你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
权限管理 (CIEM)
Microsoft Defender for Cloud 与 Microsoft Entra 权限管理(权限管理)集成在一起,可提供一种云基础结构权利管理 (CIEM) 安全模型,该模型可帮助组织管理和控制其云基础结构中的用户访问权限和权利。 CIEM 是云原生应用程序保护平台 (CNAPP) 解决方案的关键组件,可洞察谁或什么有权访问特定资源。 CIEM 确保访问权限遵循最低权限原则 (PoLP),其中用户或工作负载标识(如应用和服务)仅获得执行其任务所需的最低访问权限级别。 CIEM 还可帮助组织跨多个云环境(包括 Azure、AWS 和 GCP)监视和管理权限。
将权限管理与 Defender for Cloud (CNAPP) 集成,可增强云安全性,防止因权限过度或配置不当导致的安全漏洞。 权限管理会持续监视和管理云权利,从而帮助发现攻击面、检测威胁、适当调整访问权限和维护合规性。 此集成增强了 Defender for Cloud 保护云原生应用程序和保护敏感数据的功能。
此集成将源自 Microsoft Entra 权限管理套件的以下见解引入 Microsoft Defender for Cloud 门户。 有关详细信息,请参阅功能矩阵。
常见用例和方阿敏
权限管理功能作为一个有价值的组件集成到了 Defender 云安全态势管理 (CSPM) 计划中。 集成的功能是基础功能,在 Microsoft Defender for Cloud 中提供必要功能。 借助这些新增功能,可以跟踪权限分析、活动标识的未使用权限以及过度权限标识,并缓解这些权限,以支持最低权限的最佳做法。
该集成将在 Defender for Cloud 中的“建议”页面上的“管理访问权限和权限”安全控制下创建建议。
已知限制
在加入 Defender for Cloud 之前已加入权限管理的 AWS 和 GCP 帐户无法通过 Microsoft Defender for Cloud 进行集成。
功能矩阵
集成功能是 Defender CSPM 计划的一部分,不需要权限管理许可证。 若要详细了解可从权限管理接收的其他功能,请参阅功能矩阵:
| 类别 | 功能 | Defender for Cloud | 权限管理 |
|---|---|---|---|
| 发现 | Azure、AWS、GCP 中有风险标识(包括未使用的标识、过度预配的活动标识、超级标识)的权限发现 | ✓ | ✓ |
| 发现 | 多云环境(Azure、AWS、GCP)和所有标识的权限蠕变指数 (PCI) | ✓ | ✓ |
| 发现 | Azure、AWS、GCP 中所有标识、组的权限发现 | ❌ | ✓ |
| 发现 | Azure、AWS、GCP 中的权限使用分析、角色/策略分配 | ❌ | ✓ |
| 发现 | 对标识提供者(包括 AWS IAM 标识中心、Okta、GSuite)的支持 | ❌ | ✓ |
| 修正 | 自动删除权限 | ❌ | ✓ |
| 修正 | 通过附加/分离权限来修正标识 | ❌ | ✓ |
| 修正 | 基于标识、组等活动的自定义角色/AWS 策略生成 | ❌ | ✓ |
| 修正 | 通过 Microsoft Entra 管理中心、API、ServiceNow 应用为人和工作负载标识分配的按需权限(限时访问)。 | ❌ | ✓ |
| 监视 | 机器学习支持的异常情况检测 | ❌ | ✓ |
| 监视器 | 基于活动和规则的警报 | ❌ | ✓ |
| 监视器 | 上下文丰富的取证报告(例如 PCI 历史记录报告、用户权利和使用报告等) | ❌ | ✓ |
相关内容
了解如何在 Microsoft Defender for Cloud 中启用权限管理。