Berechtigungsverwaltung (CIEM)
Die Integration von Microsoft Defender for Cloud mit Microsoft Entra Permissions Management (Berechtigungsverwaltung) bietet ein Sicherheitsmodell für Cloud Infrastructure Entitlement Management (CIEM), mit dem Organisationen den Benutzerzugriff und die Berechtigungen in ihrer Cloudinfrastruktur verwalten und kontrollieren können. CIEM ist eine wichtige Komponente der Cloud Native Application Protection Platform-Lösung (CNAPP, Plattform für cloudnativen Anwendungsschutz), die Einblick in den Zugriff auf bestimmte Ressourcen bietet. CIEM stellt sicher, dass Zugriffsrechte dem Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) entsprechen, bei dem Benutzer*innen oder Workloadidentitäten wie Apps und Dienste nur die für die Durchführung ihrer Aufgaben mindestens erforderlichen Zugriffsebenen erhalten. CIEM hilft Organisationen auch bei der Überwachung und Verwaltung von Berechtigungen über mehreren Cloudumgebungen hinweg, einschließlich Azure, AWS und GCP.
Durch die Integration der Berechtigungsverwaltung mit Defender for Cloud (CNAPP) wird die Cloudsicherheit gestärkt, indem Sicherheitsverletzungen verhindert werden, die durch übermäßige Berechtigungen oder Fehlkonfigurationen verursacht werden. Die Berechtigungsverwaltung überwacht und verwaltet kontinuierlich Cloudberechtigungen und hilft dabei, Angriffsflächen und Bedrohungen zu erkennen, Zugriffsberechtigungen in der richtigen Größe zu erfassen und die Compliance aufrechtzuerhalten. Diese Integration verbessert die Funktionen von Defender for Cloud bei der Sicherung von cloudeigenen Anwendungen und dem Schutz vertraulicher Daten.
Durch diese Integration stehen Ihnen die folgenden aus der Microsoft Entra Permissions Management-Suite abgeleiteten Erkenntnisse im Microsoft Defender for Cloud-Portal zur Verfügung. Weitere Informationen finden Sie in der Featurematrix.
Gängige Anwendungsfälle und Szenarien
Die Funktionen der Berechtigungsverwaltung sind als wertvolle Komponente im Defender-Plan Cloud Security Posture Management (CSPM) integriert. Die integrierten Funktionen sind grundlegend und stellen die wesentlichen Funktionen in Microsoft Defender for Cloud bereit. Mit diesen zusätzlichen Funktionen können Sie Berechtigungsanalysen, nicht verwendete Berechtigungen für aktive Identitäten sowie Identitäten mit zu umfangreichen Berechtigungen nachverfolgen und diese Probleme dann gemäß der bewährten Methode der geringsten Rechte beheben.
Die Integration erstellt Empfehlungen unter der Sicherheitskontrolle „Zugriff und Berechtigungen verwalten“ auf der Empfehlungsseite von Defender for Cloud.
Bekannte Einschränkungen
AWS- und GCP-Konten, die in die Berechtigungsverwaltung integriert wurden, bevor dies in Defender for Cloud erfolgte, können nicht über Microsoft Defender for Cloud integriert werden.
Featurematrix
Das Integrationsfeature ist Teil des Defender CSPM-Plans und erfordert keine Lizenz für Berechtigungsverwaltung. Weitere Informationen zu sonstigen Funktionen, die Berechtigungsverwaltung bietet, finden Sie in der Featurematrix:
| Kategorie | Funktionen | Defender für Cloud | Verwaltung von Berechtigungen |
|---|---|---|---|
| Discover | Berechtigungsermittlung für Risikoidentitäten (einschließlich nicht verwendeter Identitäten, überdimensionierter aktiver Identitäten, Superidentitäten) in Azure, AWS, GCP | ✓ | ✓ |
| Discover | Permissions Creep Index (PCI) für Multi-Cloud-Umgebungen (Azure, AWS, GCP) und alle Identitäten | ✓ | ✓ |
| Discover | Berechtigungsermittlung für alle Identitäten, Gruppen in Azure, AWS, GCP | ❌ | ✓ |
| Discover | Analysen zur Berechtigungsnutzung, Rollen-/Richtlinienzuweisungen in Azure, AWS, GCP | ❌ | ✓ |
| Discover | Unterstützung für Identitätsanbieter (einschließlich AWS IAM Identity Center, Okta, GSuite) | ❌ | ✓ |
| Korrigieren | Automatisierte Löschung von Berechtigungen | ❌ | ✓ |
| Korrigieren | Korrigieren von Identitäten durch Anfügen/Trennen der Berechtigungen | ❌ | ✓ |
| Korrigieren | Generierung von benutzerdefinierten Rollen/AWS-Richtlinien basierend auf Aktivitäten von Identitäten, Gruppen usw. | ❌ | ✓ |
| Korrigieren | Berechtigungen bei Bedarf (zeitgebundener Zugriff) für menschliche Identitäten und Workloadidentitäten über Microsoft Entra Admin Center, APIs, ServiceNow-App | ❌ | ✓ |
| Monitor | ML-gestützte Anomalieerkennung | ❌ | ✓ |
| Monitor | Aktivitäts-, regelbasierte Warnungen | ❌ | ✓ |
| Monitor | Kontextreiche forensische Berichte (z. B. PCI-Verlaufsbericht, Benutzerberechtigungs- und Nutzungsbericht usw.) | ❌ | ✓ |
Zugehöriger Inhalt
Erfahren Sie, wie Sie die Berechtigungsverwaltung in Microsoft Defender for Cloud aktivieren.