Włączanie zarządzania upoważnieniami do infrastruktury w chmurze (CIEM)

Usługa Microsoft Defender for Cloud udostępnia model zabezpieczeń zarządzania upoważnieniami do infrastruktury chmury (CIEM), który pomaga organizacjom zarządzać dostępem użytkowników i uprawnieniami oraz kontrolować ich uprawnienia w infrastrukturze chmury. CIEM to krytyczny składnik rozwiązania Cloud Native Application Protection Platform (CNAPP), który zapewnia wgląd w to, kto lub co ma dostęp do określonych zasobów. Gwarantuje to, że prawa dostępu są zgodne z zasadą najniższych uprawnień (PoLP), gdzie tożsamości użytkowników lub obiekty robocze, na przykład aplikacje i usługi, otrzymują tylko minimalne poziomy dostępu niezbędne do wykonywania swoich zadań. CiEM pomaga również organizacjom monitorować uprawnienia i zarządzać nimi w wielu środowiskach chmury, w tym na platformie Azure, usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).

Przed rozpoczęciem

1. Upewnij się, że masz odpowiednie role i uprawnienia dla każdego środowiska chmury, aby włączyć rozszerzenie Zarządzanie uprawnieniami (CIEM) w usłudze Defender CSPM:

   AWS i GCP:

   • Rola administratora zabezpieczeń na poziomie subskrypcji.
   • Uprawnienie Application.ReadWrite.All na poziomie dzierżawy.

   Błękit:

   • Rola administratora zabezpieczeń na poziomie subskrypcji.
   • Microsoft.Authorization/roleAssignments/write uprawnienia do zapisu na poziomie subskrypcji.

2. Dołącz środowisko AWS lub GCP do usługi Defender for Cloud:

   • Tylko platforma AWS:łączenie konta platformy AWS z usługą Defender for Cloud.
   • Tylko GCP:Połącz projekt GCP z usługą Defender for Cloud.

3. Włącz usługę Defender CSPM w ramach subskrypcji platformy Azure, konta platformy AWS lub projektu GCP.

Włączanie modelu CIEM dla platformy Azure

Po włączeniu planu Defender CSPM na koncie Azure, standard Azure CSPM jest automatycznie przypisywany do subskrypcji. Standard CSPM platformy Azure zawiera zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmury (CIEM).

Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w ramach standardu AZURE CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender w Chmurze.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

6. Włącz zarządzanie uprawnieniami (CIEM).

   

7. Wybierz Kontynuuj.

8. Wybierz pozycję Zapisz.

Odpowiednie rekomendacje CIEM są wyświetlane w twojej subskrypcji w ciągu kilku godzin.

Lista zaleceń platformy Azure:

• Tożsamości w platformie Azure z nadmiernymi uprawnieniami powinny mieć tylko niezbędne uprawnienia

• Uprawnienia nieaktywnych tożsamości w ramach subskrypcji platformy Azure powinny zostać cofnięte

Włączanie modelu CIEM dla platformy AWS

Po włączeniu planu CSPM w usłudze Defender na koncie platformy AWS standard AWS CSPMzostanie automatycznie przypisany do subskrypcji. Standard CSPM platformy AWS udostępnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM). Gdy zarządzanie uprawnieniami jest wyłączone, rekomendacje CIEM w ramach standardu AWS CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender w Chmurze.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiednie konto platformy AWS.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

   

6. Włącz zarządzanie uprawnieniami (CIEM).

7. Wybierz pozycję Konfiguruj dostęp.

8. Wybierz metodę wdrażania.

9. Uruchom zaktualizowany skrypt w środowisku platformy AWS, korzystając z instrukcji wyświetlanych na ekranie.

10. Zaznacz pole wyboru CloudFormation template has been updated on AWS environment (Stack) (Szablon CloudFormation został zaktualizowany w środowisku AWS (Stack).

    

11. Wybierz pozycję Przejrzyj i wygeneruj.

12. Wybierz Aktualizuj.

Odpowiednie rekomendacje CIEM są wyświetlane w twojej subskrypcji w ciągu kilku godzin.

Lista zaleceń platformy AWS:

• Tożsamości w AWS o nadmiernych uprawnieniach powinny mieć tylko niezbędne uprawnienia.

• Uprawnienia tożsamości nieaktywnych na koncie platformy AWS powinny zostać odwołane

Włącz CIEM dla platformy GCP

Po włączeniu planu Defender CSPM w projekcie GCP, standard GCP CSPMjest automatycznie przypisywany do Twojej subskrypcji. Standard GCP CSPM zapewnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM).

Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w standardzie GCP CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender w Chmurze.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiedni projekt GCP.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

   

6. Przełącz Zarządzanie uprawnieniami (CIEM) na Włączono.

7. Wybierz pozycję Zapisz.

8. Wybierz pozycję Dalej: Skonfiguruj dostęp.

9. Wybierz odpowiedni typ uprawnień.

10. Wybierz metodę wdrażania.

11. Uruchom zaktualizowany skrypt cloud shell lub Terraform w środowisku GCP, korzystając z instrukcji wyświetlanych na ekranie.

12. Zaznacz pole wyboru Uruchomiłem szablon wdrożenia, aby zmiany weszły w życie.

    

13. Wybierz pozycję Przejrzyj i wygeneruj.

14. Wybierz Aktualizuj.

Odpowiednie rekomendacje CIEM są wyświetlane w twojej subskrypcji w ciągu kilku godzin.

Lista zaleceń GCP:

• Tożsamości z nadmiernie aprowizowane w GCP powinny mieć tylko niezbędne uprawnienia.

• Uprawnienia nieaktywnych tożsamości w projekcie GCP powinny zostać cofnięte

Znane ograniczenia

Nie można zintegrować kont usług AWS i GCP dołączonych do usługi Permissions Management przed włączeniem modelu CIEM w usłudze Defender for Cloud.

Aby zapewnić pomyślną integrację, przed dołączenia tych kont włącz opcję CIEM do zarządzania uprawnieniami.