Cloud Security Management Identity Risks
Cloud Security Management Identity Risks (CSM Identity Risks) は、クラウド全体での権限リスクを軽減する Cloud Infrastructure Entitlement Management (CIEM) 製品です。クラウドインフラストラクチャーを継続的にスキャンし、残存する管理権限、権限昇格、権限ギャップ、広範囲にわたる影響範囲、アカウント間アクセスなどの問題を検出します。また、IAM を介した攻撃からクラウドインフラストラクチャーを保護するため、継続的かつ積極的にアイデンティティリスクを解決することができます。迅速な是正策として、縮小版ポリシー、Datadog Workflows ベースの是正策、クラウドコンソールへのディープリンクを提案します。
CSM Identity Risks は、AWS、Azure、GCP で利用可能です。
アイデンティティリスクの確認
Identity Risks Explorer で組織のアクティブなアイデンティティリスクを確認します。Group by オプションを使用して、Identity Risks、Resources、または None (個別のアイデンティティリスク) でフィルターをかけます。サイドパネルでその他の詳細を表示します。
CSM Identity Risk の検出対象には、ユーザー、ロール、グループ、ポリシー、EC2 インスタンス、Lambda 関数があります。
アイデンティティリスクの是正
詳細な洞察や是正のヘルプは、Remediation タブをクリックしてください。次の例では、Remediation タブにプロビジョニングされた権限の使用状況が表示されています。
実際の使用状況に基づいて提案された縮小版ポリシーを確認するには、View Suggested Policy をクリックしてください。
アイデンティティリスクを是正するには、Fix in AWS をクリックして AWS IAM コンソール内のリソースを更新します。Jira の問題を作成してチームに割り当てるには、Add Jira issue をクリックします。詳細は、Cloud Security Management の問題に関する Jira 課題を作成するを参照してください。
Terraform の是正機能を利用して、根本的なアイデンティティリスクを修正するコード変更を GitHub でプルリクエストとして生成したり、Workflow Automation を活用して、アイデンティティリスクの自動ワークフロー (人間が関与する場合としない場合の両方) を作成したりすることも可能です。
AWS IAM Access Analyzer インテグレーション
Datadog CIEM は、AWS IAM Access Analyzer と統合して、権限ギャップの検出精度を向上させます。AWS IAM Access Analyzer を使用している場合、Datadog CIEM は自動的に未使用のアクセス情報を活用し、権限ギャップの検出や縮小版ポリシーの提案を強化します。
AWS IAM Access Analyzer を初めて有効にする場合、この有効化に関連して追加の AWS 費用が発生する可能性があり、AWS IAM Access Analyzer のインサイトが利用可能になるまで最大 2 時間かかる場合があります。
ビデオウォークスルー
次のビデオでは、CSM Identity Risks を有効にして使用する方法の概要を説明しています。
その他の参考資料