Cette page explique comment utiliser les résultats des problèmes de sécurité liés à l'identité et aux accès (résultats d'identité et d'accès) dans la console Google Cloud pour examiner et identifier d'éventuelles erreurs de configuration.
Dans le cadre des fonctionnalités de gestion des droits d'accès à l'infrastructure cloud (CIEM) proposées avec le niveau Enterprise, Security Command Center génère des résultats concernant les identités et les accès, et les rend facilement accessibles sur la page Aperçu des risques de Security Command Center. Ces résultats sont sélectionnés et classés dans le volet Résultats liés à l'identité et aux accès.
Avant de commencer
Assurez-vous d'avoir effectué les tâches suivantes avant de continuer:
- Découvrez les fonctionnalités CIEM de Security Command Center.
- Configurez les autorisations pour CIEM.
- Activez le service de détection CIEM pour AWS.
Afficher un résumé des résultats concernant l'identité et les accès
Sur la page Aperçu des risques de Security Command Center, le volet Résultats liés à l'identité et aux accès offre une vue d'ensemble des principaux résultats concernant les identités et les accès dans vos environnements cloud, tels que Google Cloud et Amazon Web Services (AWS). Le volet est composé d'une table qui organise les résultats dans trois colonnes:
- Gravité: la gravité du résultat est un indicateur général de l'importance de corriger la catégorie de résultats, qui peut être classée comme
Critical,High,MediumouLow. - Catégorie de résultat: type d'erreur de configuration des identités et des accès détectée.
- Nombre total de résultats: nombre total d'erreurs de configuration liées aux identités et aux accès trouvées dans une catégorie, pour un niveau de gravité donné.
Pour parcourir les résultats du volet, vous pouvez les trier par gravité, catégorie de résultat ou nombre total de résultats en cliquant sur l'en-tête correspondant. Vous pouvez également modifier le nombre de lignes affichées par le volet (jusqu'à 200) et naviguer entre les pages à l'aide des flèches de navigation en bas de la table.
Vous pouvez cliquer sur le titre d'une catégorie ou le nombre total de résultats correspondant pour inspecter des résultats spécifiques plus en détail sur la page Résultats de Security Command Center. Pour en savoir plus, consultez Inspecter en détail les résultats concernant l'identité et les accès.
Les composants suivants, situés sous le tableau des résultats, permettent de fournir du contexte supplémentaire sur vos résultats concernant l'identité et les accès:
- L'étiquette Sources indique la source à partir de laquelle Security Command Center ingère les données pour produire les résultats. Les résultats concernant l'identité et les accès peuvent s'appliquer aux environnements Google Cloud et AWS. Security Command Center n'affiche les résultats d'identité et d'accès pour AWS que si vous avez connecté une instance AWS et configuré l'ingestion de journaux AWS pour CIEM.
- Le lien Afficher tous les résultats concernant l'identité et les accès vous permet d'accéder à la page Résultats de Security Command Center pour afficher toutes les configurations d'identité et d'accès détectées, indépendamment de leur catégorie ou de leur gravité.
- Le lien Examiner l'accès avec Policy Analyzer permet d'accéder rapidement à l'outil Policy Analyzer, qui vous permet de voir qui a accès à quelles ressources en fonction de vos stratégies d'autorisation IAM.
Afficher les résultats concernant l'identité et les accès sur la page "Résultats"
Le volet Résultats concernant l'identité et les accès offre plusieurs points d'entrée à la page Résultats de Security Command Center pour inspecter en détail les résultats concernant les identités et les accès:
- Cliquez sur un nom de résultat sous Catégorie de résultat ou sur son nombre total de résultats sous Nombre total de résultats pour lancer une requête automatique sur cette catégorie de résultats et ce niveau de gravité.
- Cliquez sur Afficher tous les résultats liés à l'identité et aux accès pour interroger tous les résultats sans ordre particulier.
Security Command Center présélectionne certains filtres rapides qui créent une requête de résultats spécifique pour les erreurs de configuration concernant les identités et les accès. Les options de filtrage rapide changent selon que vous interrogez un ou tous les résultats liés à l'identité et aux accès. Vous pouvez modifier ces requêtes si nécessaire. Les catégories et les options de filtrage rapide spécifiques qui présentent un intérêt pour le CIEM sont les suivantes:
- Category: filtres permettant d'interroger les résultats pour des catégories de résultats spécifiques sur lesquelles vous souhaitez en savoir plus. Les options de filtrage rapide répertoriées dans cette catégorie changent selon que vous interrogez une seule partie ou la totalité des résultats liés à l'identité et aux accès.
