權限管理 (CIEM) (部分機器翻譯)
適用於雲端的 Microsoft Defender 與 Microsoft Entra 權限管理 (權限管理) 整合提供雲端基礎結構權利管理 (CIEM) 安全性模型,可協助組織管理和控制其雲端基礎結構中的使用者存取權和權利。 CIEM 是雲端原生應用程式保護平台 (CNAPP) 解決方案的重要元件,會提供可以存取特定資源的人員或項目。 CIEM 可確保存取權限遵守最低權限原則 (PoLP),其中使用者或工作負載身分識別 (例如應用程式和服務) 只會接收執行其工作所需的最低存取層級。 CIEM 也可協助組織監視和管理多個雲端環境的權限,包括 Azure、AWS 和 GCP。
將權限管理與適用於雲端的 Defender (CNAPP) 整合,可透過防止過度權限或設定錯誤所造成的安全性缺口,藉此加強雲端安全性。 權限管理會持續監視及管理雲端權利,協助探索受攻擊面、偵測威脅、適當大小的存取權限,以及維護合規性。 這項整合可增強適用於雲端的 Defender 功能,以保護雲端原生應用程式及保護敏感性資料。
此整合會將下列衍生自 Microsoft Entra 權限管理套件的深入解析導入適用於雲端的 Microsoft Defender 入口網站。 如需詳細資訊,請參閱功能對照表。
常見的使用案例和情況
權限管理功能會整合為 Defender 雲端安全性態勢管理 (CSPM) 方案中的重要元件。 整合式功能是基本功能,提供適用於雲端的 Microsoft Defender 內的基本功能。 您可以透過這些新增的功能,追蹤權限分析、使用中身分識別的未使用權限,以及過度權限的身分識別,並減輕其支援最低權限的最佳做法。
整合會在適用於雲端的 Defender 的 [建議] 頁面上的 [管理存取權與權限] 安全性控制下建立建議。
已知的限制
在上線至適用於雲端的 Defender 之前,已上線至權限管理的 AWS和 GCP 帳戶無法透過適用於雲端的 Microsoft Defender 進行整合。
功能矩陣
整合功能隨附於 Defender CSPM 方案,且不需要權限管理授權。 若要深入了解您可以從權限管理接收的其他功能,請參閱功能對照表:
| 類別 | 功能 | Defender for Cloud | 權限管理 |
|---|---|---|---|
| 發現卡 | Azure、AWS、GCP 中具風險身分識別的權限探索 (包括未使用的身分識別、過度佈建的使用中身分識別、進階身分識別) | ✓ | ✓ |
| 發現卡 | 多重雲端環境 (Azure、AWS、GCP) 的權限蔓延指標 (PCI) 和所有身分識別 | ✓ | ✓ |
| 發現卡 | Azure、AWS、GCP 中所有身分識別、群組的權限探索 | ❌ | ✓ |
| 發現卡 | Azure、AWS、GCP 中的權限使用分析、角色/原則指派 | ❌ | ✓ |
| 發現卡 | 支援識別提供者 (包括 AWS IAM 身分識別中心、Okta、GSuite) | ❌ | ✓ |
| 補救 | 自動刪除權限 | ❌ | ✓ |
| 補救 | 附加/中斷連結權限來補救身分識別 | ❌ | ✓ |
| 補救 | 根據身分識別、群組等活動的自訂角色/AWS 原則產生。 | ❌ | ✓ |
| 補救 | 透過 Microsoft Entra 系統管理中心、API、ServiceNow 應用程式,視需要存取人類身分識別和工作負載身分識別的權限。 | ❌ | ✓ |
| 監視器 | 機器學習服務支援的異常偵測 | ❌ | ✓ |
| 監視器 | 以活動為基礎的規則型警示 | ❌ | ✓ |
| 監視器 | 內容豐富的鑑識報告 (例如 PCI 歷程記錄報告、使用者權利和使用量報告等) | ❌ | ✓ |
相關內容
了解如何在適用於雲端的 Microsoft Defender 中啟用權限管理。