Halaman ini menjelaskan cara menangani temuan untuk masalah keamanan yang terkait dengan identitas dan akses (temuan identitas dan akses) di Konsol Google Cloud untuk menyelidiki dan mengidentifikasi potensi kesalahan konfigurasi.
Sebagai bagian dari kemampuan Cloud Infrastructure Entitlement Management (CIEM) yang ditawarkan dengan tingkat Enterprise, Security Command Center menghasilkan temuan identitas dan akses serta membuatnya mudah diakses di halaman Ringkasan Risiko Security Command Center. Temuan ini diseleksi dan dikategorikan di bagian panel Identity and access results.
Sebelum memulai
Pastikan Anda telah menyelesaikan tugas berikut sebelum melanjutkan:
- Pelajari kemampuan CIEM Security Command Center.
- Menyiapkan izin untuk CIEM.
- Aktifkan layanan deteksi CIEM untuk AWS.
Lihat ringkasan temuan akses dan identitas
Panel Identitas dan akses temuan di halaman Ringkasan Risiko Security Command Center memberikan tampilan tingkat tinggi tentang temuan identitas dan akses teratas di seluruh lingkungan cloud Anda, seperti Google Cloud dan Amazon Web Services (AWS). Panel ini terdiri dari tabel yang menyusun temuan ke dalam tiga kolom:
- Keparahan: Keparahan
penemuan adalah
indikator umum tentang seberapa penting untuk memulihkan kategori temuan,
yang dapat diklasifikasikan sebagai
Critical,High,Medium, atauLow. - Kategori pencarian: Jenis kesalahan konfigurasi akses dan identitas yang ditemukan.
- Total temuan: Total jumlah kesalahan konfigurasi akses dan identitas yang ditemukan dalam kategori pada klasifikasi tingkat keparahan tertentu.
Untuk melihat temuan di panel, Anda dapat mengurutkannya menurut tingkat keparahan, kategori pencarian, atau jumlah total temuan dengan mengklik header masing-masing. Anda juga dapat mengubah jumlah baris yang ditampilkan panel (hingga 200) dan berpindah antarhalaman menggunakan panah navigasi di bagian bawah tabel.
Anda dapat mengklik judul kategori atau jumlah total temuan yang sesuai untuk memeriksa temuan tertentu secara lebih mendetail di halaman Temuan Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Memeriksa temuan identitas dan akses secara mendetail.
Komponen berikut di bawah tabel temuan membantu memberikan konteks tambahan terkait temuan identitas dan akses Anda:
- Label Sources menunjukkan sumber tempat Security Command Center menyerap data untuk membuat temuan. Temuan akses dan identitas dapat diterapkan ke lingkungan Google Cloud dan AWS. Security Command Center hanya menampilkan temuan identitas dan akses untuk AWS jika Anda telah menghubungkan instance AWS dan mengonfigurasi penyerapan log AWS untuk CIEM.
- Link Lihat semua temuan identitas dan akses memungkinkan Anda membuka halaman Temuan Security Command Center untuk melihat semua konfigurasi identitas dan akses yang terdeteksi, terlepas dari kategori atau tingkat keparahannya.
- Link Tinjau akses dengan Penganalisis Kebijakan memberikan akses cepat ke alat Penganalisis Kebijakan, yang memungkinkan Anda melihat siapa yang memiliki akses ke resource apa berdasarkan kebijakan yang diizinkan IAM Anda.
Melihat temuan identitas dan akses di halaman Temuan
Panel Identity and access discovery menawarkan beberapa titik entri ke halaman Findings Security Command Center untuk memeriksa temuan identitas dan akses secara mendetail:
- Klik nama temuan di bagian Kategori temuan atau jumlah total temuan di bagian Total temuan untuk otomatis mengkueri kategori temuan dan rating tingkat keparahan tertentu.
- Klik Lihat semua temuan identitas dan akses untuk membuat kueri semua temuan dalam urutan tertentu.
Security Command Center memilihkan filter cepat tertentu yang membuat kueri temuan secara khusus untuk kesalahan konfigurasi akses dan identitas. Opsi filter cepat berubah berdasarkan apakah Anda membuat kueri satu atau semua temuan identitas dan akses. Anda dapat mengedit kueri ini sesuai kebutuhan. Kategori dan opsi filter cepat tertentu yang menarik untuk tujuan CIEM meliputi:
- Category: Filter untuk mengkueri hasil bagi kategori temuan tertentu yang ingin Anda pelajari lebih lanjut. Opsi filter cepat yang tercantum dalam kategori ini berubah berdasarkan apakah Anda mengkueri satu atau semua penemuan identitas dan akses.
