Sdílet prostřednictvím

Povolení správy oprávnění (CIEM)

  • Článek

Integrace Microsoft Defenderu pro cloud s Správa oprávnění Microsoft Entra (Správa oprávnění) poskytuje model zabezpečení CIEM (Cloud Infrastructure Entitlement Management), který organizacím pomáhá spravovat a řídit přístup uživatelů a nároky v cloudové infrastruktuře. CIEM je důležitou součástí řešení CNAPP (Cloud Native Application Protection Platform), které poskytuje přehled o tom, kdo nebo co má přístup ke konkrétním prostředkům. Zajišťuje, aby přístupová práva dodržovala zásadu nejnižších oprávnění (PoLP), kdy uživatelé nebo identity úloh, jako jsou aplikace a služby, přijímají pouze minimální úrovně přístupu potřebné k provádění jejich úkolů. CIEM také pomáhá organizacím monitorovat a spravovat oprávnění napříč několika cloudovými prostředími, včetně Azure, AWS a GCP.

Než začnete

Povolení správy oprávnění (CIEM) pro Azure

Pokud jste na svém účtu Azure povolili plán CSPM v programu Defender, standard Azure CSPM se automaticky přiřadí k vašemu předplatnému. Standard Azure CSPM poskytuje doporučení pro správu nároků na cloudovou infrastrukturu (CIEM).

Pokud je správa oprávnění (CIEM) zakázaná, nebudou se počítat doporučení CIEM v rámci standardu Azure CSPM.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

  3. Přejděte do nastavení prostředí.

  4. Vyberte příslušné předplatné.

  5. Vyhledejte plán CSPM v programu Defender a vyberte Nastavení.

  6. Povolení správy oprávnění (CIEM)

    Snímek obrazovky znázorňující umístění přepínače pro správu oprávnění

  7. Zvolte Pokračovat.

  8. Zvolte Uložit.

Příslušná doporučení pro správu oprávnění (CIEM) se ve vašem předplatném zobrazí během několika hodin.

Seznam doporučení Azure:

  • Nadměrné zřízení identit Azure by mělo mít pouze potřebná oprávnění.

  • Oprávnění neaktivních identit ve vašem předplatném Azure by se měla odvolat.

Povolení správy oprávnění (CIEM) pro AWS

Pokud jste na svém účtu AWS povolili plán CSPM v programu Defender, standard AWS CSPM se automaticky přiřadí k vašemu předplatnému. Standard AWS CSPM poskytuje doporučení pro správu nároků na cloudovou infrastrukturu (CIEM). Pokud je správa oprávnění zakázaná, nebudou se počítat doporučení CIEM v rámci standardu AWS CSPM.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

  3. Přejděte do nastavení prostředí.

  4. Vyberte příslušný účet AWS.

  5. Vyhledejte plán CSPM v programu Defender a vyberte Nastavení.

    Snímek obrazovky s povoleným účtem AWS a plánem CSPM v programu Defender a umístěním tlačítka Nastavení

  6. Povolení správy oprávnění (CIEM)

  7. Vyberte Konfigurovat přístup.

  8. Vyberte odpovídající typ oprávnění.

  9. Vyberte metodu nasazení.

  10. Spusťte aktualizovaný skript v prostředí AWS pomocí pokynů na obrazovce.

  11. Zkontrolujte, jestli se šablona CloudFormation aktualizovala u zaškrtávacího políčka prostředí AWS (Stack).

    Snímek obrazovky znázorňující umístění zaškrtávacího políčka na obrazovce

  12. Vyberte Zkontrolovat a vygenerovat.

  13. Vyberte Aktualizovat.

Příslušná doporučení pro správu oprávnění (CIEM) se ve vašem předplatném zobrazí během několika hodin.

Seznam doporučení AWS:

  • Nadměrné identity AWS by měly mít pouze potřebná oprávnění.

  • Oprávnění neaktivních identit ve vašem účtu AWS by měla být odvolána.

Povolení správy oprávnění (CIEM) pro GCP

Když v projektu GCP povolíte plán CSPM v programu Defender, přiřadí se k vašemu předplatnému automaticky standard GCP CSPM. Standard GCP CSPM poskytuje doporučení pro správu nároků na cloudovou infrastrukturu (CIEM).

Pokud je správa oprávnění (CIEM) zakázaná, nebudou se počítat doporučení CIEM v rámci standardu GCP CSPM.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte možnost Microsoft Defender for Cloud.

  3. Přejděte do nastavení prostředí.

  4. Vyberte příslušný projekt GCP.

  5. Vyhledejte plán CSPM v programu Defender a vyberte Nastavení.

    Snímek obrazovky, který ukazuje, kde vybrat nastavení pro plán CSPM v programu Defender pro váš projekt GCP

  6. Přepněte správu oprávnění (CIEM) na Zapnuto.

  7. Zvolte Uložit.

  8. Vyberte Další: Konfigurovat přístup.

  9. Vyberte odpovídající typ oprávnění.

  10. Vyberte metodu nasazení.

  11. Pomocí pokynů na obrazovce spusťte aktualizovaný skript Cloud Shellu nebo Terraformu v prostředí GCP.

  12. Přidejte do šablony nasazení kontrolu, aby se změny projevily .

    Snímek obrazovky znázorňující zaškrtávací políčko, které je potřeba vybrat

  13. Vyberte Zkontrolovat a vygenerovat.

  14. Vyberte Aktualizovat.

Příslušná doporučení pro správu oprávnění (CIEM) se ve vašem předplatném zobrazí během několika hodin.

Seznam doporučení GCP:

  • Nadměrné zřizování identit GCP by mělo mít pouze potřebná oprávnění.

  • Oprávnění neaktivních identit v projektu GCP by měla být odvolána.

Další krok

Správa oprávnění Microsoft Entra.