本页介绍了如何在 Google Cloud 控制台中处理与身份和访问权限相关的安全问题的发现结果(身份和访问权限发现结果),以调查和识别可能的错误配置。
作为企业级层级提供的 Cloud Infrastructure Entitlement Management (CIEM) 功能的一部分,Security Command Center 会生成身份和访问权限发现结果,并在 Security Command Center 的风险概览页面上提供这些结果,以便您轻松访问。这些发现结果会在身份和访问权限发现结果窗格中进行整理和分类。
准备工作
在继续操作之前,请确保您已完成以下任务:
查看身份和访问权限发现结果摘要
Security Command Center 风险概览页面上的身份和访问权限发现结果窗格可让您大致了解各个云环境(例如 Google Cloud 和 Amazon Web Services [AWS])中的前沿身份和访问权限发现结果。该窗格由一个表格组成,该表格会将发现结果整理到三列中:
- 严重程度:发现结果严重程度是一个常规指标,用于表明解决发现结果类别的重要程度,可分类为
Critical、High、Medium或Low。 - 发现结果类别:发现的身份和访问权限错误配置类型。
- 云服务提供商:发现配置错误的云环境。
- 发现结果总数:在给定严重程度分类下,某个类别中发现的身份和访问权限配置错误的总数。
如需浏览窗格中的发现结果,您可以点击相应标题,按严重级别、发现结果类别或发现结果总数对发现结果进行排序。您还可以修改窗格中显示的行数(最多 200 行),并使用表格底部的导航箭头在页面之间导航。
您可以在 Security Command Center 的发现结果页面上点击某个类别标题或其对应的发现结果总数,详细检查特定发现结果。如需了解详情,请参阅详细检查身份和访问权限问题发现结果。
在“发现”表格下方,以下组件有助于为您的身份和访问权限发现结果提供更多背景信息:
- 来源标签表示 Security Command Center 从中提取数据以生成发现结果的来源。身份和访问权限发现结果既适用于Google Cloud 环境,也适用于 AWS 环境,并且可以来自不同的检测器,例如 CIEM、IAM 建议程序、Security Health Analytics 和 Event Threat Detection。只有在您关联了 AWS 实例并为 CIEM 配置了 AWS 日志注入后,Security Command Center 才会显示 AWS 的身份和访问权限问题。
- 通过查看所有身份和访问权限发现结果链接,您可以前往 Security Command Center 的发现结果页面,查看所有检测到的身份和访问权限配置错误,无论其类别或严重程度如何。
- 使用 Google Cloud 的 Policy Analyzer 查看访问权限链接可让您快速访问 Policy Analyzer 工具,以便根据 IAM 允许政策查看哪些用户有权访问哪些资源。 Google Cloud
在“发现结果”页面上查看身份和访问权限发现结果
身份和访问权限发现结果窗格提供了多个进入 Security Command Center 发现结果页面的位置,以便详细检查身份和访问权限发现结果:
- 点击发现结果类别下的任意发现结果名称或发现结果总数下的发现结果总数,即可自动查询该特定发现结果类别和严重程度评分。
- 点击查看所有身份和访问权限发现结果,以无特定顺序查询所有发现结果。
Security Command Center 会预先选择特定的快捷过滤条件,以便专门针对身份和访问权限配置错误创建发现结果查询。快速过滤条件选项会根据您查询一个还是所有身份和访问权限问题而有所变化。您可以根据需要修改这些查询。在 CIEM 用途方面,值得关注的特定快速过滤条件类别和选项包括:
- 类别:过滤条件,用于查询您想要详细了解的特定发现结果类别的结果。此类别中列出的快速过滤条件选项会根据您查询一个还是所有身份和访问权限发现结果而有所变化。
- 项目 ID:用于过滤查询结果,以查找与特定项目相关的发现。
- 资源类型:用于过滤结果,以查找与特定资源类型相关的发现。
- 严重级别:用于过滤结果,以查询特定严重级别的发现结果。
- 来源显示名称:用于过滤结果,以查询检测到错误配置的特定服务检测到的发现结果。
- 云服务提供商:用于过滤查询结果,以查找来自特定云平台的发现。
发现结果的查询结果面板由多个列组成,其中包含有关发现结果的详细信息。其中,以下列对 CIEM 用途很有用:
- 严重级别:显示给定发现结果的严重级别,以帮助您确定补救措施的优先级。
- 资源显示名称:显示检测到相应问题的资源。
- 来源显示名称:显示检测到相应问题的服务。生成身份相关发现结果的来源包括 CIEM、IAM 建议程序、Security Health Analytics 和 Event Threat Detection。
- 云服务商:显示检测到相应问题的云环境,例如 Google Cloud 和 AWS。
- 违规访问授权:显示一个链接,用于查看可能被授予不当角色的主账号。
- Case ID(支持请求 ID):显示与发现相关的支持请求的 ID 编号。
如需详细了解如何处理发现结果,请参阅查看和管理发现结果。
调查不同云平台的身份和访问权限发现结果
您可以在 Security Command Center 的发现结果页面上, Google Cloud 调查 AWS 环境的身份和访问权限配置错误发现结果。
许多不同的 Security Command Center 检测服务(例如 CIEM、IAM 建议程序、Security Health Analytics 和 Event Threat Detection)都会生成 CIEM 专用发现结果类别,用于检测云平台的潜在身份和访问权限安全问题。
Security Command Center CIEM 检测服务会为您的 AWS 环境生成特定发现结果,而 IAM 建议程序、Security Health Analytics 和 Event Threat Detection 检测服务会为您的 Google Cloud环境生成特定发现结果。
如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择该服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM。
下表介绍了属于 Security Command Center CIEM 功能的所有发现。
| 云平台 | 发现结果类别 | 说明 | 来源 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到的具有高度宽松政策的 AWS IAM 或 AWS IAM Identity Center 组。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | 在您的 AWS 环境中检测到具有高度宽松政策的 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | User is inactive
(INACTIVE_USER) | 在您的 AWS 环境中检测到闲置的 AWS IAM 或 AWS IAM Identity Center 用户。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Group is inactive
(INACTIVE_GROUP) | 在您的 AWS 环境中检测到的 AWS IAM 或 AWS IAM Identity Center 群组处于非活动状态。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity is inactive
(INACTIVE_ASSUMED_IDENTITY) | 在您的 AWS 环境中检测到的假定 IAM 角色处于非活动状态。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity
(OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 对假定 IAM 角色强制执行的信任政策非常宽松。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| AWS | Assumed identity has lateral movement risk
(ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 一个或多个身份可以通过角色模拟在 AWS 环境中横向移动。如需了解详情,请参阅 CIEM 发现结果。 | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | 有些用户没有使用两步验证。如需了解详情,请参阅多重身份验证发现结果。 | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | 日志指标和提醒未配置为监控自定义角色更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | 未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/Decrypter、Encrypter 或 Decrypter。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | 用户具有以下基本角色之一:Owner (roles/owner)、Editor (roles/editor) 或 Viewer (roles/viewer)。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Redis IAM 角色在组织或文件夹级层分配。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | 为用户分配了 Service Account Admin 和 Service Account User 角色。这违反了“职责分离”原则。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | 无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM:Owner、Editor 或 Viewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现。 | IAM Recommender |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | 服务账号具有 Admin、Owner 或 Editor 权限。这些角色不应分配给用户创建的服务账号。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | 实例配置为使用默认服务账号。如需了解详情,请参阅计算实例漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | 服务账号在集群中的项目访问权限过于宽泛。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged service account
user(OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 用户在项目级层(而不是特定服务账号)拥有 Service Account User 或 Service Account Token Creator 角色。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 服务账号密钥超过 90 天未轮替。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | 节点服务账号具有广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Cloud Storage 存储分区可公开访问。如需了解详情,请参阅存储空间漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | 用作日志接收器的存储分区可公开访问。如需了解详情,请参阅存储空间漏洞发现结果。 | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | 用户管理服务账号密钥。如需了解详情,请参阅 IAM 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | 有 3 个以上的加密密钥用户。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | 用户对具有加密密钥的项目具有 Owner 权限。如需了解详情,请参阅 KMS 漏洞发现结果。 | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果。 | Security Health Analytics |
按云平台过滤身份和访问权限发现结果
在发现结果查询结果窗格中,您可以通过检查云服务提供商、资源显示名称或资源类型列的内容,了解哪些发现结果与给定云平台相关。
默认情况下,发现结果的查询结果会显示Google Cloud 和 AWS 环境的身份和访问权限发现结果。如需修改默认的发现查询结果,以便仅显示特定云平台的发现结果,请从云服务提供商快速过滤条件类别中选择 Amazon Web Services 或 Google Cloud 平台。
详细检查身份和访问权限发现结果
如需详细了解身份和访问权限发现结果,请通过在发现结果的查询结果面板的类别列中点击该发现结果名称,打开该发现结果的详细视图。如需详细了解发现详情视图,请参阅查看发现的详细信息。
详细视图的摘要标签页中的以下部分有助于调查身份和访问权限方面的发现。
违规访问授权
在相应发现结果的详情窗格的摘要标签页中,违规的访问权限授予行提供了一种方法,可让您快速检查正文(包括联合身份)及其对资源的访问权限。只有当 IAM 建议工具检测到资源的主账号具有高度许可的角色、基本角色和未使用的角色时,此信息才会显示在相应发现结果中。 Google Cloud
点击查看违规访问授权可打开查看违规访问授权窗格,其中包含以下信息:
- 负责人的姓名。此列中显示的主账号可以是用户账号、群组、联合身份和服务账号的混合。 Google Cloud
- 授予主账号的角色的名称。
- 建议您采取的措施,以解决相应违规访问问题。
支持请求信息
如果有与特定发现结果对应的支持请求或工单,则在相应发现结果的详情页面摘要标签页中会显示支持请求信息部分。系统会自动为严重级别分类为 Critical 或 High 的发现结果创建支持请求和工单。
案例信息部分提供了一种跟踪特定发现结果的补救措施的方法。它提供与相应支持请求相关的详细信息,例如指向任何相应支持请求和服务工单系统(Jira 或 ServiceNow)工单的链接、分配者、支持请求状态和支持请求优先级。
如需访问与相应发现对应的支持请求,请点击 Case ID(支持请求 ID)行中的支持请求 ID 编号。
如需访问与相应发现对应的 Jira 或 ServiceNow 工单,请点击工单 ID 行中的工单 ID 编号。
如需将工单系统与 Security Command Center Enterprise 相关联,请参阅将 Security Command Center Enterprise 与工单系统集成。
如需详细了解如何查看相应支持请求,请参阅查看身份和访问权限问题支持请求。
后续步骤
在发现结果详情页面的摘要标签页中,后续步骤部分提供了有关如何立即修复检测到的问题的分步指导。这些建议是针对您正在查看的具体发现量身提供的。
后续步骤
- 了解如何查看和管理发现。
- 了解如何查看身份和访问权限问题发现情况。
- 了解生成 AWS 发现结果的 CIEM 检测器。