この記事にアクセスした方はおそらく、職務の分離といった原則に基づいてユーザに対して管理者権限(admin)ではなく、ロール(役割)ベースのコントロールを加えたいとかんがえているのではないだろうか。
管理者ロールに関する詳細はこの記事を確認してほしい。
この記事では自組織に合った管理者ロールのプロファイルを作成する方法について解説していく。
3つの管理者設定
各パラメータに対して設定できる権限は以下の3つだ。
- 有効化
- 読み取り専用
- 無効化
実際の設定箇所はこのようになっている。
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
■有効化
この設定では、読み取り/書き込みの両方の権限を付与する。
■読み取り専用
この設定では文字通り、読み取り権限のみを付与する。
■無効化
この設定では、特定の箇所において読み取りも書き込みもどちらも禁止することを意味する。
無効化されたユーザにおいては、WebUIからこの設定項目がそもそも見えなくなる。
見えないということはあることすらわからない状態だ。
その設定があることは見せたいが、設定を変更されたくない場合は読み取り専用にすることで対応できる。
さいごに
管理者ロールのプロファイルを作成するのは非常にシンプルな操作で実装可能だ。
しかしおそらく最も困難なのは、果たしてその従業員、またはロールにどの権限をどう付与するのが適切か決めていくことではないだろうか。
多くの場合でその答えを見つけることは困難だし、更に言うと入社1年目の従業員は来年入社2年目になる。
果たして1年目と同じ権限が彼にとって適切な権限なのだろうか。
もしかするとさらに制限すべきかもしれないし、逆に権限を付与していく必要が何度もあったかもしれない。
このようなことが繰り返された結果、多くの組織では特権クリープが発生する。
特権クリープについてはまた別の機会に紹介することにする。
ネットワークアドミニストレータ必携 オススメ最新コンソールケーブル
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント