本页面介绍如何在Google Cloud 控制台中处理与身份和访问权限相关的安全问题的发现结果(即身份和访问权限发现结果),以便调查和发现潜在的错误配置。
通过 Security Command Center Enterprise 层级提供的云基础设施授权管理 (CIEM) 功能,Security Command Center 可以生成身份和访问权限发现结果,并使其可在 Security Command Center 的风险概览页面上进行查看。这些发现结果经过整理,会被归类到身份和访问权限发现结果窗格下。
准备工作
在继续操作之前,请确保您已完成以下任务:
在“发现结果”页面上查看身份和访问权限发现结果
Security Command Center 发现结果页面上的身份视图会显示您的云环境(例如 Google Cloud 和 Amazon Web Services [AWS])中的身份和访问权限发现结果。
在 Google Cloud 控制台中,选择导航栏中的发现结果。
选择身份视图。
身份视图会添加相应过滤条件,以仅显示 domains.category 字段包含 IDENTITY_AND_ACCESS 值的发现结果。
如需仅显示来自特定云平台的结果,请使用 AWS 和 Google 按钮。
使用快速过滤条件面板和查询编辑器可进一步过滤结果。如需仅查看特定服务检测到的发现结果,请在快速过滤条件面板的来源显示名称类别中选择相应服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM。其他示例如下:
- 类别:该过滤条件可查询您想要详细了解的特定类别的发现结果。
- 项目 ID:该过滤条件可查询与特定项目相关的发现结果。
- 资源类型:该过滤条件可查询与特定资源类型相关的发现结果。
- 严重级别:该过滤条件可查询特定严重级别的发现结果。
- 来源显示名称:该过滤条件可查询由检测到错误配置的特定服务检测到的发现结果。
发现结果的查询结果面板包含多列,这些列提供了有关发现结果的详细信息。其中,以下列对于 CIEM 而言比较重要:
- 严重级别:显示给定发现结果的严重级别,以帮助您确定修复措施的优先级。
- 资源显示名称:显示在其中检测到发现结果的资源。
- 来源显示名称:显示检测到发现结果的服务。能够生成与身份相关的发现结果的来源包括 CIEM、IAM Recommender、Security Health Analytics 和 Event Threat Detection。
- 云服务提供商:显示检测到发现结果的云环境,例如 Google Cloud、AWS 和 Microsoft Azure。
- 违规访问授权:显示一个链接,点击该链接可查看可能被授予不当角色的主账号。
- 案例 ID:显示与发现结果相关的案例的 ID 编号。
如需详细了解如何处理发现结果,请参阅查看和管理发现结果。
针对不同的云平台调查身份和访问权限发现结果
Security Command Center 可让您在 Security Command Center 的发现结果页面上调查 AWS、Microsoft Azure 和 Google Cloud 环境中的身份和访问权限错误配置发现结果。
有诸多 Security Command Center 检测服务(例如 CIEM、IAM Recommender、Security Health Analytics 和 Event Threat Detection)都可以生成 CIEM 特定的发现结果类别,用于检测云平台中的潜在身份和访问权限安全问题。
Security Command Center CIEM 检测服务可针对您的 AWS 和 Microsoft Azure 环境生成特定的发现结果,而 IAM Recommender、Security Health Analytics 和 Event Threat Detection 检测服务则可针对您的 Google Cloud环境生成特定的发现结果。
如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择相应服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM。
下表列出了所有被视为 Security Command Center CIEM 功能一部分的发现结果。
| 云平台 | 发现结果类别 | 说明 | 来源 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的 AWS IAM 或 AWS IAM Identity Center 群组。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | 在您的 AWS 环境中检测到非活跃 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | 在您的 AWS 环境中检测到非活跃 AWS IAM 或 AWS IAM Identity Center 群组。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | 在您的 AWS 环境中检测到非活跃的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 对假定 IAM 角色强制执行的信任政策高度宽松。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 一个或多个身份可以通过角色模拟在您的 AWS 环境中横向移动。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
在您的 Azure 环境中检测到具有高度宽松角色分配的服务主账号或托管式身份。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) |
在您的 Azure 环境中检测到具有高度宽松角色分配的群组。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Microsoft Azure | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) |
