调查身份和访问权限发现结果

本页介绍了如何使用发现结果来找出 中与身份和访问权限(身份和访问权限发现结果)相关, Google Cloud 控制台,以调查并识别潜在的错误配置。

作为企业级层级提供的 Cloud Infrastructure Entitlement Management (CIEM) 功能的一部分,Security Command Center 会生成身份和访问权限发现结果,并在 Security Command Center 的风险概览页面上提供这些结果,以便您轻松访问。这些发现结果是 身份和访问权限发现结果窗格下进行精选和分类。

准备工作

在继续之前,请确保您已完成以下任务:

查看身份和访问权限发现结果摘要

Security Command Center 的身份和访问权限发现结果窗格 风险概览 页面,其中概要介绍了 Google Cloud 中主要的身份和访问权限发现结果 您的云环境,例如 Google Cloud 和 Amazon Web Services (AWS)。通过 窗格包含一个表,将发现结果分为三列:

  • 严重程度发现结果严重程度是一个常规指标,用于表明解决发现结果类别的重要程度,可分类为 CriticalHighMediumLow
  • 发现结果类别:发现的身份和访问权限配置错误的类型。
  • 云服务提供商:发现配置错误的云环境。
  • 发现结果总数:在给定严重程度分类下,某个类别中发现的身份和访问权限配置错误的总数。

如需在窗格中浏览发现结果,您可以按严重性、发现结果 类别或发现结果总数。您可以 还可以修改窗格显示的行数(最多 200 行), 使用表格底部的导航箭头在页面之间切换。

您可以点击类别标题或其对应的发现结果总数, 在 Security Command Center 发现结果中更详细地检查特定发现结果 页面。如需了解详情,请参阅 详细检查身份和访问权限发现结果

发现结果表下方的以下部分有助于提供更多 身份和访问权限发现结果的上下文:

  • 来源标签指示 Security Command Center 正在提取的来源 产生结果。身份和访问权限方面的发现结果适用于 Google Cloud 和 AWS 环境。只有在您连接了 AWS 实例为 CIEM 配置了 AWS 日志提取后,Security Command Center 才会显示 AWS 的身份和访问权限问题。
  • 点击查看所有身份和访问权限发现结果链接,可前往 Security Command Center 发现结果页面,用于查看所有检测到的身份和访问权限 配置错误 无论应用属于哪种类别或严重程度
  • 使用 Policy Analyzer 审核 Google Cloud 访问权限链接 快速访问 政策分析器 工具,让您可以了解谁有权访问哪些 Google Cloud 资源 设置几个选项

在“发现结果”页面上查看身份和访问权限发现结果

身份和访问权限发现结果窗格提供 Security Command Center 发现 用于检查身份和访问权限发现结果的页面 :

  • 点击发现结果类别下的发现结果名称或其发现结果总数 在所有发现结果下自动查询特定发现结果 类别和严重程度分级。
  • 点击查看所有身份和访问权限发现结果,以查询 没有特定顺序。

Security Command Center 会预先选择特定的快捷过滤条件,以便专门针对身份和访问权限配置错误创建发现结果查询。快速过滤选项会根据 查询一个还是所有身份和访问权限发现结果。您可以根据需要修改这些查询。在 CIEM 用途方面,值得关注的特定快速过滤条件类别和选项包括:

  • 类别:过滤条件,用于查询您想要详细了解的特定发现结果类别的结果。此类别中列出的快速过滤条件选项会根据您查询一个还是所有身份和访问权限发现结果而有所变化。
  • 项目 ID:用于过滤查询结果,以查找与特定项目相关的发现。
  • 资源类型:用于查询与某一资源相关的发现结果的过滤条件 特定资源类型。
  • 严重性:用于查询特定主题的发现结果的过滤条件 严重级别。
  • 来源显示名称:用于过滤查询结果,以查找由检测到错误配置的特定服务检测到的发现结果。
  • 云服务提供商:用于查询来自以下来源的发现结果的过滤条件 特定云平台。

发现结果的查询结果面板由多个列组成,其中包含有关发现结果的详细信息。其中,以下列对 CIEM 用途很有用:

