本頁說明如何在Google Cloud 控制台中使用身分與存取權相關安全性問題的發現項目 (身分與存取權發現項目),以便調查及找出潛在的設定錯誤。
Security Command Center 會產生身分和存取權發現項目,並在 Security Command Center 風險總覽頁面中提供這些項目,這是 Enterprise 方案提供的 Cloud Infrastructure Entitlement Management (CIEM) 功能之一。這些發現項目會經過整理,並歸類到「身分與存取權發現項目」窗格。
事前準備
請務必先完成下列工作,再繼續操作:
在「發現項目」頁面中查看身分與存取權發現項目
Security Command Center「發現項目」頁面的「身分」檢視畫面會顯示雲端環境 (例如 Google Cloud 和 Amazon Web Services (AWS)) 的身分和存取權發現項目。
在 Google Cloud 控制台中,選取導覽列中的「發現項目」。
選取「身分」檢視畫面。
「身分識別」檢視畫面會新增篩選條件,只顯示 domains.category 欄位包含 IDENTITY_AND_ACCESS 值的調查結果。
如要只顯示特定雲端平台的結果,請使用「AWS」和「Google」按鈕。
使用「匯總」面板和「查詢編輯器」進一步篩選結果。如要只查看特定服務偵測到的調查結果,請在「匯總」面板中,選取「來源顯示名稱」類別下的該服務。舉例來說,如果您只想查看 CIEM 偵測服務偵測到的發現結果,請選取「CIEM」CIEM。其他範例包括:
- 類別:篩選器會查詢特定發現類別的結果,方便您進一步瞭解。
- 專案 ID:篩選查詢結果,找出與特定專案相關的發現。
- 資源類型:篩選與特定資源類型相關的調查結果。
- 嚴重程度:篩選特定嚴重程度的發現項目結果。
- 來源顯示名稱:篩選查詢結果,找出偵測到錯誤設定的特定服務所偵測到的發現項目。
「發現查詢結果」面板包含多個資料欄,提供發現項目的詳細資料。其中,下列資料欄與 CIEM 相關:
- 嚴重性:顯示特定發現項目的嚴重程度,協助您判斷補救措施的優先順序。
- 資源顯示名稱:顯示偵測到安全發現的資源。
- 來源顯示名稱:顯示偵測到發現項目的服務。 產生身分相關發現項目的來源包括 CIEM、IAM 建議、安全狀態分析和 Event Threat Detection。
- 雲端服務供應商:顯示偵測到發現項目的雲端環境,例如 Google Cloud、AWS 和 Microsoft Azure。
- 違規存取權授予:顯示連結,可供您查看可能獲得不當角色的主體。
- 案件 ID:顯示與調查結果相關的案件 ID 編號。
如要進一步瞭解如何使用發現項目,請參閱「查看及管理發現項目」。
調查不同雲端平台的「身分與存取權」發現項目
您可以在 Security Command Center 的「發現項目」頁面,調查 AWS、Microsoft Azure 和 Google Cloud 環境的身分與存取權設定錯誤發現項目。
許多不同的 Security Command Center 偵測服務 (例如 CIEM、IAM 建議、Security Health Analytics 和 Event Threat Detection) 會產生 CIEM 專屬的發現項目類別,偵測雲端平台潛在的身分和存取權安全性問題。
Security Command Center CIEM 偵測服務會為您的 AWS 和 Microsoft Azure 環境產生特定發現項目,而 IAM 建議、安全狀態分析和事件威脅偵測服務則會為您的 Google Cloud環境產生特定發現項目。
如要只查看特定服務偵測到的結果,請從「來源顯示名稱」快速篩選器類別中選取該服務。舉例來說,如要只查看 CIEM 偵測服務偵測到的發現結果,請選取「CIEM」CIEM。
下表說明所有屬於 Security Command Center CIEM 功能的發現項目。
| 雲端平台 | 發現項目類別 | 說明 | 來源 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到具有高度寬鬆政策的已代入 IAM 角色。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到具有高度寬鬆政策的 AWS IAM 或 AWS IAM Identity Center 群組。詳情請參閱「CIEM 發現項目」。 | CIEM |
| AWS | User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到 AWS IAM 或 AWS IAM Identity Center 使用者,且這些使用者具有高度寬鬆的政策。詳情請參閱「CIEM 發現項目」。 | CIEM |
| AWS | User is inactive (INACTIVE_USER) | 在 AWS 環境中偵測到非現用的 AWS IAM 或 AWS IAM Identity Center 使用者。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Group is inactive (INACTIVE_GROUP) | 在 AWS 環境中偵測到的 AWS IAM 或 AWS IAM Identity Center 群組處於非啟用狀態。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Assumed identity is inactive (INACTIVE_ASSUMED_IDENTITY) | 系統在 AWS 環境中偵測到已擔任的 IAM 角色處於非使用中狀態。