本页面介绍了如何在Google Cloud 控制台中处理与身份和访问权限相关的安全问题(身份和访问权限发现结果),以便调查和发现潜在的错误配置。
作为企业版提供的 Cloud Infrastructure Entitlement Management (CIEM) 功能的一部分,Security Command Center 会生成身份和访问权限发现结果,并使其可在 Security Command Center 风险概览页面上轻松访问。这些发现结果经过整理,并归类到身份和访问权限发现结果窗格下。
准备工作
在继续之前,请确保您已完成以下任务:
在“发现结果”页面上查看身份和访问权限发现结果
Security Command Center 发现结果页面上的身份视图会显示云环境(例如 Google Cloud 和 Amazon Web Services (AWS))中的身份和访问权限发现结果。
在 Google Cloud 控制台中,选择导航栏中的发现结果。
选择身份视图。
身份视图会添加过滤条件,以仅显示 domains.category 字段包含值 IDENTITY_AND_ACCESS 的发现结果。
如需仅显示来自特定云平台的结果,请使用 AWS 和 Google 按钮。
使用汇总面板和查询编辑器进一步过滤结果。如需仅查看特定服务检测到的发现结果,请在汇总面板的来源显示名称类别中选择相应服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM。 其他示例包括:
- 类别:过滤条件可查询特定发现结果类别,以便您详细了解相关信息。
- 项目 ID:过滤查询结果,以查找与特定项目相关的发现结果。
- 资源类型:过滤条件,用于查询与特定资源类型相关的发现结果。
- 严重程度:用于过滤结果以查询特定严重程度的发现结果。
- 来源显示名称:用于过滤结果,以查询由检测到错误配置的特定服务检测到的发现结果。
发现结果的查询结果面板包含多个列,其中提供了有关发现结果的详细信息。其中,以下列对于 CIEM 目的而言非常重要:
- 严重程度:显示给定发现结果的严重程度,帮助您确定补救措施的优先级。
- 资源显示名称:显示检测到发现结果的资源。
- 来源显示名称:显示检测到相应发现结果的服务。 可生成与身份相关的发现结果的来源包括 CIEM、IAM 建议器、Security Health Analytics 和 Event Threat Detection。
- 云服务提供商:显示检测到发现结果的云环境,例如 Google Cloud、AWS 和 Microsoft Azure。
- 违规访问授权:显示一个链接,点击该链接可查看可能被授予不当角色的主账号。
- 支持请求 ID:显示与发现结果相关的支持请求的 ID 编号。
如需详细了解如何处理检查发现结果,请参阅查看和管理检查发现结果。
针对不同的云平台调查身份和访问权限发现结果
借助 Security Command Center,您可以在 Security Command Center 的发现结果页面上调查 AWS、Microsoft Azure 和 Google Cloud 环境的身份和访问权限配置错误发现结果。
许多不同的 Security Command Center 检测服务(例如 CIEM、IAM 建议器、Security Health Analytics 和 Event Threat Detection)都会生成 CIEM 特定的发现结果类别,用于检测云平台的潜在身份和访问权限安全问题。
Security Command Center CIEM 检测服务会针对您的 AWS 和 Microsoft Azure 环境生成特定的发现结果,而 IAM 建议器、Security Health Analytics 和 Event Threat Detection 检测服务会针对您的 Google Cloud环境生成特定的发现结果。
如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择相应服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM。
下表介绍了所有被视为 Security Command Center CIEM 功能一部分的发现结果。
| 云平台 | 发现结果类别 | 说明 | 来源 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | 您的 AWS 环境中检测到具有高度宽松政策的 AWS IAM 或 AWS IAM Identity Center 群组。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有权限过大政策的 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | 在您的 AWS 环境中检测到非活跃的 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | 在您的 AWS 环境中检测到的 AWS IAM 或 AWS IAM Identity Center 组处于非活跃状态。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | 在您的 AWS 环境中检测到假定的 IAM 角色处于非活跃状态。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 对假定的 IAM 角色强制执行的信任政策非常宽松。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 一个或多个身份可以通过角色模拟在您的 AWS 环境中横向移动。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
在您的 Azure 环境中检测到具有高度宽松的角色分配的服务主账号或托管式身份。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 环境中检测到的具有高度宽松的角色分配的群组。 如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
