Automatizza i suggerimenti IAM utilizzando i playbook

Questo documento spiega come attivare il playbook IAM Recommender Response (Risposta del motore per suggerimenti IAM) in Security Command Center Enterprise per identificare le identità autorizzate in eccesso e rimuovere in modo automatico e sicuro le autorizzazioni in eccesso.

La funzionalità del playbook Risposta del motore per suggerimenti IAM si basa su Google Security Operations.

Panoramica

Il motore per suggerimenti IAM fornisce insight sulla sicurezza che valutano il modo in cui le entità utilizzano le risorse e ti consiglia di intervenire sull'insight rilevato. Ad esempio, se un'autorizzazione non è stata utilizzata negli ultimi 90 giorni, il motore per suggerimenti IAM la evidenzia come autorizzazione in eccesso e ti consiglia di rimuoverla in modo sicuro.

Il playbook Risposta del motore per suggerimenti IAM utilizza il motore per suggerimenti IAM per analizzare l'ambiente alla ricerca di identità dei carichi di lavoro che possiedono autorizzazioni in eccesso o impersonificazione degli account di servizio. Anziché esaminare e applicare i consigli manualmente in Identity and Access Management, abilita il playbook in modo da farlo automaticamente nella console operativa di sicurezza.

Prerequisiti

Prima di attivare il playbook Risposta del motore per suggerimenti IAM, completa i seguenti passaggi preliminari:

  1. Creare un ruolo IAM personalizzato e configurare un'autorizzazione specifica.
  2. Definisci il valore Workload Identity Email (Email sull'identità del carico di lavoro).
  3. Concedi il ruolo personalizzato che hai creato a un'entità esistente.

Creare un ruolo IAM personalizzato

  1. Nella console Google Cloud, vai alla pagina Ruoli IAM.

    Vai a Ruoli IAM

  2. Fai clic su Crea ruolo per creare un ruolo personalizzato con le autorizzazioni necessarie per l'integrazione.

  3. Per un nuovo ruolo personalizzato, fornisci Titolo, Descrizione e un ID univoco.

  4. Imposta Fase di lancio del ruolo su Disponibilità generale.

  5. Aggiungi la seguente autorizzazione al ruolo creato:

    resourcemanager.organizations.setIamPolicy

  6. Fai clic su Crea.

Definisci il valore email Workload Identity

Per definire l'identità a cui concedere il ruolo personalizzato, completa questi passaggi:

  1. Nella console operativa di sicurezza, vai a Risposta > Configurazione delle integrazioni.
  2. Nel campo dell'integrazione Search, digita Google Cloud Recommender.
  3. Fai clic su Configura istanza. Si apre la finestra di dialogo.
  4. Copia il valore del parametro Workload Identity Email negli appunti. Il valore deve essere nel seguente formato: username@example.com

Concedi un ruolo personalizzato a un'entità esistente

Dopo aver concesso il nuovo ruolo personalizzato a un'entità selezionata, questa potrà modificare le autorizzazioni per qualsiasi utente dell'organizzazione.

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Nel campo Filtro, incolla il valore Workload Identity Email e cerca l'entità esistente.

  3. Fai clic su Modifica entità. Si apre la finestra di dialogo.

  4. Nel riquadro Modifica accesso, in Assegna ruoli, fai clic su Aggiungi un altro ruolo.

  5. Seleziona il ruolo personalizzato che hai creato e fai clic su Salva.

Abilita playbook

Per impostazione predefinita, il playbook Risposta del motore per suggerimenti IAM è disattivato. Per utilizzare il playbook, abilitalo manualmente:

  1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
  2. Nel campo Cerca del playbook, inserisci IAM Recommender.
  3. Nel risultato di ricerca, seleziona il playbook Risposta del motore per suggerimenti IAM.
  4. Nell'intestazione del playbook, imposta il pulsante di attivazione/disattivazione su Abilita il playbook.
  5. Nell'intestazione del playbook, fai clic su Salva.

Configura il flusso di approvazione automatica

La modifica delle impostazioni del playbook è una configurazione avanzata e facoltativa.

Per impostazione predefinita, ogni volta che il playbook identifica le autorizzazioni inutilizzate, è in attesa che tu approvi o rifiuti la correzione prima di completare l'esecuzione.

Per configurare il flusso del playbook in modo da rimuovere automaticamente le autorizzazioni inutilizzate ogni volta che vengono trovate senza richiedere la tua approvazione, completa questi passaggi:

  1. Nella console operativa di sicurezza, vai a Risposta > Playbook.
  2. Seleziona il playbook Risposta del motore per suggerimenti IAM.
  3. Nei componenti di base del playbook, seleziona IAM setup Block_1 (Blocco configurazione IAM). Si apre la finestra di configurazione dei blocchi. Per impostazione predefinita, il parametro remediation_mode è impostato su Manual.
  4. Nel campo del parametro remediation_mode, inserisci Automatic.
  5. Fai clic su Salva per confermare le nuove impostazioni della modalità di correzione.
  6. Nell'intestazione del playbook, fai clic su Salva.

Che cosa succede dopo?

  • Scopri di più sui playbook nella documentazione di Google SecOps.