تمكين إدارة الأذونات (CIEM)
يوفر تكامل Microsoft Defender for Cloud مع إدارة الأذونات في Microsoft Entra (إدارة الأذونات) نموذج أمان إدارة استحقاق البنية الأساسية السحابية (CIEM) الذي يساعد المؤسسات على إدارة وصول المستخدم واستحقاقاته والتحكم فيها في بنيتها الأساسية السحابية. CIEM هو مكون هام من حل Cloud Native Application Protection Platform (CNAPP) الذي يوفر رؤية لمن أو ما لديه حق الوصول إلى موارد محددة. يضمن أن حقوق الوصول تلتزم بمبدأ أقل امتياز (PoLP)، حيث يتلقى المستخدمون أو هويات حمل العمل، مثل التطبيقات والخدمات، الحد الأدنى من مستويات الوصول الضرورية لأداء مهامهم. يساعد CIEM أيضا المؤسسات على مراقبة وإدارة الأذونات عبر بيئات سحابية متعددة، بما في ذلك Azure وAWS وGCP.
قبل أن تبدأ
يجب تمكين إدارة وضع الأمان السحابي في Defender على اشتراك Azure أو حساب AWS أو مشروع GCP.
لديك الأدوار والأذونات التالية
- AWS وGCP: مسؤول الأمان، Application.ReadWrite.All
- Azure: مسؤول الأمان، Microsoft.Authorization/roleAssignments/write
تمكين إدارة الأذونات (CIEM) ل Azure
عند تمكين خطة إدارة وضع الأمان السحابي في Defender على حساب Azure الخاص بك، يتم تعيين معيار Azure CSPM تلقائيا إلى اشتراكك. يوفر معيار Azure CSPM توصيات إدارة استحقاق البنية الأساسية السحابية (CIEM).
عند تعطيل إدارة الأذونات (CIEM)، لن يتم حساب توصيات CIEM ضمن معيار Azure CSPM.
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Microsoft Defender for Cloud وحدده.
انتقل إلى إعدادات البيئة.
حدد الاشتراك ذي الصلة.
حدد موقع خطة إدارة وضع الأمان السحابي في Defender وحدد الإعدادات.
تمكين إدارة الأذونات (CIEM).
حدد متابعة.
حدد حفظ.
تظهر توصيات إدارة الأذونات القابلة للتطبيق (CIEM) على اشتراكك في غضون ساعات قليلة.
قائمة توصيات Azure:
يجب أن يكون للهويات المفرطة في Azure الأذونات الضرورية فقط
يجب إبطال أذونات الهويات غير النشطة في اشتراك Azure
تمكين إدارة الأذونات (CIEM) ل AWS
عند تمكين خطة إدارة وضع الأمان السحابي في Defender على حساب AWS الخاص بك، يتم تعيين معيار AWS CSPM تلقائيا إلى اشتراكك. يوفر معيار AWS CSPM توصيات إدارة استحقاق البنية الأساسية السحابية (CIEM). عند تعطيل إدارة الأذونات، لن يتم حساب توصيات CIEM ضمن معيار AWS CSPM.
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Microsoft Defender for Cloud وحدده.
انتقل إلى إعدادات البيئة.
حدد حساب AWS ذي الصلة.
حدد موقع خطة إدارة وضع الأمان السحابي في Defender وحدد الإعدادات.
تمكين إدارة الأذونات (CIEM).
حدد تكوين الوصول.
حدد نوع الأذونات ذات الصلة.
حدد أسلوب توزيع.
قم بتشغيل البرنامج النصي المحدث على بيئة AWS باستخدام الإرشادات التي تظهر على الشاشة.
تحقق من تحديث قالب CloudFormation في خانة الاختيار بيئة AWS (Stack ).
حدد Review and generate.
حدد تحديث.
تظهر توصيات إدارة الأذونات القابلة للتطبيق (CIEM) على اشتراكك في غضون ساعات قليلة.
قائمة توصيات AWS:
يجب أن يكون للهويات المفرطة في AWS الأذونات الضرورية فقط
يجب إبطال أذونات الهويات غير النشطة في حساب AWS الخاص بك
تمكين إدارة الأذونات (CIEM) ل GCP
عند تمكين خطة إدارة وضع الأمان السحابي في Defender على مشروع GCP الخاص بك، يتم تعيين معيار GCP CSPM تلقائيا إلى اشتراكك. يوفر معيار GCP CSPM توصيات إدارة استحقاق البنية الأساسية السحابية (CIEM).
عند تعطيل إدارة الأذونات (CIEM)، لن يتم حساب توصيات CIEM ضمن معيار GCP CSPM.
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Microsoft Defender for Cloud وحدده.
انتقل إلى إعدادات البيئة.
حدد مشروع GCP ذي الصلة.
حدد موقع خطة إدارة وضع الأمان السحابي في Defender وحدد الإعدادات.
تبديل إدارة الأذونات (CIEM) إلى تشغيل.
حدد حفظ.
حدد التالي: تكوين الوصول.
حدد نوع الأذونات ذات الصلة.
حدد أسلوب توزيع.
قم بتشغيل البرنامج النصي Cloud shell أو Terraform المحدث على بيئة GCP باستخدام إرشادات الشاشة.
أضف فحصا إلى خانة الاختيار لقد قمت بتشغيل قالب النشر حتى تسري التغييرات.
حدد Review and generate.
حدد تحديث.
تظهر توصيات إدارة الأذونات القابلة للتطبيق (CIEM) على اشتراكك في غضون ساعات قليلة.
قائمة توصيات GCP:
يجب أن يكون للهويات الزائدة عن GCP الأذونات الضرورية فقط
يجب إبطال أذونات الهويات غير النشطة في مشروع GCP