CentralOneでは、ユーザーの行動を制限し、違反行為を防ぐためにポリシーを使用できます。プラットフォームでは、ポリシーの影響範囲に応じて、2つの種類のポリシーを提供しています。
システムポリシー: 管理者が設定し、全体のシステムに影響を与えます。
プロジェクトポリシー: プロジェクト管理者が設定し、そのプロジェクト内のメンバーに影響を与え、特定のメンバーやデバイスを指定できます。
1つのポリシーは次の3〜4つの部分から構成されます:
- ポリシーチェックポイント: ポリシー管理対象や行動に対するチェックポイント。
- 行動: ポリシーに違反した場合の行動。
- ポリシーデータ: ポリシーチェックポイントの詳細なルール。
- ロールとリソースの範囲(プロジェクトポリシー固有): そのポリシーが適用される特定のロールやリソースを指定。
この資料では、システムポリシーを使用してSSHコマンドをブロックする方法と警告を設定する手順を2つのデモケースで説明します。
デモケース1 – システムポリシー – 特定のコマンドのブロック
デモケース1では、プラットフォーム全体のユーザーがSSH接続中に “sudo” コマンドを入力するのを防ぎたいとします。
システムポリシーの作成
管理者はシステムポリシーをクリックし、新しいポリシーを作成します。
政策名を入力し、政策のチェックポイントでSSHコマンドが選択され、行動が「ブロック」に設定されている場合、警告はユーザーがポリシーに違反した場合の行動であり、管理者に通知するかどうかは柔軟に選択できます。
次に、ポリシーデータを設定します。チェックポイントがSSHコマンドに設定されているため、ポリシーデータにはどのコマンドがブロックされるかを指定する必要があります。
複数のコマンドがある場合は、テキストファイルをアップロードすることもできます。
SSHコマンドのブロック
政策設定が完了した後、ユーザーがSSH接続で “sudo” を入力した場合、このメッセージが表示されます。そして、システムログに記録されます。ㄍ
デモケース2 – プロジェクトポリシー – 特定のコマンドへの警告
デモケース2では、ユーザーが “5t” と入力した場合に、プロジェクト管理者に通知が届くように設定します。
プロジェクトポリシーの設定
プロジェクト管理者は、プロジェクトポリシーを選択し、新しいポリシーを作成することができます。
ポリシー名を入力し、ポリシーのチェックポイントでSSHコマンドを選択し、行動を「無効」に選択します。警告を選択すると、特定のコマンドがトリガーされた場合、プロジェクト管理者が即座に通知を受け取りますが、ブロックはされません。
警告を受け取りたい指令を入力します。
プロジェクトポリシーには、システムポリシーよりもロールとリソースの設定範囲が多くあります。プロジェクトの要件に応じてポリシーの適用範囲をカスタマイズできます。
リソースに対しては、すべてのリソースを選択するか、特定のリソースに対するタグを選択することができます。すべてのリソースを選択した場合、そのプロジェクト内のすべてのデバイスがポリシーの影響を受けます。
もしタグを選択する場合、以下の2つの方法があります。
- 既存のタグを選択する。
- 新しいタグを作成する。
将来的に他のデバイスに同じポリシーを適用したい場合は、簡単にそのポリシーのタグを追加するだけで済みます。
警告を受け取り、対策を講じる
現在、プロジェクトポリシーに影響を受けているユーザーは、SSH接続中に “5t” を入力した場合、プロジェクト管理者は即座に通知を受け取ります。プロジェクト管理者はユーザーの接続を即座に切断することができます。
もし通知を受け取った者が管理者であり(かつ、プロジェクト管理者でもある場合)、さらにそのユーザーのアクセスを停止することができ、未然に防ぐことができます。
その他のポリシー関連のFAQ:
Q: 誰がポリシーを設定できますか?
A: システムポリシーは管理者のみが設定でき、プロジェクトポリシーはプロジェクト管理者または管理者が設定できます。
Q: 警告は誰が受け取りますか?
A: 警告が有効になっている場合、管理者はシステムポリシーの違反について、プロジェクト管理者はプロジェクトポリシーの違反について通知を受け取ります。
Q: ポリシーは無効にできますか?
A: はい、ポリシーページでポリシーを選択し、[もっと見る]をクリックすると無効にできます。
Q: 管理者はポリシーの影響を受けますか?
A: システムポリシーまたはプロジェクトポリシーにかかわらず、管理者は影響を受けません。
Q: ブロックされた指令は記録されますか?
A: はい。
Q: ブロックされた指令を含む入力はブロックされますか?
A: いいえ、「rm」と入力しても、「arm」はブロックされません。
Q: コマンドがブロックまたは通知されるのはどんな場合ですか?
A: 1つのセッション内で、管理者がPolicy画面で設定したルールに基づき、ユーザーのコマンド入力に対して以下の4つの動作パターンが発生します:
| 通知ポリシーに該当 | ブロック | 通知 | 処理の説明 |
|---|---|---|---|
| ✅ はい | ✅ はい | ✅ はい | コマンドはルール違反としてブロックされ、ユーザーに通知されます。 |
| ✅ はい | ❌ いいえ | ✅ はい | コマンドは実行されますが、システムは通知を送信します(ユーザーまたは管理者へ)。 |
| ❌ いいえ | ✅ はい | ❌ いいえ | コマンドはサイレントにブロックされ、通知は送信されません。 |
| ❌ いいえ | ❌ いいえ | ❌ いいえ | 通常通りにコマンドが実行され、制限や通知はありません。 |