Symantec CloudSOC

ความพร้อมทั่วโลก: กลยุทธ์การบังคับใช้การควบคุมการเข้าถึงตามบทบาทใน Symantec CloudSOC

ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ

ในขณะที่พยายามปฏิบัติตามข้อกำหนดด้านกฎระเบียบ การควบคุมที่อยู่ของข้อมูลและความเป็นส่วนตัวนั้นเป็นเรื่องที่น่ากังวลอย่างมาก Data Localization กำหนดให้องค์กรต่างๆ โดยเฉพาะองค์กรที่มีฐานอยู่ทั่วโลกขนาดใหญ่ ต้องปฏิบัติตามนโยบายการกำกับดูแล ที่ไซแมนเทค ในฐานะแผนกหนึ่งของ Broadcom เรามีโซลูชันเพื่อให้สอดคล้องกับการควบคุมที่อยู่ของข้อมูลและความเป็นส่วนตัว

ข้อมูลที่อยู่อาศัย

ถิ่นที่อยู่ของข้อมูลกำหนดให้ข้อมูลผู้ใช้จากสหภาพยุโรป (EU) ต้องอยู่ภายในศูนย์ข้อมูลของสหภาพยุโรป Symantec CloudSOCจัดการกับปัญหานี้โดยนำเสนอผลิตภัณฑ์ในสภาพแวดล้อมคลาวด์ที่แยกออกมาโดยสิ้นเชิง Symantec CloudSOC ทำงานในสถาปัตยกรรมแบบหลายผู้เช่าภายในภูมิภาค และอนุญาตให้ลูกค้าเลือกให้มีผู้เช่าระหว่าง 1 ถึง N ที่จัดเตรียมในสภาพแวดล้อมคลาวด์ใดๆ เหล่านี้ และกำหนดเป้าหมายข้อมูลผู้ใช้เฉพาะเพื่ออยู่ในผู้เช่าเฉพาะ

แม้ว่าวิธีการนี้จะตอบสนองความต้องการทางกฎหมายและข้อบังคับ และเป็นกลยุทธ์ที่ลูกค้าบางรายใช้ แต่ผู้เช่าหลายรายต่อลูกค้าหนึ่งรายอาจกลายเป็นเรื่องยุ่งยากในการจัดการ การลดจำนวนผู้เช่าเป็นองค์ประกอบสำคัญในการวัดท่าทาง Cloud Security โดยรวมในแต่ละภูมิภาคอย่างมีประสิทธิภาพ

ความเป็นส่วนตัว

เพื่อจัดการกับข้อกังวลเรื่องการมีผู้เช่าจำนวนมากเกินไป ลูกค้าสามารถเลือกกำหนดค่า Symantec CloudSOC ในลักษณะที่ข้อมูลผู้ใช้ในสหภาพยุโรปถูกส่งไปยังผู้เช่ารายหนึ่งใน EU Cloud และตั้งค่าผู้เช่ารายอื่นเพื่อให้ข้อมูลที่เหลือในโลกของพวกเขาเป็น ส่งไปยังผู้เช่ารายอื่นในระบบคลาวด์ของสหรัฐฯ ซึ่งจะช่วยลดจำนวนผู้เช่าที่ต้องจัดการ

อย่างไรก็ตาม นั่นอาจไม่จำเป็นต้องแก้ไขข้อกังวลเรื่องความเป็นส่วนตัวของข้อมูลในผู้เช่าระบบคลาวด์ ผู้ดูแลระบบในพื้นที่ถูกจำกัดให้ดูแลเฉพาะชุดย่อยของข้อมูลในเขตอำนาจศาลของตน ตัวอย่างเช่น ผู้ดูแลระบบในสหราชอาณาจักรควรมองเห็นกิจกรรมสำหรับผู้ใช้ในสหราชอาณาจักรและเช่นเดียวกันสำหรับผู้ดูแลระบบในเยอรมนี อย่างไรก็ตาม Global Admins สามารถมองเห็นได้อย่างสมบูรณ์จากมุมมองของผู้เช่าโดยรวม และไม่จำกัดเพียงชุดย่อยของข้อมูล

