אדמינים של IAM יכולים לבדוק ולנהל את הסיכונים שקשורים לזהויות בארגון, בתיקייה או בפרויקט שלהם דרךGoogle Cloud המסוף באמצעות לוח הבקרה Security Insights.
בלוח הבקרה תובנות לגבי אבטחה אפשר:
בודקים את הסיכונים שקשורים לזהויות אנושיות, לא אנושיות וקבוצתיות פגיעות.
צפייה בסוג ובחומרה של סיכוני זהות שמשויכים לארגון, לתיקייה או לפרויקט.
קבלת תובנות פרקטיות לגבי סיכונים ב- Google Cloudובספקי זהויות אחרים של צד שלישי, כדי לתת עדיפות לטיפול בסיכונים.
לפני שמתחילים
כדי לקבל את ההרשאות שדרושות לבדיקה ולניהול של סיכוני זהויות, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט שאתם רוצים לבדוק ולנהל את סיכוני הזהויות שלהם:
-
בדיקת סיכונים שקשורים לזהויות:
צפייה בשירות ההמלצות של IAM (
roles/recommender.iamViewer) -
יישום או דחייה של המלצות:
אדמין של שירות המלצות IAM (
roles/recommender.iamAdmin)
בדיקת סיכונים שקשורים לזהויות
במסוף Google Cloud , נכנסים לדף IAM & Admin > Security Insights.
בוחרים את הארגון, התיקייה או הפרויקט שרוצים לבדוק את הסיכונים שקשורים לזהויות שלהם.
במרכז הבקרה תובנות אבטחה מוצגים הווידג'טים הבאים עבור המשאב שנבחר:
סקירה כללית של סיכוני זהויות: מוצג המספר הכולל של הזהויות עם הקצאות תפקידים, המספר הכולל של הזהויות האנושיות, הלא אנושיות והקבוצתיות המסוכנות ורמות החומרה שלהן.
המספר הכולל של הזהויות הוא סכום הזהויות הייחודיות במדיניות ההרשאות שמצורפת למשאב שנבחר. המספר הזה לא כולל את הזהויות ממדיניות ההרשאות שמצורפת למשאבי הצאצא של המשאב שנבחר. לדוגמה, אם המשאב שבחרתם הוא ארגון, הזהויות ממדיניות ההרשאות שמצורפת לתיקיות או לפרויקטים שלו לא ייכללו.
סיכונים לפי קטגוריית איתור: רשימות של זהויות מסוכנות לפי קטגוריה, כמו
Unused IAM roleאוIAM role has excessive permissions.יכול להיות שהמספר הכולל של הממצאים בווידג'ט Risks by finding category יהיה שונה ממספר התובנות בווידג'טים אחרים. ההבדל הזה נובע מכך שבשאר הווידג'טים, כמה תובנות באותה רמת חומרה לגבי אותו משאב מקובצות לממצא אחד.
הקבוצות הכי מסוכנות: מציגות קבוצות עם הכי הרבה הרשאות מוגזמות.
זהויות אנושיות עם הסיכון הגבוה ביותר: מציג זהויות אנושיות עם הרשאות מוגזמות ברמה הגבוהה ביותר.
הזהויות הלא-אנושיות הכי מסוכנות: מציג זהויות לא-אנושיות עם הרשאות מוגזמות ברמה הגבוהה ביותר.
מגמת ההמלצות הפעילות של IAM: כאן מוצגות המלצות פעילות לגבי תפקידים לתקופה מסוימת.
ניהול סיכוני זהות
אתם יכולים לראות תובנות והמלצות לניהול הסיכונים שקשורים לזהות.
כדי לנהל סיכוני זהויות, מבצעים את הפעולות הבאות מכל ווידג'ט במרכז הבקרה:
כדי לראות תובנות לגבי זהות מסוכנת, לוחצים על מספר התובנות בעמודה תובנות.
בחלונית Insights, כדי לסנן את התובנות לפי סוג, בוחרים את הסוג הרצוי מהרשימה.
בהתאם לשאלה אם יש המלצה לגבי תובנה מסוימת, תוכלו לראות את הפרטים שלה או את ההמלצה.
כדי לראות תובנה בלי המלצה, לוחצים על הצגת פרטים.
בחלונית הרשאות מופיעים פרטים על התובנה.
כדי לראות המלצה לתובנה, לוחצים על הצגת ההמלצה.
בחלונית המלצה מופיעים פרטים על ההצעה להסרה או להחלפה של התפקיד.
רק עבור קבוצות עם הרשאות מוגזמות, יש לכם אפשרות להחליף את הגישה הקבועה בגישה זמנית על פי דרישה (גרסת Preview) באמצעות Privileged Access Manager. אם חברי קבוצה לא צריכים גישה קבועה להרשאות של תפקיד, אבל יכול להיות שיצטרכו אותן בעתיד מסיבות לא צפויות, אפשר להסיר את הגישה הקבועה שלהם ולהשתמש ב-Privileged Access Manager כדי לאפשר להם לבקש גישה זמנית כשהם צריכים אותה. במאמר תיקון הרשאות מוגזמות באמצעות Privileged Access Manager מוסבר איך לטפל בהרשאות מוגזמות באמצעות Privileged Access Manager.
כדי ליישם את ההמלצה או לבטל אותה, לוחצים על החלת ההמלצה או על ביטול ההמלצה.
לוקח זמן עד ששינויים בהרשאות הגישה מתעדכנים במערכת. כדי לדעת כמה זמן לוקח בממוצע לשינויי גישה להתעדכן, ראו הפצת שינוי גישה.