本頁說明如何在Google Cloud 控制台中處理與身分和存取權相關的安全問題 (身分和存取權發現項目),以調查及找出潛在的設定錯誤。
您可以使用下列 Security Command Center 頁面,查看身分和存取權發現項目:
- 「發現項目」頁面中的「身分」檢視畫面
- 「風險總覽」頁面中的「身分」檢視畫面
事前準備
繼續操作前,請務必先完成下列工作:
在「發現項目」頁面查看身分與存取權發現項目
Security Command Center「發現項目」頁面的「身分」檢視畫面,會顯示所有雲端環境的身分和存取權發現項目。
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
選取 Google Cloud 機構。
選取「身分」檢視畫面。
「身分」檢視畫面會新增篩選條件,只顯示 domains.category 欄位包含 IDENTITY_AND_ACCESS 值的調查結果。
使用「快速篩選器」面板和「查詢編輯器」進一步篩選結果。
如要只查看特定服務偵測到的身分和存取權調查結果,請選取下列「來源顯示名稱」值:
CIEM:找出並存取與 Microsoft Azure 和 AWS 相關的發現。
IAM 建議工具:找出與 Google Cloud相關的存取權發現項目。
如要進一步篩選結果,請使用下列屬性:
- 類別:篩選器會查詢特定發現項目類別的結果,方便您進一步瞭解。
- 專案 ID:篩選查詢結果,找出與特定專案相關的發現。
- 資源類型:篩選查詢結果,找出與特定資源類型相關的發現。
- 嚴重程度:篩選器,可查詢特定嚴重程度的結果。
「發現項目查詢結果」面板包含多個欄位,提供發現項目的詳細資料。其中,下列資料欄與 CIEM 相關:
- 嚴重性:顯示特定發現項目的嚴重程度,協助您判斷補救措施的優先順序。
- 資源顯示名稱:顯示偵測到發現項目的資源。
- 來源顯示名稱:顯示偵測到發現項目的服務。 產生身分相關發現項目的來源包括 CIEM、IAM 建議工具、安全狀態分析和 Event Threat Detection。
- 雲端服務供應商:顯示偵測到發現項目的雲端環境,例如 Google Cloud、AWS 和 Microsoft Azure。
- 違規存取權授予:顯示連結,可供您查看可能獲得不當角色的主體。
- 案件 ID:顯示與發現項目相關的案件 ID 編號。(Enterprise 服務層級)
如要進一步瞭解如何使用發現項目,請參閱「查看及管理發現項目」。
詳細檢查身分與存取權發現項目
如要進一步瞭解身分和存取權發現項目,請在「發現項目」面板的「類別」欄中,按一下發現項目名稱,開啟發現項目的詳細資料檢視畫面。如要進一步瞭解發現項目詳細資料檢視畫面,請參閱「查看發現項目的詳細資料」。
調查身分和存取權發現項目時,發現項目詳細資料檢視畫面「摘要」分頁中的下列部分很有幫助。
違規授予存取權
在發現項目詳細資料窗格的「摘要」分頁中,「違規存取權授權」列可讓您快速檢查主體 (包括聯合身分) 及其資源存取權。只有在 IAM 建議工具偵測到 Google Cloud 資源上的主體具有高權限、基本和未使用的角色時,這項資訊才會顯示在發現項目中。
按一下「查看違規授予存取權」,開啟「查看違規授予存取權」窗格,其中包含下列資訊:
- 校長姓名。這個資料欄中顯示的主體可以是使用者帳戶、群組、聯盟身分和服務帳戶的組合。 Google Cloud
- 授予主體的角色名稱。
- 建議您採取哪些應變措施建議來修正違規存取權。
案件資訊
如果發現項目有對應的案件或單號,詳細資料頁面的「摘要」分頁就會顯示「案件資訊」部分。
「案件資訊」部分可追蹤特定發現項目的補救措施。其中提供對應案件的詳細資料,例如任何對應案件和支援單處理系統 (Jira 或 ServiceNow) 支援單的連結、指派對象、案件狀態和案件優先順序。
如要存取與發現項目相符的案件,請按一下「案件 ID」列中的案件 ID 編號。
如要存取與發現項目相應的 Jira 或 ServiceNow 支援單,請點選「Ticket ID」(支援單 ID) 列中的支援單 ID 號碼。
如要將支援單處理系統與 Security Command Center Enterprise 連結,請參閱「整合 Security Command Center Enterprise 與支援單處理系統」。
如要進一步瞭解如何查看對應案件,請參閱「查看身分和存取權發現案件」。
後續步驟
在調查結果詳細資料頁面的「摘要」分頁中,「後續步驟」部分會提供逐步指引,說明如何立即修復偵測到的問題。這些建議是根據您查看的特定發現項目量身打造。
為每個雲端平台產生的身分與存取權發現項目
多項 Security Command Center 服務 (例如 CIEM、IAM 建議工具、安全狀態分析和 Event Threat Detection) 會產生 CIEM 專屬的發現項目類別,偵測雲端平台的潛在身分和存取權安全問題。
CIEM 偵測服務會為 AWS 和 Microsoft Azure 環境產生特定發現項目。IAM 建議工具、安全狀態分析和 Event Threat Detection 服務會為您的 Google Cloud 環境產生特定發現項目。
下表說明所有發現項目,這些項目是 Security Command Center CIEM 功能的一部分。
| 雲端平台 | 發現項目類別 | 說明 | 來源 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到具有高度寬鬆政策的已代入 IAM 角色。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到具有高度寬鬆政策的 AWS IAM 或 AWS IAM Identity Center 群組。詳情請參閱「CIEM 發現項目」。 | CIEM |