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity (OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 對假設的 IAM 角色強制執行的信任政策權限過高。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Assumed identity has lateral movement risk (ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 一或多個身分可透過角色模擬,在 AWS 環境中橫向移動。詳情請參閱「CIEM 發現」。 | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 環境中偵測到服務主體或受控識別,並指派了高度寬鬆的權限。詳情請參閱「CIEM 發現」。 | CIEM |
| Microsoft Azure | Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 環境中偵測到具有高權限角色指派作業的群組。 詳情請參閱「CIEM 發現項目」。 | CIEM |
| Microsoft Azure | User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) |
Azure 環境中偵測到具備高權限角色指派的使用者。 詳情請參閱「CIEM 發現項目」。 | CIEM |
| Google Cloud | MFA not enforced (MFA_NOT_ENFORCED) | 部分使用者未啟用兩步驟驗證。詳情請參閱「多重驗證發現項目」。 | 安全性狀態分析 |
| Google Cloud | Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) | 記錄指標和快訊未設定為監控自訂角色變更。詳情請參閱「監控安全漏洞發現結果」。 | 安全性狀態分析 |
| Google Cloud | KMS role separation (KMS_ROLE_SEPARATION) | 未強制執行職責分離,且使用者同時具備下列任一 Cloud Key Management Service 角色:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。詳情請參閱「IAM 弱點發現項目」。 | 安全性狀態分析 |
| Google Cloud | Primitive roles used (PRIMITIVE_ROLES_USED) | 使用者具備下列其中一個基本角色:「擁有者」 (roles/owner)、「編輯者」 (roles/editor) 或「檢視者」 (roles/viewer)。詳情請參閱 IAM 安全性弱點發現項目。 | 安全性狀態分析 |
| Google Cloud | Redis role used on org (REDIS_ROLE_USED_ON_ORG) | Redis IAM 角色是在機構或資料夾層級指派。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) | 使用者已獲派「服務帳戶管理員」和「服務帳戶使用者」角色。這違反了「權責劃分」原則。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Non org IAM member (NON_ORG_IAM_MEMBER) | 使用者未採用機構憑證。根據 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 電子郵件地址的身分會觸發這個偵測工具。詳情請參閱「IAM 弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Open group IAM member (OPEN_GROUP_IAM_MEMBER) | Google 群組帳戶可供加入,不必經過核准,因此做為 IAM 允許政策主體。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Unused IAM role (UNUSED_IAM_ROLE) | IAM 建議工具偵測到使用者帳戶有過去 90 天內未使用的 IAM 角色。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM 建議工具偵測到服務帳戶有一或多個 IAM 角色,對使用者帳戶授予超額權限。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Service agent role replaced with basic
role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
身分與存取權管理建議工具偵測到,服務代理原始預設的 IAM 角色已替換為基本的 IAM 角色:擁有者、編輯者或檢視者。基本角色是權限過於寬鬆的舊版角色,不應授予服務代理。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM 推薦功能偵測到服務代理獲派基本 IAM 角色:擁有者、編輯者或檢視者。基本角色是權限過於寬鬆的舊版角色,不應授予服務代理。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Admin service account (ADMIN_SERVICE_ACCOUNT) | 服務帳戶具有管理員、擁有者或編輯者權限。請勿將這些角色指派給使用者建立的服務帳戶。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) | 執行個體已設為使用預設服務帳戶。詳情請參閱「Compute 執行個體安全漏洞發現結果」。 | 安全性狀態分析 |
