אוטומציה של המלצות IAM באמצעות מדריכים

במאמר הזה מוסבר איך להפעיל את ספר ההוראות IAM Recommender Response ב-Security Command Center Enterprise כדי לזהות את הזהויות עם הרשאות היתר ולהסיר באופן אוטומטי ובטוח את ההרשאות המיותרות.

סקירה כללית

שירות ההמלצות של IAM מספק תובנות לגבי אבטחה, שכוללות הערכה של אופן השימוש של הגורמים המורשים במשאבים, והמלצות לפעולה על סמך התובנות. לדוגמה, אם הרשאה מסוימת לא הייתה בשימוש ב-90 הימים האחרונים, שירות ההמלצות של IAM יסמן אותה כהרשאה מיותרת וימליץ להסיר אותה בצורה בטוחה.

במדריך IAM Recommender Response נעשה שימוש בכלי IAM Recommender כדי לסרוק את הסביבה שלכם ולחפש זהויות של עומסי עבודה שיש להן הרשאות עודפות או התחזויות לחשבונות שירות. במקום לבחון וליישם המלצות באופן ידני בניהול זהויות והרשאות גישה (IAM), אפשר להפעיל את מדריך ההפעלה כדי לעשות זאת באופן אוטומטי ב-Security Command Center.

דרישות מוקדמות

לפני שמפעילים את פלייבוק התגובה של IAM Recommender, צריך לבצע את השלבים המקדימים הבאים:

  1. ליצור תפקיד IAM בהתאמה אישית ולהגדיר לו הרשאה ספציפית.
  2. מגדירים את הערך של Workload Identity Email.
  3. הקצאת התפקיד בהתאמה אישית שיצרתם לישות מורשית קיימת.

יצירת תפקיד IAM בהתאמה אישית

  1. נכנסים לדף IAM Roles במסוף Google Cloud .

    כניסה לדף IAM Roles

  2. לוחצים על יצירת תפקיד כדי ליצור תפקיד בהתאמה אישית עם ההרשאות הנדרשות לשילוב.

  3. לתפקיד חדש בהתאמה אישית, צריך לציין שם, תיאור ומזהה ייחודי.

  4. מגדירים את שלב ההשקה של התפקיד לזמינות לכלל המשתמשים (GA).

  5. מוסיפים את ההרשאה הבאה לתפקיד שנוצר:

    resourcemanager.organizations.setIamPolicy

  6. לוחצים על יצירה.

הגדרת הערך של כתובת האימייל של Workload Identity

כדי להגדיר למי להעניק את הזהות של התפקיד המותאם אישית, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , עוברים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
  2. בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
  3. בשדה חיפוש של האינטגרציה, מקלידים Google Cloud Recommender.
  4. לוחצים על Configure Instance (הגדרת מופע). תיפתח תיבת דו-שיח.
  5. מעתיקים את הערך של הפרמטר Workload Identity Email (כתובת אימייל של Workload Identity) ללוח. הערך צריך להיות בפורמט הבא: username@example.com

הקצאת תפקיד בהתאמה אישית לישות מורשית קיימת

אחרי שתקצו את התפקיד החדש בהתאמה אישית לישות מורשית שנבחרה, היא תוכל לשנות את ההרשאות של כל משתמש בארגון.

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בשדה Filter (סינון), מדביקים את הערך של Workload Identity Email (כתובת האימייל של Workload Identity) ומחפשים את הגורם הקיים.

  3. לוחצים על עריכת הגורם המרכזי. תיבת הדו-שיח תיפתח.

  4. בחלונית גישת עריכה, בקטע Assign roles, לוחצים על Add another role.

  5. בוחרים את התפקיד המותאם אישית שיצרתם ולוחצים על שמירה.

הפעלת הפלייבוק

כברירת מחדל, פלייבוק IAM Recommender Response מושבת. כדי להשתמש ב-Playbook, צריך להפעיל אותו באופן ידני:

  1. במסוף Security Operations, עוברים אל Response > Playbooks.
  2. בשדה חיפוש של ספר ההפעלה, מזינים IAM Recommender.
  3. בתוצאת החיפוש, בוחרים את פלייבוק IAM Recommender Response.
  4. בכותרת של ספר ההדרכה, מעבירים את המתג למצב הפעלה של ספר ההדרכה.
  5. בכותרת של ספר ההדרכה, לוחצים על שמירה.

הגדרת תהליך אישור אוטומטי

שינוי ההגדרות של ספר ההפעלות הוא הגדרה מתקדמת ואופציונלית.

כברירת מחדל, בכל פעם שספר ההפעלה מזהה הרשאות שלא נמצאות בשימוש, הוא ממתין לאישור או לדחייה של התיקון לפני השלמת ההרצה.

כדי להגדיר את תהליך הפעולה של ספר ההדרכה כך שההרשאות שלא נעשה בהן שימוש יוסרו אוטומטית בכל פעם שהן יזוהו, בלי לבקש את האישור שלכם, מבצעים את השלבים הבאים:

  1. במסוף Google Cloud , נכנסים אל Response > Playbooks.
  2. בוחרים את ספר ההדרכה IAM Recommender Response.
  3. בבלוקים של Playbook, בוחרים באפשרות IAM Setup Block_1. חלון ההגדרה של החסימה ייפתח. כברירת מחדל, הפרמטר remediation_mode מוגדר לערך Manual.
  4. בשדה הפרמטר remediation_mode, מזינים Automatic.
  5. לוחצים על שמירה כדי לאשר את ההגדרות החדשות של מצב התיקון.
  6. בכותרת של ספר ההדרכה, לוחצים על שמירה.

מה השלב הבא?

  • מידע נוסף על playbooks זמין במסמכי Google SecOps.