| AWS | User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) | 在 AWS 環境中偵測到具有高度寬鬆政策的 AWS IAM 或 AWS IAM Identity Center 使用者。詳情請參閱「CIEM 發現項目」。 | CIEM |
| AWS | User is inactive (INACTIVE_USER) | 在 AWS 環境中偵測到閒置的 AWS IAM 或 AWS IAM Identity Center 使用者。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Group is inactive (INACTIVE_GROUP) | 在 AWS 環境中偵測到的 AWS IAM 或 AWS IAM Identity Center 群組處於非啟用狀態。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Assumed identity is inactive (INACTIVE_ASSUMED_IDENTITY) | 系統在 AWS 環境中偵測到已擔任的 IAM 角色處於非使用中狀態。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Overly permissive trust policy enforced on assumed identity (OVERLY_PERMISSIVE_TRUST_POLICY_ENFORCED_ON_ASSUMED_IDENTITY) | 對假設的 IAM 角色強制執行的信任政策權限過高。詳情請參閱「CIEM 發現」。 | CIEM |
| AWS | Assumed identity has lateral movement risk (ASSUMED_IDENTITY_HAS_LATERAL_MOVEMENT_RISK) | 一或多個身分可透過角色模擬,在 AWS 環境中橫向移動。詳情請參閱「CIEM 發現」。 | CIEM |
| Microsoft Azure | Assumed identity has excessive permissions (ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 環境中偵測到服務主體或受控識別,且具有高度寬鬆的角色指派。詳情請參閱「CIEM 發現」。 | CIEM |
| Microsoft Azure | Group has excessive permissions (GROUP_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 環境中偵測到具有高權限角色指派作業的群組。 詳情請參閱「CIEM 發現項目」。 | CIEM |
| Microsoft Azure | User has excessive permissions (USER_HAS_EXCESSIVE_PERMISSIONS) |
在 Azure 環境中偵測到具備高權限角色指派的使用者。 詳情請參閱「CIEM 發現項目」。 | CIEM |
| Google Cloud | MFA not enforced (MFA_NOT_ENFORCED) | 部分使用者未啟用兩步驟驗證。詳情請參閱「多重驗證發現」。 | 安全狀態分析 |
| Google Cloud | Custom role not monitored (CUSTOM_ROLE_NOT_MONITORED) | 記錄指標和快訊未設定為監控自訂角色變更。詳情請參閱「監控安全漏洞發現結果」。 | 安全狀態分析 |
| Google Cloud | KMS role separation (KMS_ROLE_SEPARATION) | 未強制執行職責分離,且使用者同時具備下列任一 Cloud Key Management Service 角色:「CryptoKey Encrypter/Decrypter」、「Encrypter」或「Decrypter」。詳情請參閱「IAM 弱點發現項目」。 | 安全狀態分析 |
| Google Cloud | Primitive roles used (PRIMITIVE_ROLES_USED) | 使用者具備下列其中一個基本角色:「擁有者」 (roles/owner)、「編輯者」 (roles/editor) 或「檢視者」 (roles/viewer)。詳情請參閱 IAM 安全漏洞發現項目。 | 安全狀態分析 |
| Google Cloud | Redis role used on org (REDIS_ROLE_USED_ON_ORG) | Redis IAM 角色是在機構或資料夾層級指派。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Service account role separation (SERVICE_ACCOUNT_ROLE_SEPARATION) | 使用者已獲派「服務帳戶管理員」和「服務帳戶使用者」角色。這違反了「職責分離」原則。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Non org IAM member (NON_ORG_IAM_MEMBER) | 使用者未採用機構憑證。根據 CIS Google Cloud Foundations 1.0,只有具有 @gmail.com 電子郵件地址的身分會觸發這個偵測工具。詳情請參閱「IAM 弱點發現項目」。 | 安全狀態分析 |