在您的 Azure 环境中检测到具有高度宽松的角色分配的用户。 如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | 有些用户没有使用两步验证。如需了解详情,请参阅多重身份验证发现结果。 | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | 日志指标和提醒未配置为监控自定义角色更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | 职责分离不是强制执行的,并且存在同时具有以下任何 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | 用户具有以下基本角色之一:Owner (roles/owner)、Editor (roles/editor) 或 Viewer (roles/viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Redis IAM 角色在组织或文件夹级层分配。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | 为用户分配了服务账号管理员和服务账号用户角色。这违反了“职责分离”原则。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | 无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | 服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | 实例配置为使用默认服务账号。如需了解详情,请参阅计算实例漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | 服务账号在集群中的项目访问权限过于宽泛。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 用户在项目级层(而不是特定服务账号)拥有 Service Account User 或 Service Account Token Creator 角色。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 服务账号密钥已经超过 90 天没有轮替。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | 节点服务账号具有广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Cloud Storage 存储桶可公开访问。如需了解详情,请参阅存储漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | 用作日志接收器的存储桶可公开访问。如需了解详情,请参阅存储漏洞发现结果。 | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | 用户管理服务账号密钥。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | 有 3 个以上的加密密钥用户。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | 用户对具有加密密钥的项目具有 Owner 权限。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
按云平台过滤身份和访问权限发现结果
在发现结果查询结果窗格中,您可以检查云提供商、资源显示名称或资源类型列的内容,了解哪些发现结果与给定的云平台相关。
查找查询结果默认显示Google Cloud、AWS 和 Microsoft Azure 环境的身份和访问权限发现结果。如需修改默认的发现结果查询结果,以仅显示特定云平台的发现结果,请从云提供商快速过滤条件类别中选择 Amazon Web Services 或 Google Cloud 平台。
详细检查身份和访问权限发现结果
如需详细了解身份和访问权限发现结果,请通过在发现结果面板的类别列中点击该发现结果名称,打开该发现结果的详细视图。如需详细了解发现结果详情视图,请参阅查看发现结果的详细信息。
在详细视图的摘要标签页上,以下部分有助于您调查身份和访问权限发现结果。
违规访问授权
在发现结果的详细信息窗格的摘要标签页上,违规访问权限授予行提供了一种快速检查主账号(包括联合身份)及其对您资源的访问权限的方法。仅当 IAM Recommender 检测到 Google Cloud 资源上的主账号具有高度宽松的基本角色和未使用的角色时,此信息才会显示在检测结果中。
点击查看违规访问授权,打开查看违规访问授权窗格,其中包含以下信息:
- 委托人的名称。此列中显示的主账号可以是 Google Cloud 用户账号、群组、联合身份和服务账号的组合。
- 授予主账号的角色的名称。
- 您可以采取的补救措施,以解决违规访问问题。
支持请求信息
在发现结果的详情页面的摘要标签页中,如果某个发现结果对应有支持请求或工单,系统会显示支持请求信息部分。
“问题”信息部分提供了一种跟踪特定发现的修复工作的方式。其中提供了相应支持请求的详细信息,例如指向任何相应支持请求和工单系统(Jira 或 ServiceNow)工单的链接、受理人、支持请求状态和支持请求优先级。
如需访问与发现结果对应的支持请求,请点击支持请求 ID 行中的支持请求 ID 编号。
如需访问与发现结果对应的 Jira 或 ServiceNow 工单,请点击工单 ID 行中的工单 ID 编号。
如需将工单系统与 Security Command Center Enterprise 相关联,请参阅将 Security Command Center Enterprise 与工单系统集成。
如需详细了解如何查看相应的问题,请参阅查看身份和访问权限发现问题。
后续步骤
在发现结果的详情页面的摘要标签页上,后续步骤部分会提供有关如何立即修复检测到的问题的分步指南。这些建议是针对您正在查看的特定发现量身提供的。
后续步骤
- 了解如何查看和管理检测结果。
- 了解如何查看身份和访问权限发现结果案例。
- 了解生成 AWS 和 Microsoft Azure 发现结果的 CIEM 检测器。