Compartir a través de


Habilitación de la administración de derechos de infraestructura en la nube (CIEM)

Nota:

A partir del 1 de abril de 2025, Microsoft Entra Permissions Management ya no estará disponible para su compra.

El 1 de octubre de 2025, Microsoft retirará y dejará de admitir este producto. Obtenga más información sobre el retiro de Microsoft Entra Permissions Management.

El desuso de administración de permisos de Microsoft Entra no afecta a ninguna funcionalidad de CIEM existente en Microsoft Defender for Cloud. Obtenga más información sobre el futuro de CIEM en Microsoft Defender for Cloud.

Microsoft Defender for Cloud proporciona un modelo de seguridad de administración de derechos de infraestructura en la nube (CIEM) que ayuda a las organizaciones a administrar y controlar el acceso y los derechos de los usuarios en su infraestructura en la nube. CIEM es un componente crítico de la solución Cloud Native Application Protection Platform (CNAPP) que proporciona visibilidad sobre quién o qué tiene acceso a recursos específicos. Garantiza que los derechos de acceso se adhieren al principio de privilegios mínimos (PoLP), donde los usuarios o las identidades de carga de trabajo, como las aplicaciones y los servicios, reciben solo los niveles mínimos de acceso necesarios para realizar sus tareas. CIEM también ayuda a las organizaciones a supervisar y administrar permisos en varios entornos de nube, como Azure, AWS y GCP.

Antes de comenzar

Habilitación de CIEM para Azure

Al habilitar el plan CSPM de Defender en su cuenta de Azure, el Azure CSPMestándar se asigna automáticamente a la suscripción. El estándar CSPM de Azure proporciona recomendaciones de administración de derechos de infraestructura en la nube (CIEM).

Cuando la administración de permisos (CIEM) está deshabilitada, las recomendaciones de CIEM dentro del estándar de CSPM de Azure no se calculan.

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. Vaya a Configuración del entorno.

  4. Seleccione la suscripción pertinente.

  5. Busque el plan de CSPM de Defender y seleccione Configuración.

  6. Habilite Administración de permisos (CIEM).

    Recorte de pantalla que muestra dónde se encuentra el botón de alternancia para la administración de permisos.

  7. Seleccione Continuar.

  8. Seleccione Guardar.

Las recomendaciones de CIEM aplicables aparecen en la suscripción en unas pocas horas.

Lista de recomendaciones de Azure:

  • Las identidades sobreaprovisionadas de Azure solo deben tener los permisos necesarios

  • Se deben revocar los permisos de identidades inactivas en la suscripción de Azure

Habilitación de CIEM para AWS

Cuando ha habilitado el plan de CSPM de Defender en su cuenta de AWS, el AWS CSPMestándar se asigna automáticamente a la suscripción. El estándar AWS CSPM proporciona recomendaciones de administración de derechos de infraestructura en la nube (CIEM). Cuando la Administración de permisos está deshabilitada, no se calculan las recomendaciones de CIEM dentro del estándar CSPM de AWS.

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. Vaya a Configuración del entorno.

  4. Seleccione la cuenta de AWS pertinente.

  5. Busque el plan de CSPM de Defender y seleccione Configuración.

    Captura de pantalla que muestra una cuenta de AWS y el plan CSPM de Defender habilitado y dónde se encuentra el botón de configuración.

  6. Habilite Administración de permisos (CIEM).

  7. Seleccione Configurar acceso.

  8. Seleccione un método de implementación.

  9. Ejecute el script actualizado en su entorno de AWS mediante las instrucciones en pantalla.

  10. Comprobación de la casilla Plantilla de CloudFormation en el entorno de AWS (Stack).

    Captura de pantalla que muestra dónde se encuentra la casilla en la pantalla.

  11. Seleccione Revisar y generar.

  12. Seleccione Actualizar.

Las recomendaciones de CIEM aplicables aparecen en la suscripción en unas pocas horas.

Lista de recomendaciones de AWS:

  • Las identidades sobreaprovisionadas de AWS solo deben tener los permisos necesarios

  • Se deben revocar los permisos de las identidades inactivas de su cuenta de AWS

Habilitación de CIEM para GCP

Cuando habilitaste el plan CSPM de Defender en el proyecto de GCP, el estándar CSPM de GCP se asigna automáticamente a tu suscripción. El estándar GCP CSPM proporciona recomendaciones de administración de derechos de infraestructura en la nube (CIEM).

Cuando la Administración de permisos (CIEM) está deshabilitada, las recomendaciones de CIEM dentro del estándar de CSPM de GCP no se calculan.

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Microsoft Defender for Cloud.

  3. Vaya a Configuración del entorno.

  4. Seleccione el proyecto de GCP correspondiente.

  5. Busque el plan de CSPM de Defender y seleccione Configuración.

    Captura de pantalla que muestra dónde seleccionar la configuración del plan CSPM de Defender para el proyecto de GCP.

  6. Cambie la Administración de permisos (CIEM) a Activado.

  7. Seleccione Guardar.

  8. Seleccione Siguiente: Configurar acceso.

  9. Seleccione el tipo de permisos pertinente.

  10. Seleccione un método de implementación.

  11. Ejecute el script actualizado de Cloud Shell o Terraform en el entorno de GCP mediante las instrucciones de la pantalla.

  12. Agregue una marca a la casilla de comprobación Ejecuté la plantilla de implementación para que los cambios surtan efecto.

    Captura de pantalla que muestra la casilla que debe seleccionarse.

  13. Seleccione Revisar y generar.

  14. Seleccione Actualizar.

Las recomendaciones de CIEM aplicables aparecen en la suscripción en unas pocas horas.

Lista de recomendaciones de GCP:

  • Las identidades sobreaprovisionadas de GCP solo deben tener permisos necesarios

  • Se deben revocar los permisos de identidades inactivas en el proyecto de GCP

Limitaciones conocidas

Las cuentas de AWS y GCP que se incorporaron a La administración de permisos antes de incorporarse a Defender for Cloud no se pueden integrar a través de Microsoft Defender for Cloud.