

예제

ADC 그룹 책임자인 Chris는 자신의 조직에 있는 NetScaler MAS의 슈퍼 관리자입니다. Chris는 보안 관리자, 응용 프로그램 관리자 및 네트워크 관리자라는 세 가지 관리자 역할을 만듭니다.

보안 관리자인 David는 SSL 인증서 관리 및 모니터링에 대한 완전한 액세스 권한을 가져야 하지만 시스템 관리 작업에 대해서는 읽기 전용 액세스 권한만 있어야 합니다.

응용 프로그램 관리자인 Steve는 특정 응용 프로그램 및 특정 구성 템플릿에만 액세스할 수 있어야 합니다.

네트워크 관리자인 Greg는 시스템 및 네트워크 관리에 액세스할 수 있어야 합니다.

또한, Chris는 로컬, 외부 또는 멀티 테넌트에 속하는지 여부와 관계없이 모든 사용자에게 RBAC를 제공해야 합니다.

NetScaler MAS 사용자는 로컬로 인증되거나 외부 서버(RADIUS/LDAP/TACACS)를 통해 인증될 수 있습니다. RBAC 설정은 채택된 인증 방법에 관계없이 모든 사용자에게 적용할 수 있어야 합니다.

다음 이미지에서는 조직에서 관리자 및 기타 사용자에게 부여되는 권한과 역할을 보여 줍니다.

localized image

제한 사항

다음과 같은 NetScaler MAS 기능은 RBAC를 일부만 지원합니다.

  • 분석 - 분석 모듈에서는 RBAC를 일부만 지원합니다. RBAC 지원은 인스턴스 수준으로 제한되며 Web Insight, SSL Insight, Gateway Insight, HDX Insight 및 Security Insight 분석 모듈의 응용 프로그램 수준에는 적용할 수 없습니다.  예를 들면 다음과 같습니다. 

예 1: RBAC 기반 인스턴스(지원됨)

인스턴스 수준에서 RBAC가 지원되므로 몇 개의 인스턴스가 할당된 관리자는 Web Insight > Devices(장치) 아래에 있는 인스턴스와 Web Insight > Applications(응용 프로그램) 아래에 있는 해당 가상 서버만 볼 수 있습니다.

예 2: 응용 프로그램 기반 RBAC(지원되지 않음)

응용 프로그램 수준에서 RBAC가 지원되지 않으므로 몇 개의 응용 프로그램이 할당된 관리자는 Web Insight > Applications(응용 프로그램) 아래에 있는 모든 가상 서버를 볼 수 있지만 액세스할 수는 없습니다.

  • StyleBook – StyleBook은 RBAC를 일부만 지원합니다.
    • NetScaler MAS에서 Stylebook 및 구성 팩은 별도의 리소스로 간주됩니다. Stylebook 및 구성 팩의 보기, 편집 또는 둘 모두에 대한 액세스 권한을 개별적으로 또는 동시에 제공할 수 있습니다. 구성 팩에 대한 보기 또는 편집 권한이 있으면 사용자가 묵시적으로 StyleBook을 볼 수 있는데, 이 권한은 구성 팩 세부 정보를 얻고 새 구성 팩을 만드는 데 필수적입니다.
    • 특정 Stylebook 또는 구성 팩에 대한 액세스 권한은 지원되지 않습니다.
      예: 인스턴스에 이미 configpack이 있는 경우 사용자는 대상 NetScaler 인스턴스에 대한 액세스 권한이 없더라도 해당 인스턴스의 구성을 수정할 수 있습니다.
  • 오케스트레이션 - 오케스트레이션은 RBAC를 지원하지 않습니다.