權限管理 (CIEM)
適用於雲端的 Microsoft Defender 與 Microsoft Entra 權限管理 (Permissions Management) 整合提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理和控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件,會提供可以存取特定資源的人員或項目。 CIEM 可確保訪問許可權遵循最低許可權原則(PoLP),其中使用者或工作負載身分識別,例如應用程式和服務,只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的許可權,包括 Azure、AWS 和 GCP。
將許可權管理與 適用於雲端的 Defender 整合,藉由防止許可權過多或設定錯誤所造成的安全性缺口,強化雲端安全性。 許可權管理會持續監視及管理雲端權利,協助探索受攻擊面、偵測威脅、適當大小的訪問許可權,以及維護合規性。 這項整合可增強 適用於雲端的 Defender 保護雲端原生應用程式及保護敏感數據的功能。
此整合會將下列衍生自 Microsoft Entra 權限管理套件的深入解析導入適用於雲端的 Microsoft Defender 入口網站。 如需詳細資訊,請參閱 功能矩陣。
常見的使用案例和情況
許可權管理功能會整合為 Defender 雲端安全性狀態管理 (CSPM) 方案中的重要元件。 整合式功能是基本功能,提供適用於雲端的 Microsoft Defender 內的基本功能。 您可以透過這些新增的功能,追蹤權限分析、使用中身分識別的未使用權限,以及過度權限的身分識別,並減輕其支援最低權限的最佳做法。
整合會在 適用於雲端的 Defender 的 [建議] 頁面上的 [管理存取權與許可權] 安全性控件下建立建議。
已知的限制
在上線至 適用於雲端的 Defender 之前,已上線至許可權管理的AWS和 GCP 帳戶無法透過 適用於雲端的 Microsoft Defender 進行整合。
功能矩陣
整合功能隨附於 Defender CSPM 方案,且不需要許可權管理授權。 若要深入瞭解您可以從許可權管理接收的其他功能,請參閱功能矩陣:
| 類別 | 功能 | Defender for Cloud | 權限管理 |
|---|---|---|---|
| 發現卡 | Azure、AWS、GCP 中具風險身分識別的權限探索 (包括未使用的身分識別、過度佈建的使用中身分識別、進階身分識別) | ✓ | ✓ |
| 發現卡 | 多重雲端環境 (Azure、AWS、GCP) 的權限蔓延指標 (PCI) 和所有身分識別 | ✓ | ✓ |
| 發現卡 | Azure、AWS、GCP 中所有身分識別、群組的權限探索 | ❌ | ✓ |
| 發現卡 | Azure、AWS、GCP 中的權限使用分析、角色/原則指派 | ❌ | ✓ |
| 發現卡 | 支援識別提供者 (包括 AWS IAM 身分識別中心、Okta、GSuite) | ❌ | ✓ |
| 補救 | 自動刪除權限 | ❌ | ✓ |
| 補救 | 附加/中斷連結權限來補救身分識別 | ❌ | ✓ |
| 補救 | 根據身分識別、群組等活動的自訂角色/AWS 原則產生。 | ❌ | ✓ |
| 補救 | 透過 Microsoft Entra 系統管理中心、API、ServiceNow 應用程式,視需要存取人類身分識別和工作負載身分識別的權限。 | ❌ | ✓ |
| 監視器 | 機器學習服務支援的異常偵測 | ❌ | ✓ |
| 監視器 | 以活動為基礎的規則型警示 | ❌ | ✓ |
| 監視器 | 內容豐富的鑑識報告 (例如 PCI 歷程記錄報告、使用者權利和使用量報告等) | ❌ | ✓ |
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應