| Google Cloud | Open group IAM member (OPEN_GROUP_IAM_MEMBER) | Google 群組帳戶可供加入,不必經過核准,因此做為 IAM 允許政策主體。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Unused IAM role (UNUSED_IAM_ROLE) | IAM 建議工具偵測到使用者帳戶有過去 90 天內未使用的 IAM 角色。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | IAM role has excessive permissions (IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | 身分與存取權管理建議工具偵測到服務帳戶有一或多個 IAM 角色,對使用者帳戶授予超額權限。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Service agent role replaced with basic
role (SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
身分與存取權管理建議工具偵測到,服務代理原始預設的 IAM 角色已替換為基本的 IAM 角色:擁有者、編輯者或檢視者。基本角色是權限過高的舊版角色,不應授予服務代理。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Service agent granted basic role (SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM 建議工具偵測到服務代理獲派其中一個基本 IAM 角色:擁有者、編輯者或檢視者。基本角色是權限過高的舊版角色,不應授予服務代理。詳情請參閱 IAM 建議工具的發現。 | IAM 推薦功能 |
| Google Cloud | Admin service account (ADMIN_SERVICE_ACCOUNT) | 服務帳戶具有「管理員」、「擁有者」或「編輯者」權限。請勿將這些角色指派給使用者建立的服務帳戶。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Default service account used (DEFAULT_SERVICE_ACCOUNT_USED) | 執行個體已設為使用預設服務帳戶。詳情請參閱「Compute 執行個體安全漏洞發現結果」。 | 安全狀態分析 |
| Google Cloud | Over privileged account (OVER_PRIVILEGED_ACCOUNT) | 服務帳戶在叢集中的專案存取權過於廣泛。詳情請參閱「容器安全漏洞發現」。 | 安全狀態分析 |
| Google Cloud | Over privileged service account
user (OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 使用者在專案層級擁有「服務帳戶使用者」或「服務帳戶權杖建立者」角色,而非特定服務帳戶。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Service account key not rotated (SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 服務帳戶金鑰已超過 90 天未輪替。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Over privileged scopes (OVER_PRIVILEGED_SCOPES) | 節點服務帳戶具有廣泛的存取權範圍。詳情請參閱「容器安全漏洞發現」。 | 安全狀態分析 |
| Google Cloud | KMS public key (KMS_PUBLIC_KEY) | Cloud KMS 加密編譯金鑰可公開存取。詳情請參閱 KMS 安全漏洞發現結果。 | 安全狀態分析 |
| Google Cloud | Public bucket ACL (PUBLIC_BUCKET_ACL) | Cloud Storage bucket 可公開存取。詳情請參閱「儲存空間安全漏洞發現結果」。 | 安全狀態分析 |
| Google Cloud | Public log bucket (PUBLIC_LOG_BUCKET) | 做為記錄檔接收器的儲存空間 bucket 可公開存取。詳情請參閱「儲存空間安全漏洞發現結果」。 | 安全狀態分析 |
| Google Cloud | User managed service account key (USER_MANAGED_SERVICE_ACCOUNT_KEY) | 使用者管理服務帳戶金鑰。詳情請參閱「IAM 安全性弱點發現結果」。 | 安全狀態分析 |
| Google Cloud | Too many KMS users (TOO_MANY_KMS_USERS) | 加密編譯金鑰使用者人數超過三位。詳情請參閱 KMS 安全漏洞發現結果。 | 安全狀態分析 |
| Google Cloud | KMS project has owner (KMS_PROJECT_HAS_OWNER) | 使用者對含有加密編譯金鑰的專案具有「擁有者」權限。詳情請參閱 KMS 安全漏洞發現結果。 | 安全狀態分析 |
| Google Cloud | Owner not monitored (OWNER_NOT_MONITORED) | 記錄指標和快訊未設定為監控專案擁有權指派或變更。詳情請參閱「監控安全漏洞發現結果」。 | 安全狀態分析 |
後續步驟
- 瞭解如何查看及管理結果。
- 瞭解如何查看身分與存取權發現項目案例。
- 瞭解如何在 Policy Intelligence 中查看及管理身分風險。
- 瞭解會產生發現項目的 CIEM 偵測器。
- 瞭解會產生發現結果的 IAM 建議工具偵測器。