啟用權限管理 (CIEM)
適用於雲端的 Microsoft Defender 與 Microsoft Entra 權限管理 (權限管理) 整合提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理和控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件,會提供可以存取特定資源的人員或項目。 其可確保存取權限遵守最低權限原則 (PoLP),其中使用者或工作負載身分識別 (例如應用程式和服務) 只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限,包括 Azure、AWS 和 GCP。
在您開始使用 Intune 之前
您必須在 Azure 訂用帳戶、AWS 帳戶或 GCP 專案上啟用 Defender CSPM。
擁有下列角色和權限
- AWS 和 GCP:安全性系統管理員,Application.ReadWrite.All
- Azure:安全性系統管理員,Microsoft.Authorization/roleAssignments/write
僅限 AWS:將您的 AWS 帳戶連線到適用於雲端的 Defender。
僅限 GCP:將您的 GCP 專案連線到適用於雲端的 Defender。
啟用 Azure 的權限管理 (CIEM)
當您在 Azure 帳戶上啟用 Defender CSPM 方案時,Azure CSPM 標準會自動指派給您的訂用帳戶。 Azure CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。
停用權限管理 (CIEM) 時,將不會計算 Azure CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的訂用帳戶。
找出 Defender CSPM 方案,然後選取 [設定]。
啟用 [權限管理 (CIEM)]。
選取繼續。
選取 [儲存]。
適用的權限管理 (CIEM) 建議會在幾個小時內出現在您的訂用帳戶上。
Azure 建議清單:
Azure 過度佈建的身分識別應該只有必要的權限
應撤銷 Azure 訂用帳戶中非使用中身分識別的權限
啟用 AWS 的權限管理 (CIEM)
當您在 AWS 帳戶上啟用 Defender CSPM 方案時,AWS CSPM 標準會自動指派給您的訂用帳戶。 AWS CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。 停用權限管理時,不會計算 AWS CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的 AWS 帳戶。
找出 Defender CSPM 方案,然後選取 [設定]。
啟用 [權限管理 (CIEM)]。
選取 [設定存取權]。
選取相關的權限類型。
選擇部署方法。
使用畫面上的指示,在您的 AWS 環境中執行更新的指令碼。
勾選 [CloudFormation 範本已在 AWS 環境 (堆疊) 上更新] 核取方塊。
選取 [檢閱並產生]。
選取更新。
適用的權限管理 (CIEM) 建議會在幾個小時內出現在您的訂用帳戶上。
AWS 建議清單:
AWS 過度佈建的身分識別應該只有必要的權限
應該撤銷 AWS 帳戶中非使用中身分識別的權限
啟用 GCP 的權限管理 (CIEM)
當您在 GCP 帳戶上啟用 Defender CSPM 方案時,GCP CSPM 標準會自動指派給您的訂用帳戶。 GCP CSPM 標準提供雲端基礎結構權利管理 (CIEM) 建議。
停用權限管理 (CIEM) 時,將不會計算 GCP CSPM 標準內的 CIEM 建議。
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [環境設定]。
選取相關的 GCP 專案。
找出 Defender CSPM 方案,然後選取 [設定]。
將 [權限管理 (CIEM)] 切換為 [開啟]。
選取 [儲存]。
選取 [下一步:設定存取權]。
選取相關的權限類型。
選擇部署方法。
使用畫面上的指示,在您的 GCP 環境上執行更新的 Cloud Shell 或 Terraform 指令碼。
將檢查新增至 [我已執行部署範本以讓變更生效] 核取方塊。
選取 [檢閱並產生]。
選取更新。
適用的權限管理 (CIEM) 建議會在幾個小時內出現在您的訂用帳戶上。
GCP 建議清單:
GCP 過度佈建的身分識別應該只有必要的權限
應該撤銷 GCP 專案中非使用中身分識別的權限