Cloud Infrastructure Entitlement Management 總覽

透過 Security Command Center 的 Cloud Infrastructure Entitlement Management (CIEM) 功能,您可以管理哪些身分有權存取多個雲端平台部署作業中的哪些資源,並降低因設定錯誤而產生的潛在安全漏洞。

Security Command Center 的 CIEM 功能可全面掌握身分和存取權設定的安全性。具體來說,下列 CIEM 功能可協助您找出錯誤設定,並強制執行最低權限原則:

  • 偵測多個雲端平台 (包括 Google Cloud、Amazon Web Services (AWS) 和 Microsoft Azure (搶先版)) 部署作業中,可能出現的身分和存取權設定錯誤。
  • 識別安全漏洞調查結果,深入瞭解在 Google Cloud、AWS 和 Microsoft Azure (搶先版) 環境中,授予主體的角色。這包括來自其他身分識別提供者的連結身分識別,例如 Entra ID (Azure AD)、Okta 和內部部署 Active Directory,適用於 Google Cloud 和 AWS IAM Identity Center。
  • 提供如何修正設定錯誤的指引,例如從權限過高的主體移除權限。
  • 案件管理功能可讓您使用 Security Command Center Enterprise 中的案件或其他支援單管理系統,有效追蹤錯誤設定的修正工作。

使用 CIEM 管理身分與存取權安全問題

以下各節說明 CIEM 功能,可協助您管理身分和存取權設定錯誤。

快速存取身分與存取權發現項目

如果身分和存取權設定錯誤 (例如高權限主體、閒置身分、未輪替的服務帳戶金鑰,以及缺少多重驗證),往往會導致安全問題。CIEM 會產生調查結果,協助您在雲端環境中找出潛在的身分和存取權安全問題。許多不同的 Security Command Center 偵測服務 (例如 IAM 建議、安全狀態分析和 CIEM) 會產生身分識別和存取權發現項目,這些項目視為 Security Command Center CIEM 功能的一部分。舉例來說,CIEM 偵測服務本身會產生 AWS 和 Microsoft Azure 的身分與存取權發現項目子集 (搶先版),提醒您高權限角色、群組和使用者。

透過 CIEM,Security Command Center 會在 Security Command Center 風險總覽頁面的「身分和存取權發現項目」資訊卡上,依類別顯示 Google Cloud、AWS 和 Microsoft Azure (預先發布版) 的身分和存取權發現項目。 Google Cloud這張資訊卡可讓您快速存取 Security Command Center「發現項目」頁面,查看經過篩選的身分與存取權設定錯誤發現項目。詳細查看時,每項發現都會提供偵測到的完整範圍,以及如何解決設定錯誤的指引,避免潛在的攻擊向量。

如要瞭解如何調查身分與存取權發現項目,進而掌握身分與存取權安全,請參閱「調查身分與存取權發現項目」。

身分與存取權發現項目的補救措施指引和追蹤

使用多雲基礎架構的安全性團隊,往往難以大規模修正身分和存取權設定錯誤。Security Command Center 提供修復指引,以及案件管理和應變劇本等安全作業功能。

如要進一步瞭解如何查看調查結果案件,請參閱「查看身分和存取權問題的案件」。

探索聯合身分權限

CIEM 可深入瞭解其他身分識別提供者 (例如 Entra ID (Azure AD)、Okta 和地端 Active Directory) 中,已聯合身分識別的 Google Cloud 和 AWS 權限,進而更精細地掌握身分識別和存取權設定的安全性。CIEM 會與 IAM 建議工具整合,顯示對Google Cloud 資源具有多餘權限的角色,以及相關的同盟身分。您也可以搭配使用 Cloud Infrastructure Entitlement Management 和 AWS IAM Identity Center,找出 AWS 資源中聯合身分的安全性漏洞。您可以直接在 Security Command Center 的「發現項目」頁面中,查看違規的存取權授予項目和建議的補救措施。如要進一步瞭解調查結果中違規的存取權授予,請參閱「違規的存取權授予」。

此外,您也可以在 Google Cloud 控制台的 IAM 頁面中,進一步調查其他身分提供者的主體權限。 Google Cloud

後續步驟