本页介绍了如何使用发现结果来找出 中与身份和访问权限(身份和访问权限发现结果)相关, Google Cloud 控制台,以调查并识别潜在的错误配置。
作为企业提供的云基础架构授权管理 (CIEM) 功能的一部分, Security Command Center 可生成身份和访问权限发现结果,并随时 可在 Security Command Center 风险概览页面访问。这些发现结果是 身份和访问权限发现结果窗格下进行精选和分类。
准备工作
在继续之前,请确保您已完成以下任务:
查看身份和访问权限发现结果摘要
Security Command Center 的身份和访问权限发现结果窗格风险 概览 页面,其中概要介绍了 Google Cloud 中主要的身份和访问权限发现结果 您的云环境,例如 Google Cloud 和 Amazon Web Services (AWS)。通过 窗格包含一个表,将发现结果分为三列:
- 严重程度:发现结果
严重程度为
用于说明补救发现结果类别重要程度的一般指标,
可分为
Critical
、High
、Medium
或Low
。 - 发现结果类别:发现的身份和访问权限配置错误的类型。
- 发现结果总数:身份和访问权限错误配置的总数 。
如需在窗格中浏览发现结果,您可以按严重性、发现结果 类别或发现结果总数。您可以 还可以修改窗格显示的行数(最多 200 行), 使用表格底部的导航箭头在页面之间切换。
您可以点击类别标题或其对应的发现结果总数, 在 Security Command Center 发现结果中更详细地检查特定发现结果 页面。如需了解详情,请参阅详细检查身份和访问权限发现结果。
发现结果表下方的以下部分有助于提供更多 身份和访问权限发现结果的上下文:
- 来源标签指示 Security Command Center 正在提取的来源 产生结果。身份和访问权限发现结果可以应用 到 Google Cloud 和 AWS 环境。Security Command Center 仅显示身份 和访问权限 如果您已连接 AWS 实例,并且配置了 针对以下应用的 AWS 日志注入: CIEM。
- 点击查看所有身份和访问权限发现结果链接,可前往 Security Command Center 发现结果页面,用于查看所有检测到的身份和访问权限 配置错误 无论应用属于哪种类别或严重程度
- 点击使用政策分析器查看访问权限链接可快速访问 政策分析器 工具,可让您查看谁有权访问哪些资源项 设置适当的资源
在“发现结果”页面上查看身份和访问权限发现结果
身份和访问权限发现结果窗格提供 Security Command Center 发现 用于检查身份和访问权限发现结果的页面 :
- 点击发现结果类别下的发现结果名称或其发现结果总数 在所有发现结果下,自动查询特定发现结果 类别和严重程度分级。
- 点击查看所有身份和访问权限发现结果,以查询 没有特定顺序。
Security Command Center 会预先选择某些用于创建发现结果查询的快速过滤条件 具体来说就是 检查是否存在身份和访问权限错误配置的问题快速过滤选项会根据 查询一个还是所有身份和访问权限发现结果。您可以修改这些信息 查询。Google Cloud 提供的特定快速过滤器类别和选项 包括:
- 类别:用于查询特定发现结果类别结果的过滤条件 您想要详细了解的内容。此部分中列出的快速过滤选项 类别和访问权限的不同 结果。
- 项目 ID:用于查询与项目相关的发现结果的过滤条件 特定项目。
- 资源类型:用于查询与某一资源相关的发现结果的过滤条件 特定资源类型。
- 严重性:用于查询特定主题的发现结果的过滤条件 严重级别。
- 来源显示名称:用于查询检测到的发现结果结果的过滤条件 检测到错误配置的特定服务。
- 云服务提供商:用于查询来自以下来源的发现结果的过滤条件 特定云平台。
发现结果查询结果面板由几个列组成,提供了 有关该发现结果的详细信息。其中,以下列适用于 CIEM 用途:
- 严重性:显示给定发现结果的严重程度,以帮助您确定优先级 修复。
- 资源显示名称:显示发现结果所在的资源 。
- 来源显示名称:显示检测到发现结果的服务。 生成与身份相关发现结果的来源包括 CIEM、 IAM Recommender 和 Security Health Analytics。
- 云服务提供商:显示发现结果所在的云环境 例如 Google Cloud 和 AWS。
- 违规访问授权:显示一个链接,用于审核 可能被授予了不当角色
- 支持请求 ID:显示支持请求的 ID 编号, 查找。
如需详细了解如何处理发现结果,请参阅在 Google Cloud 控制台。
调查不同云平台的身份和访问权限发现结果
借助 Security Command Center,您可以调查身份和访问错误配置 Security Command Center 上针对 AWS 和 Google Cloud 环境的发现结果 发现结果页面。
许多不同的 Security Command Center 检测服务,例如 CIEM、IAM Recommender 和 Security Health Analytics,生成 CIEM 专用 查找可检测是否存在以下潜在身份和访问安全问题的类别: 和云端平台
Security Command Center CIEM 检测服务会生成特定的 以及 IAM Recommender 和 Security Health Analytics 检测服务会为您的 Google Cloud 环境生成特定的发现结果。
如需仅查看特定服务检测到的发现结果,请从 来源显示名称快速过滤器类别。例如,如果您希望 仅查看 CIEM 检测服务检测到的发现结果,选中 CIEM。
