במסמך הזה מוסבר איך להפעיל את פלייבוק IAM Recommender Response ב-Security Command Center Enterprise כדי לזהות את הזהויות עם הרשאות היתר ולהסיר באופן אוטומטי ובטוח את ההרשאות המיותרות.
סקירה כללית
שירות ההמלצות של IAM מספק תובנות לגבי אבטחה, שכוללות הערכה של אופן השימוש של הגורמים המורשים במשאבים, והמלצות לפעולה על סמך התובנות. לדוגמה, אם הרשאה מסוימת לא הייתה בשימוש ב-90 הימים האחרונים, שירות ההמלצות של IAM יסמן אותה כהרשאה מיותרת וימליץ להסיר אותה בצורה בטוחה.
במדריך IAM Recommender Response נעשה שימוש בכלי IAM Recommender כדי לסרוק את הסביבה שלכם ולחפש את הזהויות של עומסי העבודה שיש להן הרשאות עודפות או התחזויות לחשבונות שירות. במקום לבחון וליישם המלצות באופן ידני בניהול זהויות והרשאות גישה (IAM), אפשר להפעיל את Playbook כדי לעשות זאת באופן אוטומטי ב-Security Command Center.
דרישות מוקדמות
לפני שמפעילים את פלייבוק התגובה של IAM Recommender, צריך לבצע את השלבים המקדימים הבאים:
- ליצור תפקיד IAM בהתאמה אישית ולהגדיר לו הרשאה ספציפית.
- מגדירים את הערך של Workload Identity Email (כתובת האימייל של Workload Identity).
- הקצאת התפקיד בהתאמה אישית שיצרתם לחשבון משתמש קיים.
יצירת תפקיד IAM בהתאמה אישית
נכנסים לדף IAM Roles במסוף Google Cloud .
לוחצים על יצירת תפקיד כדי ליצור תפקיד בהתאמה אישית עם ההרשאות הנדרשות לשילוב.
לתפקיד חדש בהתאמה אישית, צריך לציין שם, תיאור ומזהה ייחודי.
מגדירים את שלב ההשקה של התפקיד לזמינות לכלל המשתמשים.
מוסיפים את ההרשאה הבאה לתפקיד שנוצר:
resourcemanager.organizations.setIamPolicyלוחצים על יצירה.
הגדרת הערך של כתובת האימייל של Workload Identity
כדי להגדיר למי הזהות שרוצים להקצות את התפקיד המותאם אישית, צריך לבצע את השלבים הבאים:
- במסוף Google Cloud , עוברים אל Response > Playbooks כדי לפתוח את הניווט במסוף Security Operations.
- בסרגל הניווט של מסוף Security Operations, עוברים אל Response > Integrations Setup.
- בשדה חיפוש של האינטגרציה, מקלידים
Google Cloud Recommender. - לוחצים על Configure Instance. תיבת הדו-שיח תיפתח.
- מעתיקים את הערך של הפרמטר Workload Identity Email (כתובת האימייל של Workload Identity) ללוח. הערך צריך להיות בפורמט הבא:
username@example.com
הקצאת תפקיד מותאם אישית לחשבון משתמש קיים
אחרי שתקצו את התפקיד החדש בהתאמה אישית למשתמש שנבחר, הוא יוכל לשנות את ההרשאות של כל משתמש בארגון.
נכנסים לדף IAM במסוף Google Cloud .
בשדה Filter (סינון), מדביקים את הערך של Workload Identity Email (כתובת האימייל של Workload Identity) ומחפשים את הגורם המוסמך הקיים.
לוחצים על עריכת הגורם המרכזי. תיבת הדו-שיח תיפתח.
בחלונית גישת עריכה, בקטע Assign roles, לוחצים על Add another role.
בוחרים את התפקיד המותאם אישית שיצרתם ולוחצים על שמירה.
הפעלת הפלייבוק
כברירת מחדל, פלייבוק IAM Recommender Response מושבת. כדי להשתמש במדריך, צריך להפעיל אותו באופן ידני:
- במסוף Security Operations, עוברים אל Response > Playbooks (תגובה > תרחישי הפעלה).
- בשדה חיפוש של ספר ההפעלה, מזינים
IAM Recommender. - בתוצאת החיפוש, בוחרים את פלייבוק IAM Recommender Response.
- בכותרת של ספר ההדרכה, מעבירים את המתג למצב הפעלה של ספר ההדרכה.
- בכותרת של ספר ההדרכה, לוחצים על שמירה.
הגדרת תהליך האישור האוטומטי
שינוי ההגדרות של תוכנית הפעולה הוא הגדרה מתקדמת ואופציונלית.
כברירת מחדל, בכל פעם שספר ההפעלה מזהה הרשאות שלא נמצאות בשימוש, הוא ממתין לאישור או לדחייה של התיקון לפני השלמת ההפעלה.
כדי להגדיר את התהליך של ספר ההפעלה כך שההרשאות שלא נעשה בהן שימוש יוסרו באופן אוטומטי בכל פעם שהן יזוהו, בלי לבקש את האישור שלכם, צריך לבצע את השלבים הבאים:
- במסוף Google Cloud , נכנסים אל Response > Playbooks.
- בוחרים את מדריך ההפעלה IAM Recommender Response.
- בבלוקים של Playbook, בוחרים באפשרות IAM Setup Block_1. חלון ההגדרה של החסימה ייפתח. כברירת מחדל, הפרמטר remediation_mode מוגדר לערך
Manual. - בשדה הפרמטר remediation_mode, מזינים
Automatic. - לוחצים על שמירה כדי לאשר את ההגדרות החדשות של מצב התיקון.
- בכותרת של ספר ההדרכה, לוחצים על שמירה.
מה השלב הבא?
- מידע נוסף על playbooks זמין במסמכי התיעוד של Google SecOps.