调查身份和访问权限发现结果

本页面介绍了如何在 Google Cloud 控制台中处理与身份和访问权限相关的安全问题的发现结果(身份和访问权限发现结果),以调查并识别潜在的错误配置。

作为企业级层级提供的云基础架构授权管理 (CIEM) 功能的一部分,Security Command Center 会生成身份和访问权限发现结果,并让用户可在 Security Command Center 风险概览页面上轻松访问这些发现结果。这些发现结果在身份和访问权限发现结果窗格下经过挑选和分类。

准备工作

在继续之前,请确保您已完成以下任务:

查看身份和访问权限发现结果摘要

Security Command Center 风险概览页面上的身份和访问权限发现结果窗格可让您大致了解您的云环境(例如 Google Cloud 和 Amazon Web Services (AWS))中的主要身份和访问权限发现结果。该窗格由一个表组成,将发现结果分为三列:

  • 严重程度发现结果严重程度是一个总体指标,反映了发现结果类别补救措施的重要性,其可分类为 CriticalHighMediumLow
  • 发现结果类别:发现的身份和访问权限配置错误的类型。
  • 发现结果总数:在指定严重级别分类的类别中发现的身份和访问权限错误配置的总数。

如需在窗格中浏览发现结果,您可以点击相应的标题,按严重性、发现结果类别或发现结果总数对其进行排序。您还可以修改窗格显示的行数(最多 200),并使用表格底部的导航箭头在页面之间导航。

您可以点击类别标题或其对应的发现结果总数,在 Security Command Center 发现结果页面上更详细地检查特定发现结果。如需了解详情,请参阅详细检查身份和访问权限发现结果

发现结果表下方的以下组件有助于为您的身份和访问权限发现结果提供额外的上下文:

  • 来源标签指示 Security Command Center 从哪个来源提取数据以生成发现结果。身份和访问权限发现结果可同时适用于 Google Cloud 和 AWS 环境。如果您已连接 AWS 实例为 CIEM 配置了 AWS 日志提取,则 Security Command Center 仅显示 AWS 的身份和访问权限结果。
  • 通过查看所有身份和访问权限发现结果链接,您可以导航到 Security Command Center 发现结果页面,以查看所有检测到的身份并访问错误配置(无论类别或严重性如何)。
  • 点击使用政策分析器查看访问权限链接,即可快速访问政策分析器工具,借助该工具,您可以根据 IAM 允许政策查看谁有权访问哪些资源。

在“发现结果”页面上查看身份和访问权限发现结果

身份和访问权限发现结果窗格提供了 Security Command Center 发现结果页面的多个入口点,以详细检查身份和访问权限发现结果:

  • 点击发现结果类别下的任一发现结果名称,或在发现结果总数下,统计其发现结果总数,即可自动查询该特定发现结果类别和严重程度评分。
  • 点击查看所有身份和访问权限发现结果,按特定顺序查询所有发现结果。

Security Command Center 会预先选择某些快速过滤条件,这些过滤条件专门用于为身份和访问权限错误配置创建发现结果查询。快速过滤选项会根据您查询的是单个还是所有身份和访问权限发现结果而发生变化。您可以根据需要修改这些查询。CIEM 感兴趣的特定快速过滤器类别和选项包括:

  • 类别:用于查询您希望详细了解的特定发现结果类别的结果的过滤条件。此类别中列出的快速过滤选项会根据您查询一个还是所有身份和访问权限发现结果而发生变化。
  • 项目 ID:用于查询与特定项目相关的发现结果的过滤条件。
  • 资源类型:用于查询与特定资源类型相关的发现结果的结果的过滤条件。
  • 严重性:用于查询特定严重性发现结果的结果的过滤条件。
  • 来源显示名称:用于查询由检测到错误配置的特定服务检测到的发现结果的结果。
  • 云服务商:用于查询来自特定云平台的发现结果的过滤条件。

发现结果查询结果面板由若干列组成,其中提供了有关发现结果的详细信息。其中以下列适用于 CIEM:

  • 严重性:显示给定发现结果的严重程度,以帮助您确定修复措施的优先级。
  • 资源显示名称:显示检测到发现结果的资源。
  • 来源显示名称:显示检测到发现结果的服务。 生成与身份相关发现结果的来源包括 CIEM、IAM Recommender 和 Security Health Analytics。
  • 云提供商:显示检测到发现结果的云环境,例如 Google Cloud 和 AWS。
  • 违规访问授权:显示一个链接,用于查看可能被授予了不当角色的主账号。
  • 支持请求 ID:显示与发现结果相关的支持请求的 ID 编号。

