调查身份和访问权限发现结果

本页介绍了如何在 Google Cloud 控制台中处理与身份和访问权限相关的安全问题的发现结果(身份和访问权限发现结果),以调查和识别可能的错误配置。

作为企业级层级提供的 Cloud Infrastructure Entitlement Management (CIEM) 功能的一部分,Security Command Center 会生成身份和访问权限发现结果,并在 Security Command Center 的风险概览页面上提供这些结果,以便您轻松访问。这些发现结果会在身份和访问权限发现结果窗格中进行整理和分类。

准备工作

在继续操作之前,请确保您已完成以下任务:

查看身份和访问权限发现结果摘要

Security Command Center 风险概览页面上的身份和访问权限发现结果窗格可让您大致了解您所有云环境(例如 Google Cloud 和 Amazon Web Services [AWS])中的前沿身份和访问权限发现结果。该窗格包含一个表格,其中会按三列对发现结果进行整理:

  • 严重程度发现结果严重程度是一个常规指标,用于表明解决发现结果类别的重要程度,可分类为 CriticalHighMediumLow
  • 发现结果类别:发现的身份和访问权限错误配置类型。
  • 云服务提供商:发现配置错误的云环境。
  • 发现结果总数:在给定严重程度分类下,某个类别中发现的身份和访问权限配置错误的总数。

如需浏览窗格中的发现结果,您可以点击相应的标题,按严重级别、发现结果类别或总发现结果数量对发现结果进行排序。您还可以修改窗格中显示的行数(最多 200 行),并使用表格底部的导航箭头在页面之间导航。

您可以在 Security Command Center 的发现结果页面上点击某个类别标题或其对应的发现结果总数,详细检查特定发现结果。如需了解详情,请参阅详细检查身份和访问权限问题发现结果

在“发现”表格下方,以下组件有助于为您的身份和访问权限发现结果提供更多背景信息:

  • 来源标签表示 Security Command Center 从中提取数据以生成发现结果的来源。身份和访问权限方面的发现结果适用于 Google Cloud 和 AWS 环境,并且可以来自不同的检测器,例如 CIEM、IAM 建议工具和安全健康分析。只有在您连接了 AWS 实例为 CIEM 配置了 AWS 日志提取后,Security Command Center 才会显示 AWS 的身份和访问权限问题。
  • 通过查看所有身份和访问权限发现结果链接,您可以前往 Security Command Center 的发现结果页面,查看所有检测到的身份和访问权限配置错误,无论其类别或严重程度如何。
  • 使用 Google Cloud 的 Policy Analyzer 查看访问权限链接可让您快速访问 Policy Analyzer 工具,以便根据您的 IAM 允许政策查看哪些用户有权访问哪些 Google Cloud 资源。

在“发现结果”页面上查看身份和访问权限发现结果

身份和访问权限发现结果窗格提供了多个进入 Security Command Center 发现结果页面的位置,以便详细检查身份和访问权限发现结果:

  • 点击发现结果类别下的任意发现结果名称或发现结果总数下的发现结果总数,即可自动查询该特定发现结果类别和严重程度评分。
  • 点击查看所有身份和访问权限发现结果,以无特定顺序查询所有发现结果。

Security Command Center 会预先选择特定的快捷过滤条件,以便专门针对身份和访问权限配置错误创建发现结果查询。快速过滤条件选项会根据您查询一个还是所有身份和访问权限问题而有所变化。您可以根据需要修改这些查询。在 CIEM 用途方面,值得关注的特定快速过滤条件类别和选项包括:

  • 类别:过滤条件,用于查询您想要详细了解的特定发现结果类别的结果。此类别中列出的快速过滤条件选项会根据您查询一个还是所有身份和访问权限发现结果而有所变化。
  • 项目 ID:用于过滤查询结果,以查找与特定项目相关的发现。
  • 资源类型:用于过滤结果,以查找与特定资源类型相关的发现。
  • 严重级别:用于过滤结果,以查询特定严重级别的发现结果。
  • 来源显示名称:用于过滤结果,以查询检测到错误配置的特定服务检测到的发现结果。
  • 云服务提供商:用于过滤查询结果,以查找来自特定云平台的发现。

发现结果的查询结果面板由多个列组成,其中包含有关发现结果的详细信息。其中,以下列对 CIEM 用途很有用:

  • 严重级别:显示给定发现结果的严重级别,以便您确定补救措施的优先级。
  • 资源显示名称:显示检测到相应问题的资源。
  • 来源显示名称:显示检测到相应问题的服务。生成身份相关发现结果的来源包括 CIEM、IAM 推荐工具和 Security Health Analytics。
  • 云服务商:显示检测到相应问题的云环境,例如 Google Cloud 和 AWS。
  • 违规访问授权:显示一个链接,用于查看可能被授予不当角色的主账号。
  • Case ID(支持请求 ID):显示与发现相关的支持请求的 ID 编号。