ดังนั้น Local Admins จะมองเห็นเฉพาะสิ่งที่พวกเขามีสิทธิ์ได้อย่างไร ในขณะที่ให้ Global Admins มองเห็นได้อย่างสมบูรณ์? กล่าวอีกนัยหนึ่ง สำหรับบางธุรกิจที่มีข้อกังวลเรื่องความเป็นส่วนตัว ให้จัดเตรียมการแยกข้อมูลภายในผู้เช่า

การแบ่งพาร์ติชันผู้เช่าแบบลอจิคัลจากมุมมองทางภูมิศาสตร์ผ่าน RBAC

การแบ่งพาร์ติชันเชิงตรรกะของผู้เช่ารายเดียวเป็นวิธีการที่ลูกค้า Symantec CloudSOC นำมาใช้เพื่อจำกัดการมองเห็นข้อมูลภายในผู้เช่าสำหรับผู้ดูแลระบบภายในของตน ผู้ดูแลระบบส่วนกลางสร้างโปรไฟล์การเข้าถึงเพื่อจำกัดการเปิดเผยข้อมูลตามเขตอำนาจศาลของผู้ดูแลระบบที่เกี่ยวข้อง ตัวอย่างเช่น การจำกัดการเปิดเผยข้อมูลสำหรับ Local Admin ในสหราชอาณาจักรสำหรับกิจกรรมของผู้ใช้ในสหราชอาณาจักรเท่านั้น ซึ่งช่วยให้ Local Admin ดำเนินการทั้งหมดได้ แต่ถูกจำกัดไว้เฉพาะผู้ใช้บางส่วนเท่านั้น

นี่เป็นความท้าทายอีกประการหนึ่ง – ผู้ดูแลระบบจะให้ Symantec CloudSOC ทราบได้อย่างไรว่าผู้ใช้หรือกลุ่มย่อยของผู้ใช้อยู่ในภูมิภาคใด วิธีแก้ปัญหา: Active Directory Groups เพื่อช่วยเหลือ ลูกค้าใช้ประโยชน์จากการเป็นสมาชิกกลุ่มที่พวกเขาตั้งค่าไว้ใน Active Directory ตามสถานะทางภูมิศาสตร์ของผู้ใช้ และซิงค์สิ่งนี้กับ CloudSOC Symantec SpanVA เป็นอุปกรณ์เสมือนภายในองค์กรที่เชื่อมต่อกับ Active Directory ในพื้นที่และซิงค์รายละเอียดการเป็นสมาชิกของผู้ใช้และกลุ่มกับ Symantec CloudSOC เป็นระยะ

กลุ่ม Active Directory นี้สามารถใช้เพื่อตั้งค่าโปรไฟล์การเข้าถึงเพื่อจำกัดการมองเห็นข้อมูลให้กับผู้ใช้ภายในกลุ่ม และสามารถเชื่อมโยงกับ Local Admin ซึ่งจะบังคับใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) ในตัวอย่างนี้ ผู้ดูแลระบบในสหราชอาณาจักรของเราจำกัดการมองเห็นข้อมูลสำหรับผู้ใช้ใน UK Active Directory Group

แนวทางปฏิบัติที่นำมาใช้โดยลูกค้าทั่วโลกไม่กี่รายจะแสดงในภาพประกอบทางภูมิศาสตร์ โดยที่ข้อมูลผู้ใช้ที่มาจากภูมิภาค EU ถูกส่งไปยัง EU-Cloud ในผู้เช่ารายเดียว และส่วนที่เหลือของโลกจะถูกแบ่งระหว่างผู้เช่าสองรายใน US-Cloud วิธีนี้ผู้ดูแลระบบส่วนกลางสามารถรับมุมมองที่ครอบคลุมของท่าทางภายในผู้เช่าทั้ง 3 รายและผู้ดูแลระบบในพื้นที่ในภูมิภาค EU จะต้องแบ่งพาร์ติชันทางตรรกะของข้อมูลที่ควบคุมผ่าน RBAC นอกจากนี้ CloudSOC SysAdmins ยังควบคุมส่วนต่างๆ ของผลิตภัณฑ์ที่สามารถเข้าถึงได้โดยเป็นส่วนหนึ่งของกระบวนการนี้

หากสนติดต่อเรา เคทีเอ็นบีเอส หรือ KTNBS.com ได้ที่ 09 7993 6949, 09 7247 4151 และ 08 1657 4151