如需详细了解如何处理发现结果,请参阅在 Google Cloud 控制台中处理发现结果

调查不同云平台的身份和访问权限发现结果

借助 Security Command Center,您可以在 Security Command Center 发现结果页面上调查 AWS 和 Google Cloud 环境中的身份和访问错误配置结果。

许多不同的 Security Command Center 检测服务(例如 CIEM、IAM Recommender 和 Security Health Analytics)都会生成 CIEM 特定的发现结果类别,这些类别可检测您的云平台的潜在身份并访问安全问题。

Security Command Center CIEM 检测服务会为您的 AWS 环境生成特定发现结果,而 IAM Recommender 和 Security Health Analytics 检测服务会为您的 Google Cloud 环境生成特定发现结果。

如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择该服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM

下表介绍了 Security Command Center 的 CIEM 功能包含的所有发现结果。

Cloud platform 发现结果类别 说明 来源
AWS Assumed identity has excessive permissionsASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS 假设在您的 AWS 环境中检测到具有高度宽松政策的 IAM 角色。如需了解详情,请参阅 CIEM 发现结果 国际动机 (CIEM)
AWS Group has excessive permissionsGROUP_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到具有高度宽松政策的 IAM 组。如需了解详情,请参阅 CIEM 发现结果 国际动机 (CIEM)
AWS User has excessive permissionsUSER_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到具有高度宽松政策的 IAM 用户。如需了解详情,请参阅 CIEM 发现结果 国际动机 (CIEM)
Google Cloud MFA not enforcedMFA_NOT_ENFORCED 有些用户未使用两步验证。如需了解详情,请参阅多重身份验证发现结果 Security Health Analytics
Google Cloud Custom role not monitoredCUSTOM_ROLE_NOT_MONITORED 日志指标和提醒未配置为监控自定义角色更改。如需了解详情,请参阅监控漏洞发现结果 Security Health Analytics
Google Cloud KMS role separationKMS_ROLE_SEPARATION 不强制执行职责分离,并且存在同时拥有以下任一 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/DecrypterEncrypterDecrypter。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Primitive roles usedPRIMITIVE_ROLES_USED 用户具有以下基本角色之一:Owner (roles/owner)、Editor (roles/editor) 或 Viewer (roles/viewer)。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Redis role used on orgREDIS_ROLE_USED_ON_ORG Redis IAM 角色在组织或文件夹级别分配。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account role separationSERVICE_ACCOUNT_ROLE_SEPARATION 用户已被分配了 Service Account AdminService Account User 角色。这违反了“职责分离”原则。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Non org IAM memberNON_ORG_IAM_MEMBER 有用户未使用组织凭据。根据 CIS Google Cloud Foundations 1.0,只有使用 @gmail.com 电子邮件地址的身份会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Open group IAM memberOPEN_GROUP_IAM_MEMBER 无需批准即可加入的 Google 群组帐号用作 IAM 允许政策主帐号。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Unused IAM roleUNUSED_IAM_ROLE IAM Recommender 检测到用户帐号具有在过去 90 天内未使用过的 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现结果 IAM Recommender
Google Cloud IAM role has excessive permissionsIAM_ROLE_HAS_EXCESSIVE_PERMISSIONS IAM Recommender 检测到某个服务帐号具有一个或多个 IAM 角色为该用户帐号授予过多权限的。如需了解详情,请参阅 IAM Recommender 发现结果 IAM Recommender
Google Cloud Service agent role replaced with basic roleSERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM Recommender 检测到授予服务代理的原始默认 IAM 角色已被替换为以下基本 IAM 角色之一:OwnerEditorViewer。基本角色是过于宽松的旧版角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现结果 IAM Recommender
Google Cloud Service agent granted basic roleSERVICE_AGENT_GRANTED_BASIC_ROLE IAM Recommender 检测到相关 IAM 表明服务代理被授予了以下任一基本 IAM 角色:OwnerEditorViewer。基本角色是过于宽松的旧版角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现结果 IAM Recommender
Google Cloud Admin service accountADMIN_SERVICE_ACCOUNT 服务帐号具有管理员所有者编辑者权限。这些角色不应分配给用户创建的服务帐号。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Default service account usedDEFAULT_SERVICE_ACCOUNT_USED 实例配置为使用默认服务帐号。如需了解详情,请参阅计算实例漏洞发现结果 Security Health Analytics
Google Cloud Over privileged accountOVER_PRIVILEGED_ACCOUNT 服务帐号在集群中拥有过于宽泛的项目访问权限。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud Over privileged service account user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) 用户具有项目级的 Service Account UserService Account Token Creator 角色,而不是特定的服务帐号。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account key not rotatedSERVICE_ACCOUNT_KEY_NOT_ROTATED 服务帐号密钥超过 90 天未轮替。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Over privileged scopesOVER_PRIVILEGED_SCOPES 节点服务帐号具有广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud KMS public keyKMS_PUBLIC_KEY Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Public bucket ACLPUBLIC_BUCKET_ACL Cloud Storage 存储桶可公开访问。如需了解详情,请参阅存储漏洞发现结果 Security Health Analytics
Google Cloud Public log bucketPUBLIC_LOG_BUCKET 用作日志接收器的存储桶可公开访问。如需了解详情,请参阅存储漏洞发现结果 Security Health Analytics
Google Cloud User managed service account keyUSER_MANAGED_SERVICE_ACCOUNT_KEY 用户管理服务帐号密钥。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Too many KMS usersTOO_MANY_KMS_USERS 加密密钥的用户超过三个。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud KMS project has ownerKMS_PROJECT_HAS_OWNER 用户对具有加密密钥的项目具有 Owner 权限。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Owner not monitoredOWNER_NOT_MONITORED 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果 Security Health Analytics