- Project ID: Filter untuk mengkueri hasil temuan yang terkait dengan project tertentu.
- Resource type: Filter untuk mengkueri hasil temuan yang terkait dengan jenis resource tertentu.
- Severity: Filter untuk mengkueri hasil dengan temuan dengan tingkat keparahan tertentu.
- Source display name: Filter untuk membuat kueri hasil untuk temuan yang terdeteksi oleh layanan tertentu yang mendeteksi kesalahan konfigurasi.
- Cloud provider: Filter untuk mengkueri hasil temuan yang berasal dari platform cloud tertentu.
Panel Findings query results terdiri dari beberapa kolom yang memberikan detail tentang temuan. Di antara kolom tersebut, kolom berikut menarik untuk tujuan CIEM:
- Keparahan: Menampilkan tingkat keparahan temuan tertentu untuk membantu Anda memprioritaskan perbaikan.
- Nama tampilan resource: Menampilkan resource tempat temuan terdeteksi.
- Nama tampilan sumber: Menampilkan layanan yang mendeteksi temuan. Sumber yang menghasilkan temuan terkait identitas termasuk CIEM, pemberi rekomendasi IAM, dan Security Health Analytics.
- Penyedia cloud: Menampilkan lingkungan cloud tempat temuan terdeteksi, seperti Google Cloud dan AWS.
- Pemberian akses yang melanggar: Menampilkan link untuk meninjau akun utama yang berpotensi diberi peran yang tidak pantas.
- ID Kasus: Menampilkan nomor ID kasus yang terkait dengan penemuan.
Untuk mengetahui informasi selengkapnya tentang cara menangani temuan, lihat Menangani temuan di Konsol Google Cloud.
Menyelidiki temuan identitas dan akses untuk berbagai platform cloud
Security Command Center memungkinkan Anda menyelidiki temuan kesalahan konfigurasi akses dan identitas untuk lingkungan AWS dan Google Cloud Anda di halaman Temuan Security Command Center.
Berbagai layanan deteksi Security Command Center, seperti CIEM, pemberi rekomendasi IAM, dan Security Health Analytics, menghasilkan kategori penemuan khusus CIEM yang mendeteksi potensi masalah identitas dan akses keamanan untuk platform cloud Anda.
Layanan deteksi CIEM Security Command Center menghasilkan temuan spesifik untuk lingkungan AWS Anda, sedangkan layanan pemberi rekomendasi IAM dan Security Health Analytics menghasilkan temuan spesifik untuk lingkungan Google Cloud Anda.
Untuk hanya melihat temuan yang terdeteksi oleh layanan tertentu, pilih layanan tersebut dari kategori filter cepat Nama tampilan sumber. Misalnya, jika Anda hanya ingin melihat temuan yang terdeteksi oleh layanan deteksi CIEM, pilih CIEM.
Tabel berikut menjelaskan semua temuan yang dianggap sebagai bagian dari kemampuan CIEM Security Command Center.
