Permissions Management (CIEM) を有効にする
Microsoft Defender for Cloud の Microsoft Entra Permissions Management (Permissions Management) との統合では、組織がクラウド インフラストラクチャ内のユーザー アクセスとエンタイトルメントを管理および制御するのに役立つクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) セキュリティ モデルが提供されます。 CIEM は、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) ソリューションの重要なコンポーネントであり、誰または何が特定のリソースにアクセスできるかを可視化します。 これにより、アクセス権が最小特権の原則 (PoLP) に従うことが保証され、ユーザーまたはワークロード ID (アプリやサービスなど) は、タスクの実行に必要な最小限のアクセス レベルのみを受け取ります。 また、CIEM は、組織が Azure、AWS、GCP を含む複数のクラウド環境でアクセス許可の監視と管理を行うのにも役立ちます。
開始する前に
Azure サブスクリプション、AWS アカウント、または GCP プロジェクトで、Defender CSPM を有効にする必要があります。
次のロールとアクセス許可を持っている
- AWS と GCP: セキュリティ管理者、Application.ReadWrite.All
- Azure: セキュリティ管理者、Microsoft.Authorization/roleAssignments/write
AWS のみ: AWS アカウントを Defender for Cloud に接続します。
Azure に対して Permissions Management (CIEM) を有効にする
Azure アカウントで Defender CSPM プランを有効にすると、Azure CSPM Standard がサブスクリプションに自動的に割り当てられます。 Azure CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。
Permissions Management (CIEM) を無効にすると、Azure CSPM Standard 内での CIEM の推奨事項は計算されなくなります。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
[環境設定] に移動します。
関連するサブスクリプションを選びます。
Defender CSPM プランを見つけて、[設定] を選びます。
Permissions Management (CIEM) を有効にします。
続行を選択します。
[保存] を選択します。
数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。
Azure 推奨事項の一覧:
Azure のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります
Azure サブスクリプション内の非アクティブな ID のアクセス許可を取り消す必要がある
AWS に対して Permissions Management (CIEM) を有効にする
AWS アカウントで Defender CSPM プランを有効にすると、AWS CSPM Standard がサブスクリプションに自動的に割り当てられます。 AWS CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。 Permissions Management を無効にすると、AWS CSPM Standard 内での CIEM の推奨事項は計算されなくなります。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
[環境設定] に移動します。
関連する AWS アカウントを選びます。
Defender CSPM プランを見つけて、[設定] を選びます。
Permissions Management (CIEM) を有効にします。
[アクセスの構成] を選択します。
関連するアクセス許可の種類を選びます。
デプロイメント方法を選びます。
画面の指示に従い、更新されたスクリプトを AWS 環境で実行します。
[AWS 環境で CloudFormation テンプレートが更新されました (スタック)] チェックボックスをオンにします。
[確認と生成] を選択します。
[更新] を選択します。
数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。
AWS 推奨事項の一覧:
AWS のオーバープロビジョニングされた ID には、必要なアクセス許可のみを割り当てる必要があります
AWS アカウント内の非アクティブな ID のアクセス許可を取り消す必要があります
GCP に対して Permissions Management (CIEM) を有効にする
GCP プロジェクトで Defender CSPM プランを有効にすると、GCP CSPM Standard がサブスクリプションに自動的に割り当てられます。 GCP CSPM Standard では、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) の推奨事項が提供されます。
Permissions Management (CIEM) を無効にすると、GCP CSPM Standard 内での CIEM の推奨事項は計算されなくなります。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
[環境設定] に移動します。
関連する GCP プロジェクトを選びます。
Defender CSPM プランを見つけて、[設定] を選びます。
Permissions Management (CIEM) を [オン] に切り替えます。
[保存] を選択します。
[次: アクセスの構成] を選択します。
関連するアクセス許可の種類を選びます。
デプロイメント方法を選びます。
画面の指示に従い、Cloud Shell または Terraform の更新されたスクリプトを GCP 環境で実行します。
[変更を有効にするために展開テンプレートを実行しました] チェックボックスをオンにします。
[確認と生成] を選択します。
[更新] を選択します。
数時間以内に、適用される Permissions Management (CIEM) の推奨事項がサブスクリプションに表示されます。
GCP 推奨事項の一覧:
GCP の過剰プロビジョニングされた ID には必要なアクセス許可のみを持たせる必要がある
GCP プロジェクト内の非アクティブな ID のアクセス許可を取り消す必要がある