- Project ID (ID du projet) : filtres permettant d'interroger les résultats pour des résultats liés à un projet spécifique.
- Resource type (Type de ressource) : filtres permettant d'interroger les résultats pour obtenir des résultats liés à un type de ressource spécifique.
- Severity (Gravité) : filtres permettant d'interroger les résultats à la recherche de résultats présentant un niveau de gravité spécifique
- Source display name (Nom à afficher source) : filtres permettant d'interroger les résultats concernant les résultats détectés par un service spécifique ayant détecté une erreur de configuration.
- Cloud provider (Fournisseur cloud) : filtres permettant d'interroger les résultats provenant d'une plate-forme cloud spécifique
Le panneau Résultats de la requête de résultat est composé de plusieurs colonnes qui fournissent des détails sur les résultats. Parmi elles, les colonnes suivantes peuvent être utilisées à des fins CIEM:
- Gravité: affiche la gravité d'un résultat donné pour vous aider à hiérarchiser la correction.
- Nom à afficher pour la ressource: affiche la ressource dans laquelle le résultat a été détecté.
- Nom à afficher pour la source: indique le service qui a détecté le résultat. Parmi les sources qui produisent des résultats liés à l'identité figurent CIEM, l'outil de recommandation IAM et Security Health Analytics.
- Fournisseur cloud: affiche l'environnement cloud dans lequel le résultat a été détecté, tel que Google Cloud et AWS.
- Autorisations d'accès incriminées: affiche un lien permettant d'examiner les comptes principaux auxquels des rôles inappropriés ont pu être attribués.
- Case ID (Numéro de demande) : affiche le numéro de la demande associée au résultat.
Pour en savoir plus sur l'utilisation des résultats, consultez la page Utiliser les résultats dans la console Google Cloud.
Examiner les résultats d'identification et d'accès pour différentes plates-formes cloud
Security Command Center vous permet d'examiner les résultats d'erreurs de configuration concernant les identités et les accès pour vos environnements AWS et Google Cloud sur la page Résultats de Security Command Center.
De nombreux services de détection Security Command Center, tels que CIEM, l'outil de recommandation IAM et Security Health Analytics, génèrent des catégories de résultats spécifiques à la CIEM qui détectent les problèmes potentiels de sécurité des identités et des accès pour vos plates-formes cloud.
Le service de détection CIEM de Security Command Center génère des résultats spécifiques pour votre environnement AWS, tandis que l'outil de recommandation IAM et les services de détection Security Health Analytics génèrent des résultats spécifiques pour votre environnement Google Cloud.
Pour n'afficher que les résultats détectés par un service spécifique, sélectionnez ce service dans la catégorie de filtres rapides Nom à afficher source. Par exemple, si vous souhaitez n'afficher que les résultats détectés par le service de détection CIEM, sélectionnez CIEM.
Le tableau suivant décrit tous les résultats considérés comme faisant partie des fonctionnalités CIEM de Security Command Center.
