Carbon Black Cloud 콘솔 사용자 계정 관리

Carbon Black Cloud 콘솔 접속 후에 사용자는 계정에 적용된 권한에 의하여 관리된다. 
따라서 계정 생성 시에 각 사용자와 사용 방법에 따라 올바른 권한 설정이 필요하다. 

각각의 계정에 대한 Role 확인은 [Settings > Roles] 메뉴에서 확인이 가능하다. 

해당 메뉴로 들어가게 되면 기본적으로 설정된 권한들을 확인할 수 있다.

물론 사용자들의 입맛에 따라 상단에 위치한 [Add Role] 버튼을 클릭하여 추가 가능하다. 
Permissions 의 갯수는 23개이며, 각 23개의 Permission 의 세부 정책도 설정해주어야 하는 부분이 있다. 

이 부분은 번거로울 수 있으니, 기본적으로 설정된 정책들을 기반하여 설정할 수 있도록 'Copy permissons from' 기능도 제공한다.
이렇게 생성된 사용자 정책들은 수정이 가능하고 [Settings > Roles > Actions > export icon] 을 통해 내보내기도 가능하다.
파일은 'JSON File' 형식으로 저장 가능하며, 내보낸 역할을 다시 가져올 수는 없다..
또한 기본으로 제공되는 정책들은 수정 및 내보내기가 되지 않는다..

기본적으로 제공되는 Role 에 대해서 확인해보자.

먼저 롤에 대한 이름에 대해 살펴보면 이름 뒤에 '-Legacy' 명칭이 붙은 이름을 확인할 수 있다. 
이러한 레거시 롤은 현재 사용은 가능하나, 단계적으로 사라질 예정인 롤을 의미한다. 언제 없어질 지는 모르겠다. 문득 생각나면 사라져있지않을까?  

Legacy Roles 은 총 3개이다.

• View Only 
  • 경고 확인 가능 - 경고 조치 불가능
• Live Response Admin
  • 경고 확인 및 조치 가능
  • 실시간 응답 기능을 통한 엔드포인트 및 워크로드 문제 해결 가능
• Admin
  • 경고 확인 및 조치 가능

Legacy Roles 을 제외한 Current Roles 은 총 12개이다.

• View All (감독자 역할의 사용자에게 적합)
  • 페이지 보기, Data Export, 메모 및 태그 추가
• Level 1 Analyst
  • 잠재적인 위협 조사 및 대응, 모니터링
  • 경고 분류 및 장치 격리 가능
• Level 2 Analyst
  • 잠재적인 위협 조사 및 대응, 모니터링
  • 실시간 응답, 파일 삭제 및 격리를 통한 워크로드 또는 엔드포인트 변경 가능
• Level 3 Analyst - (Level 1 Analyst < Level 2 Analyst < Level 3 Analyst 순으로 더 많은 권한을 가지고 있음)
  • 잠재적인 위협 조사 및 대응, 모니터링
  • 실시간 응답 사용 가능 (프로세스 실행, 메모리 덤프, 엔드포인트 또는 워크로드 제거)
  • 어플리케이션 평판 및 인증서 관리
• System Admin
  • 사용자 추가, 센서 관리, 바이패스 활성화 등 일일 관리 활동 담당
  • 글로벌 설정 변경 불가, 파일 삭제 및 사용 불가, 실시간 응답 사용 불가
• Super Admin
  • 모든 권한
  • 콘솔 설정 및 구성
  • 실시간 응답
  • 정책 관리
  • API 키 및 센서 그룹 규칙
• Kubernetes SecOps
  • 경고 확인 및 조치 가능, API 키 관리, 사용자 관리, 조직 정보 및 코드 확인
  • 어플리케이션 평판 관리 및 이벤트 조사
  • 쿠버네티스 보안 기능 확인 및 관리
  • 컨테이너 보안 기능 확인
• Kubernetes DevOps
  • 경고 확인, API 키 관리, 사용자 관리, 조직 정보 및 코드 확인
  • 어플리케이션 평판 관리
  • 쿠버네티스 보안 기능 확인 및 관리
  • 컨테이너 보안 기능 확인
  • 센서 게이트웨이 확인
• Kubernetes Security Developer
  • 이미지 확인 및 예외 처리 
  • 컨테이너 및 쿠버네티스 보안 기능 확인
• Kubernetes SecOps View Only 및 Kubernetes DevOps View Only
  • 알림 및 노트, 태그 확인
  • 쿠버네티스 및 컨테이너 보안 기능 확인
• None
  • 권한 없음

---

https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-7F96EB83-FEA4-4799-8337-EA59B91E066C.html

Managing Roles

---

User Role 을 기반으로 권한을 부여하여 관리 가능하지만, 2FA 을 통해 계정 탈취에 대한 대응도 가능하다.

Carbon Black의 2FA는 2가지 방식으로 제공하고 있다.

• DUO Security
• Google Authenticator

• DUO Security 활성화 방법
  • Settings > Users 메뉴 클릭
  • DUO security 클릭 - Two Factor 변경 창 표시
  • 확인 버튼 클릭 - 모든 카본 블랙 클라우드 콘솔 사용자에 대해 DUO 2FA 활성화
  • DUO 접속하여 DUO 계정에 대한 보안 설정 - Applications > Protect an Application > Web SDK > Protect this Application.
  • integration key, secret key, API host 정보를 복사하여 카본 블랙 클라우드 DUO Security Settings 박스에 붙여넣기
  • 저장
• Google Authenticator 활성화 방법
  • Settings > Users 메뉴 클릭
  • Google Authenticator 클릭 - Two Factor 변경 창 표시
  • 확인 버튼 클릭 - 모든 카본 블랙 클라우드 콘솔 사용자에 대해 Google Authentication 활성화
  • 클라우드 콘솔에서 로그아웃 > 재 로그인 - Google Authenticator 셋업 화면
  • 모바일 기기에서 Google Authenticator App 다운로드
  • 다운받은 Google Authenticator App 실행 > 바코드 스캔 > Google 2FA 활성화 완료
  • Google Authenticator App 에서 표시된 6개의 숫자 코드 확인 > 클라우드 콘솔에 입력 후 로그인

2FA 설정 버튼의 오른쪽을 보면 'SAML Config' 를 확인할 수 있다.

Carbon Black의 SAML 은 4가지 방식으로 제공하고 있다.

• Ping Identity
• OneLogin
• Okta
• Microsoft Azure AD

Enabled 버튼을 클릭하면 위 이미지와 같은 창이 표시된다. 

• SAML 활성화 방법
  • Settings > Users 메뉴 클릭
  • SAML config 클릭 > Enabled 클릭 > SAML config 설정 창 표시
  • SAML 인증서 생성할 때 사용할 URL 입력
  • SAML 인증서 생성 및 복사 > X509 인증서 칸에 붙여넣기
  • SAML SSO URL 을 카본 블랙 SAML SSO URL 칸에 붙여넣기 > 저장
  • 로그아웃 > 메일로 발송된 Sing in via SSO 버튼 클릭하여 활성화

---

https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-232CBA3E-DC18-4C5F-B7D3-27C94D001CC3.html

Enabling Two-Factor Authentication

https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/carbon-black-cloud-user-guide/GUID-3416D923-4F0F-4985-9505-280B4FE43946.html

Enabling SAML Integration

•  

---