如需详细了解如何处理发现结果,请参阅查看和管理发现结果

调查不同云平台的身份和访问权限发现结果

借助 Security Command Center,您可以在 Security Command Center 的发现结果页面上调查 AWS 和 Google Cloud 环境的身份和访问权限配置错误发现结果。

许多不同的 Security Command Center 检测服务(例如 CIEM、IAM 建议工具和 Security Health Analytics)都会生成 CIEM 专用发现结果类别,用于检测云平台的潜在身份和访问权限安全问题。

Security Command Center CIEM 检测服务会为您的 AWS 环境生成具体发现结果,而 IAM 建议工具和 Security Health Analytics 检测服务会为您的 Google Cloud 环境生成具体发现结果。

如需仅查看特定服务检测到的发现结果,请从来源显示名称快速过滤条件类别中选择该服务。例如,如果您只想查看 CIEM 检测服务检测到的发现结果,请选择 CIEM

下表介绍了属于 Security Command Center CIEM 功能的所有发现。

Cloud platform 发现结果类别 说明 来源
AWS Assumed identity has excessive permissionsASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到具有高度宽松政策的假定 IAM 角色。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Group has excessive permissionsGROUP_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到的具有高度宽松政策的 IAM 群组。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS User has excessive permissionsUSER_HAS_EXCESSIVE_PERMISSIONS 在您的 AWS 环境中检测到具有高度宽松政策的 IAM 用户。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS User is inactiveINACTIVE_USER 在您的 AWS 环境中检测到闲置的 IAM 用户。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Group is inactiveINACTIVE_GROUP 在您的 AWS 环境中检测到的 IAM 组处于非活动状态。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Assumed identity is inactiveINACTIVE_ASSUMED_IDENTITY 在您的 AWS 环境中检测到的假定 IAM 角色处于非活动状态。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Overly permissive trust policy enforced on assumed identityOVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY 对假定 IAM 角色强制执行的信任政策非常宽松。如需了解详情,请参阅 CIEM 发现结果 CIEM
AWS Assumed identity has lateral movement riskASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK 一个或多个身份可以通过角色模拟在 AWS 环境中横向移动。如需了解详情,请参阅 CIEM 发现结果 CIEM
Google Cloud MFA not enforcedMFA_NOT_ENFORCED 有些用户没有使用两步验证。如需了解详情,请参阅多重身份验证发现结果 Security Health Analytics
Google Cloud Custom role not monitoredCUSTOM_ROLE_NOT_MONITORED 日志指标和提醒未配置为监控自定义角色更改。如需了解详情,请参阅监控漏洞发现结果 Security Health Analytics
Google Cloud KMS role separationKMS_ROLE_SEPARATION 未实施职责分离,并且存在同时具有以下任何 Cloud Key Management Service 角色的用户:CryptoKey Encrypter/DecrypterEncrypterDecrypter。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Primitive roles usedPRIMITIVE_ROLES_USED 用户具有以下基本角色之一:Owner (roles/owner)、Editor (roles/editor) 或 Viewer (roles/viewer)。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Redis role used on orgREDIS_ROLE_USED_ON_ORG Redis IAM 角色在组织或文件夹级层分配。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account role separationSERVICE_ACCOUNT_ROLE_SEPARATION 为用户分配了 Service Account AdminService Account User 角色。这违反了“职责分离”原则。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Non org IAM memberNON_ORG_IAM_MEMBER 有用户不使用组织凭据。根据 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 电子邮件地址的身份才会触发此检测器。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Open group IAM memberOPEN_GROUP_IAM_MEMBER 无需批准即可加入的 Google 群组账号将被用作 IAM 允许政策的主账号。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Unused IAM roleUNUSED_IAM_ROLE IAM Recommender 检测到一个用户账号,其具有在过去 90 天内未使用过的 IAM 角色。 如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud IAM role has excessive permissionsIAM_ROLE_HAS_EXCESSIVE_PERMISSIONS IAM Recommender 检测到一个服务账号,其包含会向用户账号授予过多权限的一个或多个 IAM 角色。如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud Service agent role replaced with basic roleSERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一:OwnerEditorViewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud Service agent granted basic roleSERVICE_AGENT_GRANTED_BASIC_ROLE IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM:OwnerEditorViewer。基本角色是权限过多的旧角色,不应授予服务代理。如需了解详情,请参阅 IAM Recommender 发现 IAM Recommender
Google Cloud Admin service accountADMIN_SERVICE_ACCOUNT 服务账号具有 AdminOwnerEditor 权限。这些角色不应分配给用户创建的服务账号。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Default service account usedDEFAULT_SERVICE_ACCOUNT_USED 实例配置为使用默认服务账号。如需了解详情,请参阅计算实例漏洞发现结果 Security Health Analytics
Google Cloud Over privileged accountOVER_PRIVILEGED_ACCOUNT 服务账号在集群中的项目访问权限过于宽泛。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud Over privileged service account userOVER_PRIVILEGED_SERVICE_ACCOUNT_USER 用户在项目级层(而不是特定服务账号)拥有 Service Account UserService Account Token Creator 角色。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Service account key not rotatedSERVICE_ACCOUNT_KEY_NOT_ROTATED 服务账号密钥超过 90 天未轮替。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Over privileged scopesOVER_PRIVILEGED_SCOPES 节点服务账号具有广泛的访问权限范围。如需了解详情,请参阅容器漏洞发现结果 Security Health Analytics
Google Cloud KMS public keyKMS_PUBLIC_KEY Cloud KMS 加密密钥可公开访问。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Public bucket ACLPUBLIC_BUCKET_ACL Cloud Storage 存储桶可公开访问。如需了解详情,请参阅存储空间漏洞发现结果 Security Health Analytics
Google Cloud Public log bucketPUBLIC_LOG_BUCKET 用作日志接收器的存储桶可公开访问。如需了解详情,请参阅存储空间漏洞发现结果 Security Health Analytics
Google Cloud User managed service account keyUSER_MANAGED_SERVICE_ACCOUNT_KEY 用户管理服务账号密钥。如需了解详情,请参阅 IAM 漏洞发现结果 Security Health Analytics
Google Cloud Too many KMS usersTOO_MANY_KMS_USERS 有 3 个以上的用户使用加密密钥。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud KMS project has ownerKMS_PROJECT_HAS_OWNER 用户对具有加密密钥的项目具有 Owner 权限。如需了解详情,请参阅 KMS 漏洞发现结果 Security Health Analytics
Google Cloud Owner not monitoredOWNER_NOT_MONITORED 日志指标和提醒未配置为监控项目所有权分配或更改。如需了解详情,请参阅监控漏洞发现结果 Security Health Analytics

