Teilen über

Aktivieren der Verwaltung von Berechtigungen in der Cloudinfrastruktur (CIEM)

Microsoft Defender für Cloud bietet ein CIEM-Sicherheitsmodell (Cloud Infrastructure Entitlement Management), das Organisationen bei der Verwaltung und Kontrolle des Benutzerzugriffs und der Berechtigungen in ihrer Cloudinfrastruktur unterstützt. CIEM ist eine wichtige Komponente der Cloud Native Application Protection Platform-Lösung (CNAPP, Plattform für cloudnativen Anwendungsschutz), die Einblick in den Zugriff auf bestimmte Ressourcen bietet. Sie stellt sicher, dass Zugriffsrechte dem Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) entsprechen, bei dem Benutzer*innen oder Workloadidentitäten wie Apps und Dienste nur die für die Durchführung ihrer Aufgaben mindestens erforderlichen Zugriffsebenen erhalten. CIEM unterstützt Organisationen auch beim Überwachen und Verwalten von Berechtigungen in mehreren Cloudumgebungen, einschließlich Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).

Bevor Sie beginnen

  1. Stellen Sie sicher, dass Sie über die richtigen Rollen und Berechtigungen für jede Cloudumgebung verfügen, um die Erweiterung Berechtigungsverwaltung (Permissions Management, CIEM) in Defender CSPM zu aktivieren:

    AWS und GCP:

  2. Integrieren Sie Ihre AWS- oder GCP-Umgebung in Defender for Cloud:

  3. Aktivieren von Defender CSPM für Ihr Azure-Abonnement, AWS-Konto oder GCP-Projekt.

Aktivieren von CIEM für Azure

Wenn Sie den Defender CSPM-Plan für Ihr Azure-Konto aktivieren, wird Dem Abonnement automatisch der Azure CSPM-Standardzugewiesen. Der Azure CSPM-Standard bietet Empfehlungen für die Cloudinfrastruktur-Berechtigungsverwaltung (Cloud Infrastructure Entitlement Management, CIEM).

Wenn CIEM deaktiviert ist, werden die CIEM-Empfehlungen innerhalb des Azure CSPM-Standards nicht berechnet.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Navigieren Sie zu Umgebungseinstellungen.

  4. Wählen Sie ein relevantes Abonnement aus.

  5. Suchen Sie den Defender CSPM-Plan, und wählen Sie Einstellungen aus.

  6. Aktivieren der Berechtigungsverwaltung (CIEM)

    Screenshot, der zeigt, wo sich der Umschalter für die Berechtigungsverwaltung befindet.

  7. Wählen Sie Continue (Weiter) aus.

  8. Wählen Sie Speichern.

Die entsprechenden CIEM-Empfehlungen werden innerhalb weniger Stunden in Ihrem Abonnement angezeigt.

Liste der Azure-Empfehlungen:

  • Überdimensionierte Azure-Identitäten sollten nur über die notwendigen Berechtigungen verfügen.

  • Berechtigungen von inaktiven Identitäten in Ihrem Azure-Abonnement sollten widerrufen werden

Aktivieren von CIEM für AWS

Wenn Sie den Defender CSPM-Plan für Ihr AWS-Konto aktiviert haben, wird Ihrem Abonnement automatisch derAWS CSPM-Standard zugewiesen. Der AWS CSPM-Standard bietet Empfehlungen für Cloudinfrastruktur-Berechtigungsverwaltung (Cloud Infrastructure Entitlement Management, CIEM). Wenn „Berechtigungsverwaltung (CIEM)“ deaktiviert ist, werden die CIEM-Empfehlungen innerhalb des AWS CSPM-Standards nicht berechnet.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Navigieren Sie zu Umgebungseinstellungen.

  4. Wählen Sie das relevante AWS-Konto aus.

  5. Suchen Sie den Defender CSPM-Plan, und wählen Sie Einstellungen aus.

    Screenshot eines AWS-Kontos und des aktivierten Defender CSPM-Plans und wo sich die Schaltfläche „Einstellungen“ befindet.

