アクセス制御要件の決定

この記事は、Microsoft Defender for Cloud を使用してマルチクラウド リソース全体のクラウド セキュリティ態勢管理 (CSPM) とクラウド ワークロード保護 (CWP) のソリューションを設計するときのガイダンスを提供するシリーズの一部です。

目標

マルチクラウドのデプロイで必要なアクセス許可とアクセス制御を明らかにします。

はじめに

マルチクラウド ソリューション設計の一環として、ユーザーが利用できるマルチクラウド リソースのアクセス要件を確認する必要があります。 計画を立て、次の質問に答え、メモを取り、答えの理由を明確にします。

• マルチクラウド リソースの推奨事項とアラートにアクセスする必要があるのは誰ですか?
• マルチクラウド リソースと環境は、異なるチームによって所有されていますか? その場合、各チームに同じレベルのアクセス権が必要ですか?
• 特定のリソースへのアクセスを、特定のユーザーとグループに制限する必要がありますか? その場合、Azure、AWS、GCP リソースのアクセスを、どのような方法で制限できますか?
• 組織で、ID とアクセス管理 (IAM アクセス許可) をリソース グループ レベルに継承する必要がありますか?
• 次のことを行うユーザーについて、IAM の要件を決定する必要がありますか?
  • VM と AWS EC2 に JIT の攻撃面の減少を実装する
  • セキュリティ オペレーション

明確な回答が得られたら、Defender for Cloud のアクセス要件を明らかにできます。 その他の考慮事項:

• Defender for Cloud のマルチクラウド機能は、IAM アクセス許可の継承をサポートします。
• AWS と GCP コネクタが存在するリソース グループ レベルに対してユーザーが持つアクセス許可は、どのようなものでも、マルチクラウドの推奨事項とセキュリティ アラートに自動的に継承されます。

次のステップ

この記事では、マルチクラウド セキュリティ ソリューションを設計するときに、アクセス制御の要件のニーズを特定する方法について説明しました。 マルチクラウドの依存関係を決定する次のステップに進んでください。