按云平台过滤身份和访问权限发现结果

发现结果查询结果窗格中,您可以通过检查云服务提供商资源显示名称资源类型列的内容,了解哪些发现结果与给定云平台相关。

默认情况下,查找查询结果会显示 Google Cloud 和 AWS 环境的身份和访问权限问题。如需修改默认的发现查询结果,以便仅显示特定云平台的发现结果,请从云服务提供商快速过滤条件类别中选择 Amazon Web ServicesGoogle Cloud 平台

详细检查身份和访问权限发现结果

如需详细了解身份和访问权限发现结果,请通过在发现结果的查询结果面板的类别列中点击该发现结果名称,打开该发现结果的详细视图。如需详细了解发现详情视图,请参阅查看发现的详细信息

详细视图的摘要标签页中的以下部分有助于调查身份和访问权限方面的发现。

违规访问授权

在发现结果详情窗格的摘要标签页中,违规的访问权限授予行提供了一种方法,可快速检查正文(包括联合身份)及其对资源的访问权限。只有当 IAM 建议工具检测到 Google Cloud 资源上存在具有高度许可权限、基本角色和未使用的角色的正文时,此信息才会显示在相应发现结果中。

点击查看违规访问授权可打开查看违规访问授权窗格,其中包含以下信息:

  • 负责人的姓名。此列中显示的主账号可以是 Google Cloud 用户账号、群组、联合身份和服务账号的混合。
  • 授予主账号的角色的名称。
  • 建议您采取的措施,以解决相应违规访问问题。

支持请求信息

如果有与特定发现结果对应的支持请求或工单,则在相应发现结果的详情页面中的摘要标签页中会显示支持请求信息部分。系统会自动为严重程度分类为 CriticalHigh 的发现结果创建支持请求和工单。

案例信息部分提供了一种跟踪特定发现结果的补救措施的方法。它提供与相应支持请求相关的详细信息,例如指向任何相应支持请求和服务工单系统(Jira 或 ServiceNow)工单的链接、分配者、支持请求状态和支持请求优先级。

  • 如需访问与相应发现对应的支持请求,请点击 Case ID(支持请求 ID)行中的支持请求 ID 号。

  • 如需访问与相应发现对应的 Jira 或 ServiceNow 工单,请点击工单 ID 行中的工单 ID 编号。

如需将工单系统与 Security Command Center Enterprise 相关联,请参阅将 Security Command Center Enterprise 与工单系统集成

如需详细了解如何查看相应支持请求,请参阅查看身份和访问权限问题支持请求

后续步骤

在发现结果详情页面的摘要标签页上,后续步骤部分提供了有关如何立即修复检测到的问题的分步指导。这些建议是针对您正在查看的具体发现量身提供的。

后续步骤