  • 严重程度:显示给定发现结果的严重程度,以帮助您确定补救措施的优先级。
  • 资源显示名称:显示发现结果所在的资源 。
  • 来源显示名称:显示检测到相应问题的服务。生成身份相关发现结果的来源包括 CIEM、IAM 推荐工具和 Security Health Analytics。
  • 云服务提供商:显示发现结果所在的云环境 例如 Google Cloud 和 AWS。
  • 违规访问授权:显示一个链接,用于查看可能被授予不当角色的主账号。
  • 支持请求 ID:显示支持请求的 ID 编号, 查找。

如需详细了解如何处理发现结果,请参阅查看和管理发现结果

调查不同云平台的身份和访问权限发现结果

借助 Security Command Center,您可以调查身份和访问错误配置 AWS 和 Google Cloud 环境中发现的 Security Command Center 发现结果页面。

许多不同的 Security Command Center 检测服务(例如 CIEM、IAM 建议工具和 Security Health Analytics)都会生成 CIEM 专用发现结果类别,用于检测云平台的潜在身份和访问权限安全问题。

Security Command Center CIEM 检测服务会为您的 AWS 环境生成具体发现结果,而 IAM 建议工具和 Security Health Analytics 检测服务会为您的 Google Cloud 环境生成具体发现结果。

如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择该服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM

下表介绍了被视为 Security Command Center 的 CIEM 功能。

Cloud platform 发现结果类别 说明 来源
AWS Assumed identity has excessive permissionsASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到具有高度宽松政策的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Group has excessive permissionsGROUP_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到的具有高度宽松政策的 IAM 群组。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS User has excessive permissionsUSER_HAS_EXCESSIVE_PERMISSIONS 检测到 IAM 用户 在 AWS 环境中使用高度宽松的政策。有关 详情,请参阅 CIEM 发现结果 CIEM
Google Cloud MFA not enforcedMFA_NOT_ENFORCED 有些用户没有使用两步验证。如需了解详情,请参阅多重身份验证 身份验证发现结果 Security Health Analytics
Google Cloud Custom role not monitoredCUSTOM_ROLE_NOT_MONITORED 日志指标和提醒未配置为监控自定义角色更改。如需更多信息 请参阅监控 漏洞发现结果 Security Health Analytics
Google Cloud KMS role separationKMS_ROLE_SEPARATION 未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/DecrypterEncrypterDecrypter。有关 详情请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Primitive roles usedPRIMITIVE_ROLES_USED 用户拥有 以下基本角色:Owner (roles/owner)、 编辑者 (roles/editor),或 Viewer (roles/viewer)。如需更多信息 请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Redis role used on orgREDIS_ROLE_USED_ON_ORG Redis IAM 角色在组织或文件夹级层分配。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account role separationSERVICE_ACCOUNT_ROLE_SEPARATION 有位用户 分配了服务账号管理员服务 Account User 角色。这违反了“职责分离”原则。有关详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Non org IAM memberNON_ORG_IAM_MEMBER 有用户未使用 组织凭据。仅限根据 CIS Google Cloud Foundations 1.0 使用 @gmail.com 电子邮件地址的身份会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Open group IAM memberOPEN_GROUP_IAM_MEMBER 符合以下条件的 Google 群组账号: 可用作 IAM 允许政策主账号。 有关详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Unused IAM roleUNUSED_IAM_ROLE IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud IAM role has excessive permissionsIAM_ROLE_HAS_EXCESSIVE_PERMISSIONS IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。有关详情,请参阅 IAM Recommender 发现结果 IAM Recommender
Google Cloud Service agent role replaced with basic roleSERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM Recommender 检测到向 服务代理已替换为某个基本 IAM 角色: OwnerEditorViewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud Service agent granted basic roleSERVICE_AGENT_GRANTED_BASIC_ROLE IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM:OwnerEditorViewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud Admin service accountADMIN_SERVICE_ACCOUNT 一个服务账号具有 AdminOwnerEditor 权限。这些角色不应分配给用户创建的服务账号。有关详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Default service account usedDEFAULT_SERVICE_ACCOUNT_USED 实例是 配置为使用默认服务账号。如需了解详情,请参阅计算实例漏洞发现结果 Security Health Analytics
Google Cloud Over privileged accountOVER_PRIVILEGED_ACCOUNT 服务账号在集群中的项目访问权限过于宽泛。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) 答 用户拥有 Service Account UserService Account Token Creator 角色,而不是 特定服务账号有关详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account key not rotatedSERVICE_ACCOUNT_KEY_NOT_ROTATED 服务账号 密钥超过 90 天未轮替。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Over privileged scopesOVER_PRIVILEGED_SCOPES 节点服务账号具有 广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud KMS public keyKMS_PUBLIC_KEY Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Public bucket ACLPUBLIC_BUCKET_ACL Cloud Storage 存储桶是 可公开访问。如需了解详情,请参阅存储空间漏洞发现结果 Security Health Analytics
Google Cloud Public log bucketPUBLIC_LOG_BUCKET 用作日志的存储桶 可公开访问的接收器有关详情,请参阅 Storage 漏洞发现结果 Security Health Analytics
Google Cloud User managed service account keyUSER_MANAGED_SERVICE_ACCOUNT_KEY 用户管理着 服务账号密钥。有关详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Too many KMS usersTOO_MANY_KMS_USERS 用户数量超过三位 加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud KMS project has ownerKMS_PROJECT_HAS_OWNER 用户 对具有加密的项目的 Owner 权限 键。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Owner not monitoredOWNER_NOT_MONITORED 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果 Security Health Analytics