下表介绍了在执行上述操作时, Security Command Center 的 CIEM 功能。
Cloud platform | 发现结果类别 | 说明 | 来源 |
---|---|---|---|
AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS ) | 假设 在您的 AWS 环境中检测到具有高度宽松权限的 IAM 角色 政策。有关详情,请参阅 CIEM 发现结果。 | CIEM |
AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS ) | IAM 群组 在 AWS 环境中检测到。有关 详情,请参阅 CIEM 发现结果。 | CIEM |
AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS ) | 检测到 IAM 用户 在 AWS 环境中使用高度宽松的政策。有关 详情,请参阅 CIEM 发现结果。 | CIEM |
Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED ) | 有些用户未使用 两步验证。如需了解详情,请参阅多重身份验证 身份验证发现结果。 | Security Health Analytics |
Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED ) | 记录指标和提醒 未配置为监控自定义角色更改。如需更多信息 请参阅监控 漏洞发现结果。 | Security Health Analytics |
Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION ) | 职责分离不 已强制执行,并且用户目前拥有以下任一 Cloud Key Management Service CryptoKey Encrypter/Decrypter、 加密者或解密者。有关 请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED ) | 用户拥有
以下基本角色:Owner (roles/owner )、
编辑者 (roles/editor ),或
Viewer (roles/viewer )。如需更多信息
请参阅 IAM
漏洞发现结果。 | Security Health Analytics |
Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG ) | Redis IAM 角色是 是在组织或文件夹级别分配的。有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION ) | 有位用户 分配了服务账号管理员和服务 Account User 角色。这违反了“职责分离” 原则。有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER ) | 有用户未使用 组织凭据。仅限根据 CIS Google Cloud Foundations 1.0 使用 @gmail.com 电子邮件地址的身份会触发此检测器。有关 请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER ) | 符合以下条件的 Google 群组账号: 可用作 IAM 允许政策主账号。 有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE ) | IAM Recommender 检测到了用户 账号拥有在过去 90 天内未使用过的 IAM 角色。 有关详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS ) | IAM Recommender 检测到具有一个或多个 IAM 角色的服务账号, 对用户账号进行过多权限限制的情况。有关详情,请参阅 IAM Recommender 发现结果。 | IAM Recommender |
Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE ) |
IAM Recommender 检测到向 服务代理已替换为某个基本 IAM 角色: Owner、Editor 或 Viewer。基本角色是过于宽松的旧版 角色,不应授予服务代理。如需更多信息 请参阅 IAM Recommender 发现结果。 | IAM Recommender |
Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE ) | IAM Recommender 检测到已向服务代理授予某个基本 IAM 角色的 IAM: Owner、Editor 或 Viewer。基本角色是过于宽松的旧版 角色,不应授予服务代理。如需更多信息 请参阅 IAM Recommender 发现结果。 | IAM Recommender |
Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT ) | 一个服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务 账号。有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED ) | 实例 配置为使用默认服务账号。如需了解详情,请参阅 计算 实例漏洞发现结果。 | Security Health Analytics |
Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT ) | 一个服务账号具有 过于宽泛的项目访问权限有关详情,请参阅 Containers 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER ) | 答 用户拥有 Service Account User 或 Service Account Token Creator 角色,而不是 特定服务账号有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED ) | 服务账号 密钥超过 90 天未轮替。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES ) | 节点服务账号具有 广泛的访问权限范围。有关详情,请参阅 Containers 漏洞发现结果。 | Security Health Analytics |
Google Cloud | KMS public key
(KMS_PUBLIC_KEY ) | Cloud KMS 加密密钥是 可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL ) | Cloud Storage 存储桶是 可公开访问。有关详情,请参阅 Storage 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET ) | 用作日志的存储桶 公开访问的接收器有关详情,请参阅 Storage 漏洞发现结果。 | Security Health Analytics |
Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY ) | 用户管理着 服务账号密钥。有关详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS ) | 用户数量超过三位 加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER ) | 用户 对具有加密的项目的 Owner 权限 键。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED ) | 日志指标和提醒 配置为监控项目所有权分配或更改。有关 相关信息,请参阅监控 漏洞发现结果。 | Security Health Analytics |
按 Cloud Platform 过滤身份和访问权限发现结果
在发现结果查询结果窗格中,您可以判断哪些发现结果与某项 查看 Cloud Provider 的内容, 资源显示名称或资源类型列。
发现结果会显示两者的身份和访问权限发现结果 默认设置为 Google Cloud 和 AWS 环境。修改默认的发现结果查询 结果,仅显示特定云平台的发现结果,选中 云服务提供商提供的 Amazon Web Services 或 Google Cloud Platform 快速过滤器类别。
详细检查身份和访问权限发现结果
如需详细了解某个身份和访问权限发现结果,请打开 若要查找发现结果,请点击类别列中的发现结果名称 发现结果查询结果面板。如需详细了解发现结果详情 请参阅查看 发现结果。
详情视图摘要标签页上的以下部分非常实用 调查身份和访问权限发现结果。
违规访问授权
在发现结果“详细信息”窗格的摘要标签页中,违规访问 授权行提供了一种方法,用于快速检查 Google Cloud 以及他们对您的资源的访问权限。此信息 仅在 IAM Recommender 上检测到主账号时 具有高度宽松的基本角色和未使用的角色的 Google Cloud 资源。
点击审核违规访问授权以打开审核违规访问 grants 窗格,其中包含以下信息:
- 主账号的名称。此列中显示的主账号可以是
由 Google Cloud 用户账号 (
user:example-user@example.com
)、群组、 来自其他身份提供方的身份 (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com
), 和服务账号 - 授予主账号的角色名称。
- 建议采取的措施:解决违规访问问题。
支持请求信息
在发现结果详情页面的摘要标签页中,案例
信息部分,
与特定的发现结果相对应。系统会自动处理支持请求和工单
为严重级别为 Critical
或 High
的发现结果创建的。
支持请求信息部分可用于跟踪 特定发现的补救工作。它提供了 相应的支持请求,例如指向任何相应支持请求和工单系统的链接 (Jira 或 ServiceNow)工单、分配对象、案例状态和案例优先级。
访问与 找到发现结果,请点击支持请求 ID 行中的支持请求 ID 编号。
若要访问与您的账号 ID 对应的 Jira 或 ServiceNow 工单, 点击 Ticket ID(票券 ID)行中的票券 ID 号。
如需将您的工单系统与 Security Command Center Enterprise 连接,请参阅集成 具有工单功能的 Security Command Center Enterprise 系统。
如需详细了解如何审核相应支持请求,请参阅审核身份和 访问发现结果案例。
后续步骤
在发现结果详情页面的摘要标签页中,后续步骤 部分提供了有关如何立即解决问题的分步指导 。这些建议是根据您的具体发现结果量身提供的 查看。
后续步骤
- 了解如何处理发现结果。
- 了解如何查看身份和访问发现结果支持请求。
- 了解 CIEM 检测器 来生成 AWS 发现结果。