云基础设施授权管理概览

借助 Security Command Center 的 Cloud Infrastructure Entitlement Management (CIEM) 功能,您可以管理哪些身份有权访问多个云平台上的部署中的哪些资源,并缓解因配置错误而导致的潜在漏洞。

Security Command Center 的 CIEM 功能可全面了解身份和访问权限配置的安全性。具体而言,以下 CIEM 功能可帮助您识别错误配置并遵循最小权限原则:

  • 检测在多个云平台(包括 Google Cloud、Amazon Web Services (AWS) 和 Microsoft Azure [预览版])上部署的资源中潜在的身份和访问权限配置错误。
  • 识别漏洞发现结果,以便深入了解在 Google Cloud、AWS 和 Microsoft Azure(预览版)环境中授予给主账号的角色。 这包括来自其他身份提供方(如 Entra ID (Azure AD)、Okta 和本地 Active Directory)的联合身份,适用于 Google Cloud和 AWS IAM Identity Center。
  • 有关如何修正错误配置的指南,例如从拥有过多权限的主账号中移除权限。
  • 案例管理:使用 Security Command Center Enterprise 或其他工单管理系统中的案例,高效跟踪错误配置修复工作。

使用 CIEM 管理身份和访问权限安全问题

以下部分介绍了可帮助您管理身份和访问权限错误配置的 CIEM 功能。

快速访问身份和访问权限发现结果

安全问题通常是由于未检测到身份和访问权限配置错误而引起的,例如高权限的主账号、休眠身份、未轮换的服务账号密钥以及缺少多重身份验证。CIEM 会生成检测结果,帮助您了解云环境中潜在的身份和访问安全问题。许多不同的 Security Command Center 检测服务(例如 IAM Recommender、Security Health Analytics 和 CIEM)都会生成身份和访问权限发现结果,这些结果被视为 Security Command Center 的 CIEM 功能的一部分。例如,CIEM 检测服务本身会针对 AWS 和 Microsoft Azure 生成一部分身份和访问权限发现结果(预览版),提醒您注意高权限角色、群组和用户。

借助 CIEM,Security Command Center 会在 风险概览页面的身份和访问权限发现结果卡片上,按类别显示 Google Cloud、AWS 和 Microsoft Azure(预览版)的身份和访问权限发现结果。此卡片可让您快速访问 Security Command Center 检测结果页面上经过过滤的身份和访问权限配置错误检测结果视图。在详细视图中,每项发现都会提供检测到的完整范围,以及有关如何解决错误配置以避免潜在攻击途径的指导。

如需了解如何调查身份和访问权限发现结果,以便了解您的身份和访问权限安全性,请参阅调查身份和访问权限发现结果

针对身份和访问权限发现结果的补救指南和跟踪

使用多云基础架构的安全团队经常难以大规模修正身份和访问权限错误配置。Security Command Center 可为您提供补救指南,以及安全运维功能,例如案例管理和响应策略方案。

如需详细了解如何查看发现的问题,请参阅查看身份和访问权限问题案例

发现联合身份的权限

CIEM 可提供对身份和访问权限配置安全性的更精细视图,方法是深入了解来自其他身份提供方(例如 Entra ID [Azure AD]、Okta 和本地 Active Directory)的联合身份的 Google Cloud 和 AWS 权限。CIEM 与 IAM Recommender 集成,可显示在Google Cloud 资源上拥有过多权限的角色所关联的联合身份。Cloud Infrastructure Entitlement Management 还可以与 AWS IAM Identity Center 搭配使用,以揭示 AWS 资源上联合身份中的漏洞。您可以直接在 Security Command Center 的发现结果页面中查看违规的访问权限授予情况和建议的补救措施。如需详细了解检测结果中的违规访问权限授予,请参阅违规访问权限授予

此外, Google Cloud 借助 IAM,您可以在 Google Cloud 控制台的 IAM 页面上进一步调查来自其他身份提供方的主账号的权限。

后续步骤