按 Cloud Platform 过滤身份和访问权限发现结果

发现结果查询结果窗格中,您可以判断哪些发现结果与某项 查看 Cloud Provider 的内容, 资源显示名称资源类型列。

默认情况下,查找查询结果会显示 Google Cloud 和 AWS 环境的身份和访问权限问题。如需修改默认的发现查询结果,以便仅显示特定云平台的发现结果,请从云服务提供商快速过滤条件类别中选择 Amazon Web ServicesGoogle Cloud 平台

详细检查身份和访问权限发现结果

如需详细了解身份和访问权限发现结果,请通过在发现结果的查询结果面板的类别列中点击该发现结果名称,打开该发现结果的详细视图。如需详细了解发现结果详情 查看, 查看, view, see 查看发现结果的详细信息

详情视图摘要标签页上的以下部分非常实用 调查身份和访问权限发现结果。

违规访问授权

在发现结果“详细信息”窗格的摘要标签页中,违规访问 授权行提供一种快速检查主账号,包括联合身份验证 身份及其对您的资源的访问权限。 只有当 IAM 建议工具检测到 Google Cloud 资源上存在具有高度许可权限、基本角色和未使用的角色的主体时,此信息才会显示在相应发现结果中。

点击查看违规访问授权,打开查看违规访问授权窗格,其中包含以下信息:

  • 主账号的名称。此列中显示的主账号可以是 Google Cloud 用户账号、群组、联合身份和服务账号的混合。
  • 授予主账号的角色的名称。
  • 建议采取的措施:解决违规访问问题。

支持请求信息

如果有与特定发现结果对应的支持请求或工单,则在相应发现结果的详情页面中的摘要标签页中会显示支持请求信息部分。系统会自动处理支持请求和工单 为严重级别为 CriticalHigh 的发现结果创建的。

案例信息部分提供了一种跟踪特定发现结果的补救措施的方法。它提供了 相应的支持请求,例如指向任何相应支持请求和工单系统的链接 (Jira 或 ServiceNow)工单、分配对象、案例状态和案例优先级。

  • 访问与 发现结果,请点击支持请求 ID 行中的支持请求 ID 编号。

  • 访问与 点击 Ticket ID(票券 ID)行中的票券 ID 号。

如需将工单系统与 Security Command Center Enterprise 相关联,请参阅将 Security Command Center Enterprise 与工单系统集成

如需详细了解如何查看相应支持请求,请参阅查看身份和访问权限问题支持请求

后续步骤

在发现结果详情页面的摘要标签页中,后续步骤 部分提供了有关如何立即解决问题的分步指导 。这些建议是针对您正在查看的具体发现量身提供的。

后续步骤