Partilhar via

Habilitar o gerenciamento de direitos de infraestrutura em nuvem (CIEM)

O Microsoft Defender for Cloud fornece um modelo de segurança CIEM (gerenciamento de direitos de infraestrutura em nuvem) que ajuda as organizações a gerenciar e controlar o acesso e os direitos dos usuários em sua infraestrutura de nuvem. O CIEM é um componente crítico da solução Cloud Native Application Protection Platform (CNAPP) que fornece visibilidade sobre quem ou o que tem acesso a recursos específicos. Ele garante que os direitos de acesso sigam o princípio do menor privilégio (PoLP), em que os usuários ou identidades de carga de trabalho, como aplicativos e serviços, recebem apenas os níveis mínimos de acesso necessários para executar suas tarefas. O CIEM também ajuda as organizações a monitorar e gerenciar permissões em vários ambientes de nuvem, incluindo Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Antes de começar

  1. Verifique se você tem as funções e permissões corretas para cada ambiente de nuvem para habilitar a extensão CIEM (Gerenciamento de Permissões) no Defender CSPM:

    AWS e GCP:

    Azure:

  2. Integre seu ambiente AWS ou GCP ao Defender for Cloud:

  3. Habilite o Defender CSPM em sua assinatura do Azure, conta da AWS ou projeto GCP.

Habilitar o CIEM para Azure

Quando você habilita o plano Defender CSPM em sua conta do Azure, o padrão do Azure CSPMé atribuído automaticamente à sua assinatura. O padrão do Azure CSPM fornece recomendações de CIEM (Gerenciamento de Direitos de Infraestrutura de Nuvem).

Quando o Gerenciamento de Permissões (CIEM) está desabilitado, as recomendações do CIEM dentro do padrão do Azure CSPM não são calculadas.

  1. Inicie sessão no portal Azure.

  2. Procure e selecione Microsoft Defender for Cloud.

  3. Navegue até Configurações do ambiente.

  4. Selecione a subscrição relevante.

  5. Localize o plano Defender CSPM e selecione Configurações.

  6. Habilite o CIEM (Gerenciamento de Permissões).

    Captura de tela que mostra onde está localizada a alternância para o gerenciamento de permissões.

  7. Selecione Continuar.

  8. Selecione Guardar.

As recomendações CIEM aplicáveis aparecem na sua subscrição dentro de algumas horas.

Lista de recomendações do Azure:

  • As identidades superprovisionadas do Azure devem ter apenas as permissões necessárias

  • As permissões de identidades inativas em sua assinatura do Azure devem ser revogadas

Habilite o CIEM para AWS

Quando você ativou o plano Defender CSPM em sua conta da AWS, o padrão do AWS CSPMé atribuído automaticamente à sua assinatura. O padrão AWS CSPM fornece recomendações de gerenciamento de direitos de infraestrutura na nuvem (CIEM). Quando o Gerenciamento de permissões é desativado, as recomendações do CIEM dentro do padrão do AWS CSPM não são calculadas.

  1. Inicie sessão no portal Azure.

  2. Procure e selecione Microsoft Defender for Cloud.

  3. Navegue até Configurações do ambiente.

  4. Selecione a conta relevante da AWS.

  5. Localize o plano Defender CSPM e selecione Configurações.

    Captura de tela que mostra uma conta da AWS e o plano Defender CSPM ativado e onde o botão de configurações está localizado.

  6. Habilite o CIEM (Gerenciamento de Permissões).

  7. Selecione Configurar acesso.

  8. Selecione um método de implantação.

  9. Execute o script atualizado em seu ambiente da AWS usando as instruções na tela.

  10. Marque a caixa de seleção O modelo do CloudFormation foi atualizado no ambiente da AWS (Stack).

    Captura de tela que mostra onde a caixa de seleção está localizada na tela.

  11. Selecione Revisão e Geração.

  12. Selecione Atualizar.

As recomendações CIEM aplicáveis aparecem na sua subscrição dentro de algumas horas.

Lista de recomendações da AWS:

  • As identidades superprovisionadas da AWS devem ter apenas as permissões necessárias

  • As permissões de identidades inativas em sua conta da AWS devem ser revogadas

Habilitar o CIEM para GCP

Quando você habilitou o plano Defender CSPM em seu projeto GCP, o padrão GCP CSPMé atribuído automaticamente à sua assinatura. O padrão GCP CSPM fornece recomendações de CIEM (Cloud Infrastructure Entitlement Management).

Quando o Gerenciamento de Permissões (CIEM) é desativado, as recomendações do CIEM dentro do padrão GCP CSPM não são calculadas.

  1. Inicie sessão no portal Azure.

  2. Procure e selecione Microsoft Defender for Cloud.

  3. Navegue até Configurações do ambiente.

  4. Selecione o projeto GCP relevante.

  5. Localize o plano Defender CSPM e selecione Configurações.

    Captura de tela que mostra onde selecionar as configurações para o plano Defender CSPM para seu projeto GCP.

  6. Alterne o CIEM (Gerenciamento de Permissões) para Ativado.

  7. Selecione Guardar.

  8. Selecione Seguinte: Configurar acesso.

  9. Selecione o tipo de permissões relevante.

  10. Selecione um método de implantação.

  11. Execute o shell Cloud atualizado ou o script Terraform em seu ambiente GCP usando as instruções na tela.

  12. Marque a caixa de seleção Executei o modelo de implantação para que as alterações entrem em vigor.

    Captura de tela que mostra a caixa de seleção que precisa ser selecionada.

  13. Selecione Revisão e Geração.

  14. Selecione Atualizar.

As recomendações CIEM aplicáveis aparecem na sua subscrição dentro de algumas horas.

Lista de recomendações do GCP:

  • As identidades superprovisionadas do GCP devem ter apenas as permissões necessárias

  • As permissões de identidades inativas no seu projeto GCP devem ser revogadas

Limitações conhecidas

As contas da AWS e do GCP que foram integradas ao Gerenciamento de permissões antes de habilitar o CIEM no Defender for Cloud não podem ser integradas.

Para garantir uma integração bem-sucedida, habilite o CIEM antes de integrar essas contas ao Gerenciamento de Permissões.

  • Last updated on