Włączanie zarządzania uprawnieniami (CIEM)
integracja Microsoft Defender dla Chmury z usługą Zarządzanie uprawnieniami Microsoft Entra (Permissions Management) zapewnia model zabezpieczeń zarządzania upoważnieniami do infrastruktury chmury (CIEM), który pomaga organizacjom zarządzać dostępem użytkowników i uprawnieniami oraz kontrolować ich uprawnienia w infrastrukturze chmury. CIEM to krytyczny składnik rozwiązania Cloud Native Application Protection Platform (CNAPP), który zapewnia wgląd w to, kto lub co ma dostęp do określonych zasobów. Gwarantuje to, że prawa dostępu są zgodne z zasadą najniższych uprawnień (PoLP), gdzie tożsamości użytkowników lub obciążeń, takich jak aplikacje i usługi, otrzymują tylko minimalne poziomy dostępu niezbędne do wykonywania swoich zadań. CiEM pomaga również organizacjom monitorować uprawnienia i zarządzać nimi w wielu środowiskach chmury, w tym na platformie Azure, AWS i GCP.
Przed rozpoczęciem
Musisz włączyć CSPM w usłudze Defender w ramach subskrypcji platformy Azure, konta platformy AWS lub projektu GCP.
Mają następujące role i uprawnienia
- AWS i GCP: Administrator zabezpieczeń, Application.ReadWrite.All
- Azure: Administrator zabezpieczeń, Microsoft.Authorization/roleAssignments/write
Tylko platforma AWS: połącz konto platformy AWS z Defender dla Chmury.
Tylko GCP: połącz projekt GCP z Defender dla Chmury.
Włączanie zarządzania uprawnieniami (CIEM) dla platformy Azure
Po włączeniu planu CSPM w usłudze Defender na koncie platformy Azure standard CSPM platformy Azure jest automatycznie przypisywany do subskrypcji. Standard CSPM platformy Azure zawiera zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmury (CIEM).
Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w standardzie Azure CSPM nie będą obliczane.
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
Przejdź do obszaru Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.
Włącz zarządzanie uprawnieniami (CIEM).
Wybierz Kontynuuj.
Wybierz pozycję Zapisz.
Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.
Lista zaleceń platformy Azure:
Tożsamości z nadmierną aprowizą platformy Azure powinny mieć tylko niezbędne uprawnienia
Uprawnienia nieaktywnych tożsamości w ramach subskrypcji platformy Azure powinny zostać odwołane
Włączanie zarządzania uprawnieniami (CIEM) dla platformy AWS
Po włączeniu planu CSPM w usłudze Defender na koncie platformy AWS standard AWS CSPM zostanie automatycznie przypisany do subskrypcji. Standard CSPM platformy AWS udostępnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM). Gdy zarządzanie uprawnieniami jest wyłączone, rekomendacje CIEM w standardzie AWS CSPM nie zostaną obliczone.
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
Przejdź do obszaru Ustawienia środowiska.
Wybierz odpowiednie konto platformy AWS.
Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.
Włącz zarządzanie uprawnieniami (CIEM).
Wybierz pozycję Konfiguruj dostęp.
Wybierz odpowiedni typ uprawnień.
Wybierz metodę wdrażania.
Uruchom zaktualizowany skrypt w środowisku platformy AWS, korzystając z instrukcji wyświetlanych na ekranie.
Zaznacz pole wyboru CloudFormation template has been updated on AWS environment (Stack) (Szablon CloudFormation został zaktualizowany w środowisku AWS (Stack).
Wybierz pozycję Przejrzyj i wygeneruj.
Wybierz Aktualizuj.
Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.
Lista zaleceń platformy AWS:
Tożsamości z nadmierną aprowizowaną usługą AWS powinny mieć tylko niezbędne uprawnienia
Uprawnienia tożsamości nieaktywnych na koncie platformy AWS powinny zostać odwołane
Włączanie zarządzania uprawnieniami (CIEM) dla GCP
Po włączeniu planu CSPM w usłudze Defender w projekcie GCP standard GCP CSPM jest automatycznie przypisywany do subskrypcji. Standard GCP CSPM zapewnia zalecenia dotyczące zarządzania upoważnieniami do infrastruktury chmurowej (CIEM).
Gdy zarządzanie uprawnieniami (CIEM) jest wyłączone, rekomendacje CIEM w standardzie GCP CSPM nie będą obliczane.
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.
Przejdź do obszaru Ustawienia środowiska.
Wybierz odpowiedni projekt GCP.
Znajdź plan CSPM w usłudze Defender i wybierz pozycję Ustawienia.
Przełącz pozycję Zarządzanie uprawnieniami (CIEM) na Wł.
Wybierz pozycję Zapisz.
Wybierz pozycję Dalej: Skonfiguruj dostęp.
Wybierz odpowiedni typ uprawnień.
Wybierz metodę wdrażania.
Uruchom zaktualizowany skrypt cloud shell lub Terraform w środowisku GCP, korzystając z instrukcji wyświetlanych na ekranie.
Dodaj znacznik wyboru do uruchomionego szablonu wdrożenia, aby zmiany zaczęły obowiązywać .
Wybierz pozycję Przejrzyj i wygeneruj.
Wybierz Aktualizuj.
Odpowiednie zalecenia dotyczące zarządzania uprawnieniami (CIEM) są wyświetlane w ramach subskrypcji w ciągu kilku godzin.
Lista zaleceń GCP:
Tożsamości z nadmierną aprowizowaną usługą GCP powinny mieć tylko niezbędne uprawnienia
Uprawnienia tożsamości nieaktywnych w projekcie GCP powinny zostać odwołane