Controlar quem tem acesso a dados específicos dentro da sua organização é vital para a segurança, a conformidade e a governança de dados. Enquanto o controle de acesso baseado em funções do New Relic gerencia a que recurso o usuário pode acessar, data access control gerencia quais dados específicos o usuário pode visualizar.
Atualmente, o controle de acesso a dados está disponível para dados de log, permitindo restringir o acesso do usuário a partições de log específicas.
Como funciona
Grandes organizações geram quantidades massivas de logs em diversas equipes, serviços e ambientes. As equipes de segurança precisam monitorar logs de segurança críticos que podem conter informações de identificação pessoal (PII), enquanto as equipes de desenvolvimento precisam visualizar apenas os logs relevantes para seus microsserviços específicos. Data access control permite criar políticas que definem exatamente a quais partições de log cada equipe pode acessar.
Você cria políticas de acesso a dados que restringem o acesso a partições de log específicas e as atribui a grupos de usuários por meio de concessões de acesso. Usuários em grupos com políticas atribuídas só podem acessar as partições de log permitidas por essas políticas.
Recomendamos começar com uma abordagem de negação total e, em seguida, adicionar políticas de permissão para conceder acesso apenas às partições necessárias. Isso segue o princípio do menor privilégio e garante que o usuário acesse apenas os dados de que precisa.
Conceitos-chave:
- Políticas de acesso a dados: Defina quais partições de log o usuário pode acessar usando lista de permissões ou listas de negação.
- Atribuição de políticas: As políticas são atribuídas a grupos através da interface do usuário Access Management*.
- Correspondência com curinga: Use
%como curinga para corresponder a várias partições (por exemplo,log_prod%corresponde a todas as partições que começam com "log_prod"). - Políticas múltiplas: Quando um usuário pertence a vários grupos com políticas diferentes, aplica-se o acesso mais permissivo.
Importante
Usuários com acesso restrito ainda podem visualizar informações de partições de log restritas por meio de exportações históricas, notificações de alerta ou da APIInsights . Consulte a seção sobre riscos potenciais de exposição de dados para obter detalhes e medidas de mitigação.
Requisitos
Para criar e gerenciar políticas de acesso a dados, você precisa ter:
- Conta Pro ou edição Enterprise
- Função de gerente de domínio de autenticação
- Usuário principal ou tipo de usuário de plataforma completa
Criar e atribuir políticas de acesso a dados
Você pode criar e atribuir políticas de acesso a dados por meio da interface do usuário ou da API do NerdGraph. Para criar uma política através da interface do usuário, consulte os seguintes passos:
Crie uma política
Vá para one.newrelic.com > Administration > Access Management > Data access policies.
Clique em Create a policy (ou Add a policy se você já tiver políticas existentes).
Insira um nome para a política.
Selecione uma condição:
- Deny selectedBloqueia o acesso a partições de log selecionadas.
- Allow selectedPermite o acesso apenas às partições de log selecionadas.
Na dropdown Filter partitions by account, selecione as contas para criar uma lista restrita da partição de log.,
Selecione as partições de log a serem incluídas na política:
- Selecione as partições no dropdown ou
- Digite os nomes das partições ou caracteres curinga (por exemplo,
log_go%para corresponder a várias partições), separados por vírgulas.
Clique em Review policy para verificar sua configuração.
Clique em Create policy.
A política aparece na aba Data access policies. Para visualizar, editar ou excluir, clique em menu.
Atribua a política a um grupo
Vá para Administration > Access Management > Grants.
Localize a subvenção à qual deseja atribuir a apólice e, em seguida, clique em menu ao lado.
Selecione Add data access policy.
Na dropdown Policies, selecione sua política.
Clique em Save.
A coluna Policy name mostra a política atribuída. Para remover ou alterar, use o menu.
Políticas múltiplas e resolução de acesso
Quando o usuário pertence a vários grupos com diferentes políticas de acesso a dados:
- A política "Permitir combinação de políticas" permite que o usuário acesse todas as partições permitidas em seus respectivos grupos. Por exemplo, se o Grupo A permitir
log_frontend%e o Grupo B permitirlog_backend%, o usuário acessa ambos. - Políticas de negação têm precedência: Qualquer política de negação que substitua as políticas de permissão. Por exemplo, se o Grupo A permitir
log_%mas o Grupo B negarlog_sensitive, o usuário acessará todas as partições, excetolog_sensitive.
Para ver quais políticas se aplicam a um usuário, vá para Administration > Access Management > Grants e verifique a coluna Policy name para seus grupos.
Riscos potenciais de exposição de dados
Embora o controle de acesso a dados restrinja o acesso aos dados de log na maioria dos recursos New Relic, existem cenários em que o usuário ainda pode visualizar dados restritos:
Tópicos relacionados
Conceitos de gerenciamento de usuários
Saiba mais sobre tipos de usuários, funções e recursos de gerenciamento de usuários.
Gerenciar usuário com NerdGraph
Utilize a API do NerdGraph para gerenciar programaticamente usuários e permissões de acesso.
Partições de log
Entenda como organizar seus dados de log em partições para obter melhor controle e desempenho.
Gerencie as políticas de acesso a dados por meio do NerdGraph.
Aprenda a criar e gerenciar políticas de acesso a dados usando a API do NerdGraph.