| Cloud Platform | Kategori temuan | Deskripsi | Sumber |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions
(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | Peran IAM yang diasumsikan terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | Group has excessive permissions
(GROUP_HAS_EXCESSIVE_PERMISSIONS) | Grup IAM yang terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| AWS | User has excessive permissions
(USER_HAS_EXCESSIVE_PERMISSIONS) | Pengguna IAM yang terdeteksi di lingkungan AWS Anda dengan kebijakan yang sangat permisif. Untuk mengetahui informasi selengkapnya, lihat temuan CIEM. | CIEM |
| Google Cloud | MFA not enforced
(MFA_NOT_ENFORCED) | Ada pengguna yang tidak menggunakan Verifikasi 2 Langkah. Untuk mengetahui informasi selengkapnya, lihat Temuan autentikasi multi-faktor. | Security Health Analytics |
| Google Cloud | Custom role not monitored
(CUSTOM_ROLE_NOT_MONITORED) | Metrik dan pemberitahuan log tidak dikonfigurasi untuk memantau perubahan Peran Khusus. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. | Security Health Analytics |
| Google Cloud | KMS role separation
(KMS_ROLE_SEPARATION) | Pemisahan tugas tidak diterapkan, dan ada pengguna yang memiliki salah satu peran Cloud Key Management Service berikut secara bersamaan: CryptoKey Encrypter/Decrypter, Encrypter, atau Decrypter. Untuk informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Primitive roles used
(PRIMITIVE_ROLES_USED) | Pengguna memiliki salah satu
peran dasar berikut: Pemilik (roles/owner),
Editor (roles/editor), atau
Pelihat (roles/viewer). Untuk mengetahui informasi selengkapnya,
lihat Temuan
kerentanan IAM. | Security Health Analytics |
| Google Cloud | Redis role used on org
(REDIS_ROLE_USED_ON_ORG) | Peran IAM Redis ditetapkan di level organisasi atau folder. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Service account role separation
(SERVICE_ACCOUNT_ROLE_SEPARATION) | Pengguna telah diberi peran Service Account Admin dan Service Account User. Hal ini melanggar prinsip "Pemisahan Tugas". Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Non org IAM member
(NON_ORG_IAM_MEMBER) | Ada pengguna yang tidak menggunakan kredensial organisasi. Sesuai CIS Google Cloud Foundations 1.0, hanya identitas dengan alamat email @gmail.com yang memicu detektor ini. Untuk informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Open group IAM member
(OPEN_GROUP_IAM_MEMBER) | Akun Google Grup yang dapat bergabung tanpa persetujuan akan digunakan sebagai akun utama kebijakan yang mengizinkan IAM. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Unused IAM role
(UNUSED_IAM_ROLE) | Pemberi rekomendasi IAM mendeteksi akun pengguna yang memiliki peran IAM yang tidak digunakan dalam 90 hari terakhir. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | IAM role has excessive permissions
(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | Pemberi rekomendasi IAM mendeteksi akun layanan yang memiliki satu atau beberapa peran IAM yang memberikan izin berlebihan ke akun pengguna. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent role replaced with basic
role
(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
Pemberi rekomendasi IAM mendeteksi bahwa peran IAM default asli yang diberikan ke agen layanan telah diganti dengan salah satu peran IAM dasar: Owner, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Service agent granted basic role
(SERVICE_AGENT_GRANTED_BASIC_ROLE) | Pemberi rekomendasi IAM mendeteksi IAM bahwa agen layanan diberi salah satu peran IAM dasar: Owner, Editor, atau Viewer. Peran dasar adalah peran lama yang terlalu permisif dan tidak boleh diberikan kepada agen layanan. Untuk mengetahui informasi selengkapnya, lihat temuan pemberi rekomendasi IAM. | Pemberi rekomendasi IAM |
| Google Cloud | Admin service account
(ADMIN_SERVICE_ACCOUNT) | Akun layanan memiliki hak istimewa Admin, Pemilik, atau Editor. Peran ini tidak boleh ditetapkan ke akun layanan buatan pengguna. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Default service account used
(DEFAULT_SERVICE_ACCOUNT_USED) | Instance dikonfigurasi untuk menggunakan akun layanan default. Untuk mengetahui informasi selengkapnya, baca Temuan kerentanan instance komputasi. | Security Health Analytics |
| Google Cloud | Over privileged account
(OVER_PRIVILEGED_ACCOUNT) | Akun layanan memiliki akses project yang terlalu luas di cluster. Untuk informasi selengkapnya, lihat Temuan kerentanan container. | Security Health Analytics |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | Pengguna memiliki peran Service Account User atau Service Account Token Creator pada level project, bukan untuk akun layanan tertentu. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Service account key not rotated
(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | Kunci akun layanan belum dirotasi selama lebih dari 90 hari. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Over privileged scopes
(OVER_PRIVILEGED_SCOPES) | Akun layanan node memiliki cakupan akses yang luas. Untuk informasi selengkapnya, lihat Temuan kerentanan container. | Security Health Analytics |
| Google Cloud | KMS public key
(KMS_PUBLIC_KEY) | Kunci kriptografis Cloud KMS dapat diakses secara publik. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | Public bucket ACL
(PUBLIC_BUCKET_ACL) | Bucket Cloud Storage dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan penyimpanan. | Security Health Analytics |
| Google Cloud | Public log bucket
(PUBLIC_LOG_BUCKET) | Bucket penyimpanan yang digunakan sebagai sink log dapat diakses secara publik. Untuk informasi selengkapnya, lihat Temuan kerentanan penyimpanan. | Security Health Analytics |
| Google Cloud | User managed service account key
(USER_MANAGED_SERVICE_ACCOUNT_KEY) | Pengguna mengelola kunci akun layanan. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan IAM. | Security Health Analytics |
| Google Cloud | Too many KMS users
(TOO_MANY_KMS_USERS) | Ada lebih dari tiga pengguna kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | KMS project has owner
(KMS_PROJECT_HAS_OWNER) | Pengguna memiliki izin Pemilik di project yang memiliki kunci kriptografis. Untuk mengetahui informasi selengkapnya, lihat temuan kerentanan KMS. | Security Health Analytics |
| Google Cloud | Owner not monitored
(OWNER_NOT_MONITORED) | Pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan atau penetapan Kepemilikan Project. Untuk mengetahui informasi selengkapnya, lihat Memantau temuan kerentanan. | Security Health Analytics |
Memfilter identitas dan mengakses temuan menurut platform cloud
Dari panel Findings query results, Anda dapat mengetahui temuan yang terkait dengan platform cloud tertentu dengan memeriksa konten kolom Cloud provider, Resource display name, atau Resource type.