按 Cloud Platform 过滤身份和访问权限发现结果

发现结果查询结果窗格中,您可以检查 Cloud providerResource display nameResource type 列的内容,从而确定发现结果与给定云平台相关。

默认情况下,发现结果会显示 Google Cloud 和 AWS 环境的身份和访问权限发现结果。如需修改默认发现结果查询结果以仅显示特定云平台的发现结果,请从云服务商快速过滤条件类别中选择 Amazon Web ServicesGoogle Cloud Platform

详细检查身份和访问权限发现结果

如需详细了解某个身份和访问权限发现结果,请在发现结果查询结果面板的类别列中点击发现结果名称,以打开发现结果的详细视图。如需详细了解发现结果详情视图,请参阅查看发现结果的详细信息

详细信息视图的摘要标签页上的以下部分有助于调查身份和访问权限发现结果。

违规访问授权

在发现结果的“详细信息”窗格的摘要标签页中,违规访问授权行可让您快速检查 Google Cloud 和第三方主帐号及其对您资源的访问权限。仅当 IAM Recommender 在 Google Cloud 资源上检测到具有高度宽松角色、基本角色和未使用的角色的主账号时,才会在发现结果中显示此信息。

点击查看违规访问授权,打开查看违规访问授权窗格,其中包含以下信息:

  • 主账号的名称。此列中显示的主帐号可以是 Google Cloud 用户帐号 (user:example-user@example.com)、群组、来自其他身份提供方的身份 (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) 和服务帐号的组合。
  • 授予主账号的角色名称。
  • 建议采取的措施:解决违规访问问题。

支持请求信息

在发现结果详情页面的摘要标签页上,当存在与特定发现结果相对应的案例或工单时,系统将显示案例信息部分。系统会自动为严重程度分类为 CriticalHigh 的发现结果创建案例和工单。

案例信息部分提供了一种方式来跟踪特定发现结果的补救工作。该页面提供了相应案例的详细信息,例如指向任何相应案例和工单系统(Jira 或 ServiceNow)工单的链接、分配对象、案例状态和案例优先级。

  • 如需访问与发现结果对应的支持请求,请点击支持请求 ID 行中的支持请求 ID 编号。

  • 如需访问与发现结果对应的 Jira 或 ServiceNow 工单,请点击 Ticket ID 行中的工单 ID 编号。

如需将您的工单系统与 Security Command Center Enterprise 连接,请参阅将 Security Command Center Enterprise 与工单系统集成

如需详细了解如何审核相应案例,请参阅审核身份和访问权限发现结果案例

后续步骤

在发现结果详情页面的摘要标签页上,后续步骤部分提供了有关如何立即补救检测到的问题的分步指南。这些建议是根据您查看的具体发现结果量身提供的。

后续步骤