| Cloud Platform | Catégorie de résultats | Description | Source |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Rôles IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez la page Résultats CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Groupes IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez la page Résultats CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Utilisateurs IAM détectés dans votre environnement AWS avec des stratégies très permissives. Pour en savoir plus, consultez la page Résultats CIEM. | CIEM |
| Accès IAP | MFA not enforced
(MFA_NOT_ENFORCED) | Certains utilisateurs n'utilisent pas la validation en deux étapes. Pour en savoir plus, consultez la section Résultats de l'authentification multifacteur. | les résultats et recommandations |
| Accès IAP | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux rôles personnalisés. Pour en savoir plus, consultez la page Surveiller les résultats des failles. | les résultats et recommandations |
| Accès IAP | KMS role separation
(KMS_ROLE_SEPARATION) | La séparation des tâches n'est pas appliquée, et un utilisateur possède à la fois l'un des rôles Cloud Key Management Service suivants: Chiffreur/Déchiffreur de clés cryptographiques, Chiffreur ou Déchiffreur. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Primitive roles used
(PRIMITIVE_ROLES_USED) | Il dispose de l'un des rôles de base suivants: Propriétaire (roles/owner), Éditeur (roles/editor) ou Lecteur (roles/viewer). Pour en savoir plus, consultez la section Résultats de failles IAM. | les résultats et recommandations |
| Accès IAP | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Un rôle Redis IAM est attribué au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Les rôles Administrateur de compte de service et Utilisateur du compte de service ont été attribués à un utilisateur. Cela enfreint le principe de séparation des tâches. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Non org IAM member
(NON_ORG_IAM_MEMBER) | Un utilisateur n'utilise pas les identifiants de l'organisation. Conformément à Google Cloud Foundations 1.0 CIS, seules les identités avec des adresses e-mail @gmail.com déclenchent ce détecteur. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Un compte Google Groupes qui peut être joint sans approbation est utilisé comme compte principal d'une stratégie d'autorisation IAM. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Unused IAM role
(UNUSED_IAM_ROLE) | L'outil de recommandation IAM a détecté un compte utilisateur dont le rôle IAM n'a pas été utilisé au cours des 90 derniers jours. Pour en savoir plus, consultez la section Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Accès IAP | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | L'outil de recommandation IAM a détecté un compte de service qui dispose d'un ou de plusieurs rôles IAM qui accordent des autorisations excessives au compte utilisateur. Pour en savoir plus, consultez la section Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Accès IAP | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
L'outil de recommandation IAM a détecté que le rôle IAM par défaut d'origine attribué à un agent de service a été remplacé par l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles trop permissifs et ne doivent pas être accordés aux agents de service. Pour en savoir plus, consultez la section Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Accès IAP | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | L'outil de recommandation IAM a détecté IAM qu'un agent de service s'était vu attribuer l'un des rôles IAM de base : Propriétaire, Éditeur ou Lecteur. Les rôles de base sont des anciens rôles trop permissifs et ne doivent pas être accordés aux agents de service. Pour en savoir plus, consultez la section Résultats de l'outil de recommandation IAM. | Outil de recommandation IAM |
| Accès IAP | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Un compte de service dispose des droits d'administrateur, de propriétaire ou d'éditeur. Ces rôles ne doivent pas être attribués à des comptes de service créés par l'utilisateur. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Une instance est configurée pour utiliser le compte de service par défaut. Pour en savoir plus, consultez la section Résultats des failles des instances Compute. | les résultats et recommandations |
| Accès IAP | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Un compte de service dispose d'un accès trop étendu aux projets dans un cluster. Pour en savoir plus, consultez la section Résultats des failles de conteneur. | les résultats et recommandations |
| Accès IAP | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Un utilisateur dispose du rôle Utilisateur du compte de service ou Créateur de jetons du compte de service au niveau du projet, plutôt que pour un compte de service spécifique. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | La rotation d'une clé de compte de service remonte à plus de 90 jours. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Un compte de service de nœud dispose de niveaux d'accès étendus. Pour en savoir plus, consultez la section Résultats des failles de conteneur. | les résultats et recommandations |
| Accès IAP | KMS public key
(KMS_PUBLIC_KEY) | Une clé cryptographique Cloud KMS est accessible publiquement. Pour en savoir plus, consultez la page Résultats des failles KMS. | les résultats et recommandations |
| Accès IAP | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Un bucket Cloud Storage est accessible publiquement. Pour en savoir plus, consultez la section Résultats des failles de stockage. | les résultats et recommandations |
| Accès IAP | Public log bucket
(PUBLIC_LOG_BUCKET) | Un bucket de stockage utilisé comme récepteur de journaux est accessible publiquement. Pour en savoir plus, consultez la section Résultats des failles de stockage. | les résultats et recommandations |
| Accès IAP | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Un utilisateur gère une clé de compte de service. Pour en savoir plus, consultez la page Résultats des failles IAM. | les résultats et recommandations |
| Accès IAP | Too many KMS users
(TOO_MANY_KMS_USERS) | Les clés cryptographiques sont utilisées par plus de trois. Pour en savoir plus, consultez la page Résultats des failles KMS. | les résultats et recommandations |
| Accès IAP | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Un utilisateur dispose d'autorisations Propriétaire sur un projet associé à des clés cryptographiques. Pour en savoir plus, consultez la page Résultats des failles KMS. | les résultats et recommandations |
| Accès IAP | Owner not monitored
(OWNER_NOT_MONITORED) | Les métriques et les alertes de journal ne sont pas configurées pour surveiller les attributions ou les modifications de propriété des projets. Pour en savoir plus, consultez la page Surveiller les résultats des failles. | les résultats et recommandations |
Filtrer les résultats concernant l'identité et les accès par plate-forme cloud
Dans le volet Résultats de la requête de résultat, vous pouvez savoir quel résultat se rapporte à une plate-forme cloud donnée en inspectant le contenu des colonnes Fournisseur cloud, Nom à afficher des ressources ou Type de ressource.
