Compartilhar via

Habilitar o CIEM (gerenciamento de direitos de infraestrutura de nuvem)

O Microsoft Defender para Nuvem fornece um modelo de segurança ciem (gerenciamento de direitos de infraestrutura de nuvem) que ajuda as organizações a gerenciar e controlar o acesso e os direitos do usuário em sua infraestrutura de nuvem. O CIEM é um componente crítico da solução Plataforma de Proteção de Aplicativo Nativo de Nuvem (CNAPP) que fornece visibilidade sobre quem ou o que tem acesso a recursos específicos. Isso garante que os direitos de acesso sigam o princípio de privilégios mínimos (PoLP), em que os usuários ou as identidades de carga de trabalho, como aplicativos e serviços, recebam apenas os níveis mínimos de acesso necessários para o desempenho de suas tarefas. O CIEM também ajuda as organizações a monitorar e gerenciar permissões em vários ambientes de nuvem, incluindo Azure, Amazon Web Services (AWS) e GCP (Google Cloud Platform).

Antes de começar

  1. Verifique se você tem as funções e permissões certas para cada ambiente de nuvem habilitar a extensão ciem (Gerenciamento de Permissões) no Defender CSPM:

    AWS e GCP:

    Azul:

  2. Integre seu ambiente AWS ou GCP ao Defender para Nuvem:

  3. Habilite o Defender CSPM em sua assinatura do Azure, na conta do AWS ou no projeto GCP.

Habilitar o CIEM para o Azure

Quando você habilita o plano do GPSN do Defender em sua conta do Azure, o padrão de GPSN do Azure é atribuído automaticamente à sua assinatura. O padrão de GSPN do Azure fornece recomendações de CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem).

Quando o CIEM (Gerenciamento de Permissões) estiver desabilitado, as recomendações do CIEM dentro do padrão de GPSN do Azure não serão calculadas.

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. Navegue até as Configurações de ambiente.

  4. Selecione a assinatura relevante.

  5. Localize o plano de GPSN do Defender e selecione Configurações.

  6. Habilitar o CIEM (Gerenciamento de Permissões).

    Captura de tela que mostra onde está a alternância para o gerenciamento de permissões.

  7. Selecione Continuar.

  8. Selecione Salvar.

As recomendações CIEM aplicáveis serão exibidas em sua assinatura em poucas horas.

Lista de recomendações do Azure:

  • As identidades superprovisionadas do Azure devem ter apenas as permissões necessárias

  • As permissões de identidades inativas em sua assinatura do Azure devem ser revogadas

Habilitar CIEM para AWS

Quando você habilita o plano do GPSN do Defender na sua conta da AWS, o padrão de GPSN da AWS é atribuído automaticamente à sua assinatura. O padrão de GSPN do AWS fornece recomendações de CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem). Quando o Gerenciamento de Permissões estiver desabilitado, as recomendações do CIEM dentro do padrão de GSPN do AWS não serão calculadas.

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. Navegue até as Configurações de ambiente.

  4. Selecione a conta relevante do AWS.

  5. Localize o plano de GPSN do Defender e selecione Configurações.

    Captura de tela que mostra uma conta do AWS e o plano de GPSN do Defender habilitados e onde o botão de configurações está localizado.

  6. Habilitar o CIEM (Gerenciamento de Permissões).

  7. Selecione Configurar acesso.

  8. Selecione um método de implantação.

  9. Execute o script atualizado em seu ambiente AWS usando as instruções na tela.

  10. Marque a caixa de seleção O modelo CloudFormation foi atualizado no ambiente AWS (Pilha).

    Captura de tela que mostra onde a caixa de seleção está localizada na tela.

  11. Selecione Revisar e gerar.

  12. Selecione Atualizar.

As recomendações CIEM aplicáveis serão exibidas em sua assinatura em poucas horas.

Lista de recomendações da AWS:

  • As identidades superprovisionadas do AWS devem ter apenas as permissões necessárias

  • As permissões de identidades inativas em sua conta do AWS devem ser revogadas

Habilitar CIEM para GCP

Quando você habilita o plano do GPSN do Defender no seu projeto do GCP, o padrão de GPSN do GCP é atribuído automaticamente à sua assinatura. O padrão de GSPN do GCP fornece recomendações de CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem).

Quando o CIEM (Gerenciamento de Permissões) estiver desabilitado, as recomendações do CIEM dentro do padrão de GPSN do GCP não serão calculadas.

  1. Entre no portal do Azure.

  2. Pesquise pelo Microsoft Defender para Nuvem e selecione-o.

  3. Navegue até as Configurações de ambiente.

  4. Selecione o projeto GCP relevante.

  5. Localize o plano de GPSN do Defender e selecione Configurações.

    Captura de tela que mostra onde selecionar as configurações do plano de GPSN do Defender para seu projeto GCP.

  6. Alterne o Gerenciamento de Permissões (CIEM) para Ativado.

  7. Selecione Salvar.

  8. Selecione Avançar: configurar acesso.

  9. Selecione o tipo de permissões relevante.

  10. Selecione um método de implantação.

  11. Execute o script atualizado do Cloud Shell ou do Terraform em seu ambiente GCP usando as instruções na tela.

  12. Marque a caixa de seleção Eu executei o modelo de implantação para que as alterações entrem em vigor.

    Captura de tela que mostra a caixa de seleção que precisa ser selecionada.

  13. Selecione Revisar e gerar.

  14. Selecione Atualizar.

As recomendações CIEM aplicáveis serão exibidas em sua assinatura em poucas horas.

Lista de recomendações do GCP:

  • As identidades superprovisionadas do GCP devem ter apenas as permissões necessárias

  • As permissões de identidades inativas em seu projeto GCP devem ser revogadas

Limitações conhecidas

As contas AWS e GCP que foram integradas ao Gerenciamento de Permissões antes de habilitar o CIEM no Defender para Nuvem não podem ser integradas.

Para garantir a integração bem-sucedida, habilite o CIEM antes de integrar essas contas ao Gerenciamento de Permissões.

  • Last updated on