  6. Aktivieren der Berechtigungsverwaltung (CIEM)

  7. Nehmen Sie AWS CloudTrail Logs ein, um genauere CIEM-Empfehlungen und Einblicke zu erhalten.

  8. Wählen Sie Zugriff konfigurieren aus.

  9. Wählen Sie eine Bereitstellungsmethode aus.

  10. Führen Sie das aktualisierte Skript in Ihrer AWS-Umgebung mithilfe der Anweisungen auf dem Bildschirm aus.

  11. Aktivieren Sie das Kontrollkästchen "CloudFormation-Vorlage wurde in der AWS-Umgebung (Stack) aktualisiert".

    Screenshot, der anzeigt, wo sich das Kontrollkästchen auf dem Bildschirm befindet.

  12. Wählen Sie Überprüfen und Erstellen aus.

  13. Wählen Sie Aktualisieren.

Die entsprechenden CIEM-Empfehlungen werden innerhalb weniger Stunden in Ihrem Abonnement angezeigt.

Liste der AWS-Empfehlungen:

  • Überdimensionierte AWS-Identitäten sollten nur über die notwendigen Berechtigungen verfügen.

  • Berechtigungen von inaktiven Identitäten in Ihrem AWS-Konto sollten widerrufen werden

Aktivieren von CIEM für GCP

Wenn Sie den Defender CSPM-Plan für Ihr GCP-Projekt aktiviert haben, wird Ihrem Abonnement automatisch derGCP CSPM-Standard zugewiesen. Der GCP CSPM-Standard bietet Empfehlungen für Cloudinfrastruktur-Berechtigungsverwaltung (Cloud Infrastructure Entitlement Management, CIEM).

Wenn „Berechtigungsverwaltung (CIEM)“ deaktiviert ist, werden die CIEM-Empfehlungen innerhalb des GCP CSPM-Standards nicht berechnet.

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

  3. Navigieren Sie zu Umgebungseinstellungen.

  4. Wählen Sie das relevante GCP-Projekt aus.

  5. Suchen Sie den Defender CSPM-Plan, und wählen Sie Einstellungen aus.

    Screenshot, der zeigt, wo Sie Einstellungen für den Defender CSPM-Plan für Ihr GCP-Projekt auswählen können.

  6. Schalten Sie „Berechtigungsverwaltung (CIEM)“ auf Ein um.

  7. Erfassen Sie die GCP-Cloudprotokollierung, um sicherzustellen, dass Ihre GCP-Identitäten hinsichtlich Berechtigungsrisiken bewertet werden.

  8. Wählen Sie Speichern.

  9. Wählen Sie Weiter: Zugriff konfigurieren aus.

  10. Wählen Sie den relevanten Berechtigungstyp aus.

  11. Wählen Sie eine Bereitstellungsmethode aus.

  12. Führen Sie das aktualisierte Cloud-Shell- oder Terraform-Skript in Ihrer GCP-Umgebung mithilfe der Anweisungen auf dem Bildschirm aus.

  13. Setzen Sie ein Häkchen im Kontrollkästchen Ich habe die Bereitstellungsvorlage ausgeführt, damit die Änderungen wirksam werden.

    Screenshot des Kontrollkästchens, das ausgewählt werden muss.

  14. Wählen Sie Überprüfen und Erstellen aus.

  15. Wählen Sie Aktualisieren.

Die entsprechenden CIEM-Empfehlungen werden innerhalb weniger Stunden in Ihrem Abonnement angezeigt.

Liste von GCP-Empfehlungen:

  • Übermäßig bereitgestellte GCP-Identitäten sollten nur über die erforderlichen Berechtigungen verfügen

  • Berechtigungen von inaktiven Identitäten in Ihrem GCP-Projekt sollten widerrufen werden

Einschränkungen

  • Serverlose und Computeidentitäten für AWS sind nicht mehr in der CIEM-Inaktivitätslogik enthalten, was die Anzahl der Empfehlungen verändern kann. Die Metrik „Index für schleichende Berechtigungsausweitung“ (Permissions Creep Index, PCI) ist veraltet und wird nicht mehr in den Defender for Cloud-Empfehlungen angezeigt.
  • Last updated on