Menemukan hasil kueri menampilkan temuan identitas dan akses untuk lingkungan Google Cloud dan AWS secara default. Untuk mengedit hasil kueri penemuan default agar hanya menampilkan temuan untuk platform cloud tertentu, pilih Amazon Web Services atau Google Cloud platform dari kategori filter cepat Penyedia Cloud.
Memeriksa temuan identitas dan akses secara mendetail
Untuk mempelajari lebih lanjut penemuan identitas dan akses, buka tampilan mendetail temuan dengan mengklik nama temuan di kolom Kategori pada panel Hasil kueri temuan. Untuk mengetahui informasi selengkapnya tentang tampilan detail pencarian, lihat Melihat detail penemuan.
Bagian berikut di tab Ringkasan tampilan detail sangat berguna untuk menyelidiki temuan identitas dan akses.
Pemberian akses yang bermasalah
Di tab Summary di panel detail temuan, baris Offending access grants menyediakan cara untuk memeriksa Google Cloud dan akun utama pihak ketiga dengan cepat serta akses mereka ke resource Anda. Informasi ini hanya muncul untuk temuan saat pemberi rekomendasi IAM mendeteksi akun utama di resource Google Cloud dengan peran yang sangat permisif, dasar, dan tidak digunakan.
Klik Tinjau pemberian akses yang melanggar untuk membuka panel Tinjau pemberian akses yang melanggar, yang berisi informasi berikut:
- Nama akun utama. Akun utama yang ditampilkan dalam kolom ini dapat berupa
campuran akun pengguna Google Cloud (
user:example-user@example.com), grup, identitas dari penyedia identitas lain (//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), dan akun layanan. - Nama peran yang diberikan ke akun utama.
- Tindakan yang disarankan untuk memperbaiki akses yang bermasalah.
Informasi kasus
Pada tab Ringkasan di halaman detail temuan, bagian Informasi
kasus ditampilkan jika ada kasus atau tiket yang
sesuai dengan temuan tertentu. Kasus dan tiket otomatis dibuat untuk temuan dengan klasifikasi tingkat keparahan Critical atau High.
Bagian Informasi kasus memberikan cara untuk melacak upaya perbaikan untuk temuan tertentu. Bagian ini memberikan detail tentang kasus yang sesuai, seperti link ke tiket sistem dan kasus terkait (Jira atau ServiceNow), penerima tugas, status kasus, dan prioritas kasus.
Untuk mengakses kasus yang sesuai dengan temuan tersebut, klik nomor ID kasus di baris Case ID.
Untuk mengakses tiket Jira atau ServiceNow yang sesuai dengan temuan, klik nomor ID tiket di baris ID tiket.
Untuk menghubungkan sistem tiket Anda dengan Security Command Center Enterprise, lihat Mengintegrasikan Security Command Center Enterprise dengan sistem tiket.
Untuk mengetahui informasi selengkapnya tentang cara meninjau kasus terkait, lihat artikel Meninjau kasus penemuan identitas dan akses.
Langkah berikutnya
Pada tab Ringkasan di halaman detail temuan, bagian Langkah berikutnya memberikan panduan langkah demi langkah tentang cara segera memperbaiki masalah yang terdeteksi. Rekomendasi ini disesuaikan dengan temuan spesifik yang Anda lihat.
Langkah selanjutnya
- Pelajari cara bekerja dengan temuan.
- Pelajari cara meninjau identitas dan akses kasus temuan.
- Pelajari detektor CIEM yang menghasilkan temuan AWS.