Par défaut, la page Résultats de la requête affiche les résultats concernant l'identité et les accès pour les environnements Google Cloud et AWS. Pour modifier les résultats de la requête de résultat par défaut afin de n'afficher que les résultats d'une plate-forme cloud particulière, sélectionnez Amazon Web Services ou Google Cloud Platform dans la catégorie de filtres rapides Fournisseur cloud.
Inspecter en détail les résultats liés à l'identité et aux accès
Pour en savoir plus sur un résultat lié à l'identité et aux accès, ouvrez la vue détaillée du résultat en cliquant sur son nom dans la colonne Catégorie du panneau Résultats de la requête de résultat. Pour en savoir plus sur la vue détaillée d'un résultat, consultez Afficher les détails d'un résultat.
Les sections suivantes de l'onglet Résumé de la vue détaillée sont utiles pour examiner les résultats concernant l'identité et les accès.
Autorisations d'accès incriminées
Dans l'onglet Résumé du volet de détails d'un résultat, la ligne Accords d'accès incriminés permet d'inspecter rapidement Google Cloud et les comptes principaux tiers, ainsi que leur accès à vos ressources. Ces informations ne s'affichent que pour les résultats lorsque l'outil de recommandation IAM détecte des comptes principaux sur les ressources Google Cloud disposant de rôles hautement permissifs, de base et inutilisés.
Cliquez sur Examiner les autorisations d'accès incriminées pour ouvrir le volet Examiner les autorisations d'accès incriminées, qui contient les informations suivantes:
- Nom du compte principal. Les comptes principaux affichés dans cette colonne peuvent être une combinaison de comptes utilisateur Google Cloud (
user:example-user@example.com), de groupes, d'identités d'autres fournisseurs d'identité (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com) et de comptes de service. - Nom du rôle attribué au compte principal.
- Action recommandée pour remédier à l'accès incriminé.
Informations sur la demande
Dans l'onglet Résumé de la page de détails d'un résultat, la section Informations sur la demande s'affiche lorsqu'une demande ou une demande correspond à un résultat particulier. Les demandes et les demandes sont automatiquement créées pour les résultats dont le niveau de gravité est défini sur Critical ou High.
La section Informations sur les demandes permet de suivre les efforts de résolution pour un résultat particulier. Il fournit des détails sur le cas correspondant, tels que des liens vers les demandes correspondantes et les demandes liées au système de gestion des demandes (Jira ou ServiceNow), la personne responsable, l'état et la priorité de la demande.
Pour accéder à la demande correspondant au résultat, cliquez sur le numéro de demande dans la ligne Case ID (Numéro de demande).
Pour accéder au ticket Jira ou ServiceNow correspondant au résultat, cliquez sur le numéro d'ID de la demande dans la ligne Ticket ID.
Pour connecter vos systèmes de billetterie à Security Command Center Enterprise, consultez la page Intégrer Security Command Center Enterprise aux systèmes de billetterie.
Pour en savoir plus sur l'examen des demandes correspondantes, consultez Examiner les demandes d'identification et d'accès.
Étapes suivantes
Dans l'onglet Résumé de la page d'informations d'un résultat, la section Étapes suivantes fournit des instructions détaillées sur la résolution immédiate du problème détecté. Ces recommandations sont adaptées au résultat spécifique que vous consultez.
Étapes suivantes
- Découvrez comment utiliser les résultats.
- Découvrez comment examiner les demandes liées à l'identité et aux accès.
- Découvrez les détecteurs CIEM qui génèrent des résultats AWS.