Włączanie zarządzania uprawnieniami (CIEM)

integracja Microsoft Defender dla Chmury z usługą Zarządzanie uprawnieniami Microsoft Entra (Permissions Management) zapewnia model zabezpieczeń zarządzania upoważnieniami do infrastruktury chmury (CIEM), który pomaga organizacjom zarządzać dostępem użytkowników i uprawnieniami oraz kontrolować ich uprawnienia w infrastrukturze chmury. CIEM to krytyczny składnik rozwiązania Cloud Native Application Protection Platform (CNAPP), który zapewnia wgląd w to, kto lub co ma dostęp do określonych zasobów. Gwarantuje to, że prawa dostępu są zgodne z zasadą najniższych uprawnień (PoLP), gdzie tożsamości użytkowników lub obciążeń, takich jak aplikacje i usługi, otrzymują tylko minimalne poziomy dostępu niezbędne do wykonywania swoich zadań. CiEM pomaga również organizacjom monitorować uprawnienia i zarządzać nimi w wielu środowiskach chmury, w tym na platformie Azure, AWS i GCP.

Przed rozpoczęciem

• Musisz włączyć CSPM w usłudze Defender w ramach subskrypcji platformy Azure, konta platformy AWS lub projektu GCP.

• Musisz mieć następujące role i uprawnienia platformy Azure, w zależności od środowiska chmury, aby włączyć rozszerzenie zarządzanie uprawnieniami (CIEM) CSPM w usłudze Defender:

  • AWS i GCP: rola administratora zabezpieczeń i uprawnienie Application.ReadWrite.All dla dzierżawy.
  • Azure: rola administratora zabezpieczeń i uprawnienie Microsoft.Authorization/roleAssignments/write dla subskrypcji.

• Tylko platforma AWS: połącz konto platformy AWS z Defender dla Chmury.

• Tylko GCP: połącz projekt GCP z Defender dla Chmury.

Włączanie zarządzania uprawnieniami (CIEM) dla platformy Azure

Po włączeniu planu CSPM w usłudze Defender na koncie platformy Azure standard CSPM platformy Azure jest automatycznie przypisywany do subskrypcji. Standard CSPM platformy Azure zawiera zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmury (CIEM).

Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w ramach standardu AZURE CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

6. Włącz zarządzanie uprawnieniami (CIEM).

   

7. Wybierz Kontynuuj.

8. Wybierz pozycję Zapisz.

Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.

Lista zaleceń platformy Azure:

• Tożsamości z nadmierną aprowizą platformy Azure powinny mieć tylko niezbędne uprawnienia

• Uprawnienia nieaktywnych tożsamości w ramach subskrypcji platformy Azure powinny zostać odwołane

Włączanie zarządzania uprawnieniami (CIEM) dla platformy AWS

Po włączeniu planu CSPM w usłudze Defender na koncie platformy AWS standard AWS CSPM zostanie automatycznie przypisany do subskrypcji. Standard CSPM platformy AWS udostępnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM). Gdy zarządzanie uprawnieniami jest wyłączone, rekomendacje CIEM w ramach standardu AWS CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiednie konto platformy AWS.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

   

6. Włącz zarządzanie uprawnieniami (CIEM).

7. Wybierz pozycję Konfiguruj dostęp.

8. Wybierz odpowiedni typ uprawnień.

9. Wybierz metodę wdrażania.

10. Uruchom zaktualizowany skrypt w środowisku platformy AWS, korzystając z instrukcji wyświetlanych na ekranie.

11. Zaznacz pole wyboru CloudFormation template has been updated on AWS environment (Stack) (Szablon CloudFormation został zaktualizowany w środowisku AWS (Stack).

    

12. Wybierz pozycję Przejrzyj i wygeneruj.

13. Wybierz Aktualizuj.

Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.

Lista zaleceń platformy AWS:

• Tożsamości z nadmierną aprowizowaną usługą AWS powinny mieć tylko niezbędne uprawnienia

• Uprawnienia tożsamości nieaktywnych na koncie platformy AWS powinny zostać odwołane

Włączanie zarządzania uprawnieniami (CIEM) dla GCP

Po włączeniu planu CSPM w usłudze Defender w projekcie GCP standard GCP CSPM jest automatycznie przypisywany do subskrypcji. Standard GCP CSPM zapewnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM).

Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w standardzie GCP CSPM nie są obliczane.

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. Przejdź do obszaru Ustawienia środowiska.

4. Wybierz odpowiedni projekt GCP.

5. Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.

   

6. Przełącz pozycję Zarządzanie uprawnieniami (CIEM) na Wł.

7. Wybierz pozycję Zapisz.

8. Wybierz pozycję Dalej: Skonfiguruj dostęp.

9. Wybierz odpowiedni typ uprawnień.

10. Wybierz metodę wdrażania.

11. Uruchom zaktualizowany skrypt cloud shell lub Terraform w środowisku GCP, korzystając z instrukcji wyświetlanych na ekranie.

12. Dodaj znacznik wyboru do uruchomionego szablonu wdrożenia, aby zmiany zaczęły obowiązywać .

    

13. Wybierz pozycję Przejrzyj i wygeneruj.

14. Wybierz Aktualizuj.

Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.

Lista zaleceń GCP:

• Tożsamości z nadmierną aprowizowaną usługą GCP powinny mieć tylko niezbędne uprawnienia

• Uprawnienia tożsamości nieaktywnych w projekcie GCP powinny zostać odwołane

Następny krok

Zarządzanie uprawnieniami Microsoft Entra.