在您的 Azure 环境中检测到具有高度宽松角色分配的用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | 有用户没有使用两步验证。如需了解详情,请参阅多重身份验证发现结果。 | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | 日志指标和提醒未配置为监控自定义角色更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | 未强制执行职责分离,并且同时还存在具有以下任何 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | 有用户具有以下基本角色之一:Owner (roles/owner)、Editor (roles/editor) 或 Viewer (roles/viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | 在组织级或文件夹级分配了 Redis IAM 角色。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | 有用户被分配了 Service Account Admin 和 Service Account User 角色。这违反了“职责分离”原则。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | 有用户未使用组织凭证。根据 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 邮箱的身份才会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | 有无需批准即可加入的 Google 群组账号被用作 IAM 允许政策的主账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender 检测到有用户账号具有在过去 90 天内未使用过的 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender 检测到有服务账号包含会向用户账号授予过多权限的一个或多个 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为以下基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是具有过多权限的旧式角色,不应授予给服务代理。如需了解详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM Recommender 检测到 IAM 向服务代理授予了以下基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是具有过多权限的旧式角色,不应授予给服务代理。如需了解详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | 有服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | 有实例被配置为使用默认服务账号。如需了解详情,请参阅计算实例漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | 有服务账号在集群中的项目访问权限过于宽泛。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 有用户在项目级拥有 Service Account User 或 Service Account Token Creator 角色,而不是拥有某个特定服务账号的相应角色。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 有服务账号密钥已经超过 90 天没有进行过轮替。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | 有节点服务账号具有广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | 有 Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | 有 Cloud Storage 存储桶可公开访问。如需了解详情,请参阅存储空间漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | 用作日志接收器的存储桶可公开访问。如需了解详情,请参阅存储空间漏洞发现结果。 | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | 有用户在管理服务账号密钥。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | 有三个以上的加密密钥用户。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | 有用户对具有加密密钥的项目拥有 Owner 权限。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
按云平台过滤身份和访问权限发现结果
在发现结果的查询结果窗格中,您可以检查云服务提供商、资源显示名称或资源类型列的内容,了解有哪些发现结果与给定的云平台相关。
发现结果的查询结果窗格默认会显示Google Cloud、AWS 和 Microsoft Azure 环境中的身份和访问权限发现结果。如需修改默认的发现结果查询结果,以仅显示特定云平台的发现结果,请从云服务提供商快速过滤条件类别中选择 Amazon Web Services 或 Google Cloud Platform。
详细检查身份和访问权限发现结果
如需详细了解身份和访问权限发现结果,请在发现结果面板的类别列中点击相应发现结果的名称,打开该发现结果的详细视图。如需详细了解发现结果详细信息视图,请参阅查看发现结果的详细信息。
在详细信息视图的摘要标签页上,以下部分有助于您调查身份和访问权限发现结果。
违规访问授权
在发现结果的详细信息窗格的摘要标签页上,违规访问授权行提供了一种方法来快速检查主账号(包括联合身份)及其对您资源的访问权限。仅当 IAM Recommender 检测到 Google Cloud 资源上的主账号具有高度宽松的角色、基本角色和未使用的角色时,系统才会为发现结果显示此信息。
点击查看违规访问授权,以打开查看违规访问授权窗格,该窗格包含以下信息:
- 主账号的名称。此列中显示的主账号可以是 Google Cloud 用户账号、群组、联合身份和服务账号的组合。
- 授予给主账号的角色的名称。
- 您可以采取的用以修复违规访问授权问题的建议措施。
支持请求信息
在发现结果的详细信息页面的摘要标签页上,如果有发现结果有对应的案例或工单,则系统会显示案例信息部分。
案例信息部分提供了一种方法来跟踪特定发现结果的修复情况。它会提供有关相应案例的详细信息,例如指向任何相应案例和工单系统(Jira 或 ServiceNow)工单的链接、受理人、案例状态和案例优先级。
如需访问与发现结果对应的案例,请点击案例 ID 行中相应案例的 ID 编号。
如需访问与发现结果对应的 Jira 或 ServiceNow 工单,请点击工单 ID 行中相应工单的 ID 编号。
如需将工单系统与 Security Command Center Enterprise 相关联,请参阅将 Security Command Center Enterprise 与工单系统集成。
如需详细了解如何查看相应案例,请参阅查看身份和访问权限发现结果案例。
后续步骤
在发现结果的详细信息页面的摘要标签页上,后续步骤部分会提供有关如何立即修复检测到的问题的分步指南。这些建议是针对您正在查看的特定发现结果量身定制的。
后续步骤
- 了解如何查看和管理发现结果。
- 了解如何查看身份和访问权限发现结果案例。
- 了解可生成 AWS 和 Microsoft Azure 发现结果的 CIEM 检测器。