| Google Cloud | Over privileged account (OVER_PRIVILEGED_ACCOUNT) | 服務帳戶在叢集中的專案存取權過於廣泛。詳情請參閱「容器安全漏洞發現」。 | 安全性狀態分析 |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 使用者在專案層級擁有「服務帳戶使用者」或「服務帳戶權杖建立者」角色,而非特定服務帳戶。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 服務帳戶金鑰已超過 90 天未輪替。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Over privileged scopes (OVER_PRIVILEGED_SCOPES) | 節點服務帳戶具有廣泛的存取權範圍。詳情請參閱「容器安全漏洞發現」。 | 安全性狀態分析 |
| Google Cloud | KMS public key (KMS_PUBLIC_KEY) | Cloud KMS 加密編譯金鑰可公開存取。詳情請參閱 KMS 安全漏洞發現結果。 | 安全性狀態分析 |
| Google Cloud | Public bucket ACL (PUBLIC_BUCKET_ACL) | Cloud Storage bucket 可公開存取。詳情請參閱「儲存空間安全漏洞發現結果」。 | 安全性狀態分析 |
| Google Cloud | Public log bucket (PUBLIC_LOG_BUCKET) | 做為記錄檔接收器的 Storage bucket 可公開存取。詳情請參閱「儲存空間安全漏洞發現結果」。 | 安全性狀態分析 |
| Google Cloud | User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) | 使用者管理服務帳戶金鑰。詳情請參閱「身分與存取權管理 (IAM) 安全性弱點發現結果」。 | 安全性狀態分析 |
| Google Cloud | Too many KMS users (TOO_MANY_KMS_USERS) | 加密編譯金鑰使用者人數超過三位。詳情請參閱 KMS 安全漏洞發現項目。 | 安全性狀態分析 |
| Google Cloud | KMS project has owner (KMS_PROJECT_HAS_OWNER) | 使用者對含有加密編譯金鑰的專案具有擁有者權限。詳情請參閱 KMS 安全漏洞發現項目。 | 安全性狀態分析 |
| Google Cloud | Owner not monitored (OWNER_NOT_MONITORED) | 記錄指標和快訊未設定為監控專案擁有權指派或變更。詳情請參閱「監控安全漏洞發現結果」。 | 安全性狀態分析 |
依雲端平台篩選身分與存取權發現項目
在「發現項目查詢結果」窗格中,檢查「雲端服務供應商」、「資源顯示名稱」或「資源類型」欄的內容,即可判斷發現項目與哪個雲端平台相關。
「尋找查詢結果」預設會顯示 Google Cloud、AWS 和 Microsoft Azure 環境的身分與存取權調查結果。Google Cloud如要編輯預設的發現項目查詢結果,只顯示特定雲端平台的發現項目,請從「雲端供應商」快速篩選器類別中,選取「Amazon Web Services」或「Google Cloud Platform」。
詳細檢查身分與存取權發現項目
如要進一步瞭解身分和存取權發現項目,請在「發現項目」面板中,按一下「類別」欄中的發現項目名稱,開啟發現項目的詳細資料檢視畫面。如要進一步瞭解發現項目詳細資料檢視畫面,請參閱「查看發現項目的詳細資料」。
詳細資料檢視畫面「摘要」分頁中的下列部分,有助於調查身分和存取權發現項目。
違規授予存取權
在調查結果詳細資料窗格的「摘要」分頁中,「違規存取權授予」列可讓您快速檢查主體 (包括同盟身分) 及其資源存取權。只有在 IAM 建議工具偵測到 Google Cloud 資源上的主體具有高權限、基本和未使用的角色時,這項資訊才會顯示在調查結果中。
按一下「查看違規授予存取權」,開啟「查看違規授予存取權」窗格,其中包含下列資訊:
- 校長姓名。這個資料欄中顯示的主體可以是使用者帳戶、群組、聯盟身分和服務帳戶的組合。 Google Cloud
- 授予主體的角色名稱。
- 建議您採取哪些行動,修正違規存取權。
案件資訊
如果發現項目有對應的案件或單號,詳細資料頁面的「摘要」分頁就會顯示「案件資訊」部分。
「案件資訊」部分可追蹤特定發現項目的補救措施。其中提供對應案件的詳細資料,例如任何對應案件和票證系統 (Jira 或 ServiceNow) 票證的連結、指派對象、案件狀態和案件優先順序。
如要存取與調查結果相應的案件,請按一下「案件 ID」列中的案件 ID 編號。
如要存取與發現項目相應的 Jira 或 ServiceNow 支援單,請點選「支援單 ID」列中的支援單 ID 編號。
如要將支援單處理系統與 Security Command Center Enterprise 連結,請參閱「整合 Security Command Center Enterprise 與支援單處理系統」。
如要進一步瞭解如何查看對應案件,請參閱「查看身分與存取權發現結果案件」。
後續步驟
在調查結果詳細資料頁面的「摘要」分頁中,「後續步驟」部分會提供逐步指引,說明如何立即修正偵測到的問題。這些建議是根據您查看的特定發現項目量身打造。
後續步驟
- 瞭解如何查看及管理調查結果。
- 瞭解如何查看身分和存取權發現項目案例。
- 瞭解產生 AWS 和 Microsoft Azure 發現項目的 CIEM 偵測器。