Saltar a contenido

Función RBAC basada en propietarios (Owners)

Esta función le permite implementar el control de acceso mediante la asignación de owners a los activos (assets) de la organización.

A los usuarios con el rol de Attack Surface Auditor o Security Champion se les asignarán propietarios específicos y solo tendrán acceso a los activos (assets), vulnerabilidades (vulnerabilities) y scans vinculados a esos propietarios (owners) asignados.

Esto garantiza que el acceso a los datos esté restringido en función de las responsabilidades, lo que mejora la seguridad de la organización.

Requisitos de los roles:

  1. Attack Surface Auditor / Security Champion A estos usuarios se les asignarán owners específicos dentro de la organización.

  2. Organization Admin / Attack Surface Manager Estos roles tienen los permisos para gestionar las asignaciones de owners para otros usuarios.

Comprender la asignación de propietarios (owners)

  • Sin propietario asignado: El usuario no tendrá acceso a ningún dato (activos, vulnerabilidades o scans).
  • Propietarios específicos asignados: El usuario solo tendrá acceso a los datos vinculados a los owners asignados.

Lo que ven los usuarios según la asignación de propietarios (owners)

En esta sección, exploraremos las diferentes vistas y el acceso a los datos para los usuarios (Attack surface auditors o Security champions), según los propietarios (owners) asignados. Veremos dos escenarios: primero, con ningún propietario asignado, y segundo, con propietarios específicos asignados.

Escenario 1: Sin propietario (owner) asignado al usuario

En este escenario, el usuario no tiene acceso a ningún dato relacionado con la organización.

1. Activos (Assets)

El usuario no verá ningún activo en el inventario de la organización. La lista de activos estará vacía.

No Owners assigned: Assets

2. Vulnerabilidades (Vulnerabilities)

De manera similar, el usuario no verá ninguna vulnerabilidad asociada a los activos. La lista de vulnerabilidades estará vacía.

No Owners assigned: Vulnerabilities

3. Scans

El usuario no podrá ver ningún scan vinculado a la organización. La lista de scans también estará vacía.

No Owners assigned: Scans

Escenario 2: Propietarios (owners) específicos asignados al usuario

En este escenario, al usuario se le asignan propietarios específicos, lo que le otorga acceso a los datos asociados con esos propietarios.

Para este ejemplo, al usuario se le han asignado los siguientes propietarios:

  • Ammar
  • Ali
1. Activos (Assets)

El usuario solo verá los activos que estén vinculados a los propietarios asignados (Ammar y Ali). Cualquier otro activo en la organización estará oculto.

Specific Owners assigned: Assets

2. Vulnerabilidades (Vulnerabilities)

El usuario solo verá las vulnerabilidades que se encuentren en los activos vinculados a los propietarios asignados (Ammar y Ali).

Specific Owners assigned: Vulnerabilities

3. Scans

El usuario solo tendrá acceso a los scans realizados en los activos que pertenezcan a los propietarios asignados (Ammar y Ali).

Specific Owners assigned: Scans