透過 Security Command Center 的 Cloud Infrastructure Entitlement Management (CIEM) 功能,您可以管理哪些身分有權存取多個雲端平台部署作業中的哪些資源,並降低因設定錯誤而產生的潛在安全漏洞。
Security Command Center 的 CIEM 功能可全面掌握身分和存取權設定的安全性。具體來說,下列 CIEM 功能可協助您找出錯誤設定,並強制執行最小權限原則:
- 偵測多個雲端平台 (包括 Google Cloud、Amazon Web Services (AWS) 和 Microsoft Azure (搶先版)) 部署作業中,可能出現的身分和存取權設定錯誤。
- 識別安全漏洞調查結果,深入瞭解在 Google Cloud、AWS 和 Microsoft Azure (搶先版) 環境中授予主體的角色。包括來自其他身分識別提供者的聯合身分,例如 Entra ID (Azure AD)、Okta 和地端部署 Active Directory,適用於 Google Cloud和 AWS IAM Identity Center。
- 提供如何修正設定錯誤的指引,例如從權限過高的主體移除權限。
- 案件管理功能可讓您在 Security Command Center Enterprise 或其他支援單管理系統中,使用案件有效追蹤錯誤設定的修復工作。
使用 CIEM 管理身分與存取權安全問題
以下各節說明 CIEM 功能,可協助您管理身分和存取權設定錯誤。
快速存取身分與存取權發現項目
如果身分和存取權設定錯誤 (例如高權限主體、閒置身分、未輪替的服務帳戶金鑰,以及缺少多重驗證) 未被偵測到,通常會引發安全問題。
CIEM 會產生調查結果,協助您瞭解雲端環境中潛在的身分和存取權安全問題。許多不同的 Security Command Center 服務 (例如 IAM 建議工具、安全狀態分析和 CIEM) 會產生身分和存取權發現項目,這些項目視為 Security Command Center CIEM 能力的一部分。舉例來說,CIEM 偵測服務本身會產生 AWS 和 Microsoft Azure 的身分與存取權發現項目子集 (搶先版),提醒您高權限角色、群組和使用者。
在「標準」和「標準舊版」層級中,CIEM 只會提供 Google Cloud 基本角色的建議。詳情請參閱「IAM 建議工具功能」。
如要瞭解如何調查身分與存取權發現項目,進而掌握身分與存取權安全,請參閱「調查身分與存取權發現項目」。
探索聯合身分的權限
CIEM 可深入瞭解身分和存取權設定的安全性,並洞察其他身分識別提供者 (例如 Entra ID (Azure AD)、Okta 和地端部署 Active Directory) 的聯合身分權限,CIEM 可協助您找出在 Google Cloud 資源上擁有過多權限的角色,並識別這些角色所屬的同盟身分。您也可以搭配 AWS IAM Identity Center 使用 Cloud Infrastructure Entitlement Management,找出 AWS 資源上聯合身分中的安全漏洞。
您可以在 Security Command Center 的「發現項目」頁面,直接查看違規的存取權授予項目和建議的補救措施。如要進一步瞭解調查結果中違規的存取權授予項目,請參閱「違規的存取權授予項目」。
Google Cloud 在 Google Cloud 控制台的 IAM 頁面中,您可以透過 IAM 服務,調查其他身分提供者的主體權限。
使用案件進行補救和追蹤
使用多雲端基礎架構的安全性團隊,往往難以大規模修正身分和存取權設定錯誤。Security Command Center 提供案件管理、應變手冊和資安營運功能,協助您採取補救措施。
如要進一步瞭解如何查看調查結果案件,請參閱「查看身分和存取權問題的案件」。
後續步驟
- 瞭解如何啟用 CIEM 偵測服務。
- 瞭解如何調查身分與存取權發現項目。
- 瞭解如何查看身分和存取權問題的案件。
- 進一步瞭解 CIEM 採用的IAM 建議工具功能。