Cloud Security Identity Risks

Documentos > Datadog Security > Cloud Security Management > Cloud Security Identity Risks

Cloud Security Identity Risks es un producto de Cloud infraestructura Entitlement Management (CIEM) que te ayuda a mitigar los riesgos de asignación de derechos en todas tus nubes. Analiza continuamente tu infraestructura en la nube y detecta problemas como privilegios administrativos persistentes, escaladas de privilegios, vacíos de permisos, grandes radios de explosión y acceso entre cuentas. También te permite resolver proactivamente los riesgos de identidad de forma continua para proteger tu infraestructura en la nube de los ataques basados en IAM. Para una remediación rápida, sugiere políticas reducidas, Datadog Workflows basados en remediaciones y enlaces profundos a consolas en la nube.

Cloud Security Identity Risks está disponible para AWS, Azure y GCP.

Revisión de los riesgos para la identidad

Las detecciones de Cloud Security Identity Risk incluyen usuarios, roles, grupos, políticas, instancias de EC2 y funciones de Lambda. Revisa los riesgos de identidad activos de tu organización en la página de Resultados de Identity Risks.

Utiliza la barra de búsqueda de consultas o el panel de facetas para filtrar por tipos específicos de riesgos de identidad.
Además de Group by (Agrupar por), agrupa los riesgos de identidad por Identity Risks (Riesgos de identidad), Resources (Recursos) o Teams (Equipos) (o None (Ninguno) para ver los riesgos de identidad individualmente), de modo que puedas priorizar tus esfuerzos de corrección en consecuencia.
Pasa el ratón por encima de Views (Vistas) y selecciona una vista existente para aplicarla, o haz clic en Save as new view (Guardar como nueva vista) para volver a utilizar la configuración del explorador en el futuro.
Selecciona un riesgo de identidad para ver hasta cinco recursos afectados, o haz clic en View All (Ver todos) para verlos todos. Selecciona un recurso para ver detalles adicionales en un panel lateral.

Página de Resultados de Cloud Security Identity Risks

Corregir los riesgos para la identidad

Para obtener información detallada y ayuda para la corrección, haz clic en la pestaña Corrección. En el siguiente ejemplo, la pestaña Corrección muestra el uso de permisos provisionados.

Pestaña Corrección en el panel lateral de Identity Risks que muestra el uso de permisos provisionados

Para remediar el riesgo de identidad, haz clic en Fix in <cloud provider> (Corregir en proveedor de nube) para actualizar el recurso directamente en la consola de tu proveedor de nube.
Para crear un incidente de Jira y asignarlo a un equipo, haz clic en Add Jira issue (Añadir incidente de Jira). Consulta Crear problemas de Jira para problemas de Cloud Security para obtener más información.
Para ver una política reducida sugerida basada en el uso real, haz clic en View Suggested Policy (Ver política sugerida). A continuación, puedes hacer clic en Edit Policy in <cloud provider> (Editar política en el proveedor de nube) para aplicar los cambios sugeridos:
También puedes utilizar la corrección de Terraform para generar una solicitud pull en GitHub con cambios en el código que solucionen el riesgo para la identidad subyacente o aprovechar la automatización de flujos de trabajo para crear flujos de trabajo automatizados para los riesgos para la identidad (con o sin participación humana).

Obtén visibilidad del acceso a los recursos en riesgo

En Misconfigurations, Identity Risks y Security Inbox, puedes hacer clic en la pestaña Access Insights (Información de acceso) para ver:

A qué entidades puede acceder el recurso a través de tus cuentas
Qué entidades principales pueden acceder directa o indirectamente al recurso

Este ejemplo muestra todas las identidades a las que puede acceder este usuario de AWS IAM:

El panel Información de acceso, que muestra una lista de usuarios de AWS IAM con grandes brechas de permiso

En la sección ¿A qué puede acceder este recurso?, puedes:

Consultar la cuenta asociada a cada entidad y los detalles sobre el tipo de acceso
Buscar entidades o filtrarlas por tipo de entidad o cuenta
Ver la lista de políticas excluidas
Utiliza las pestañas All, Direct Access y Indirect Access (Todas, Acceso directo y Acceso indirecto) para filtrar las entidades que aparecen en la tabla.
Haz clic en el menú desplegable Actions (Acciones) situado junto a una entidad para verla en Resource Catalog, o actualizar tu configuración en la consola de AWS IAM

En la sección ¿Quién puede acceder a este recurso?, puedes:

Consulta los riesgos asociados a cada entidad principal en la columna Risks (Riesgos), así como el tipo de Path (Ruta) que puede seguir la entidad principal (directa o indirecta) para acceder al recurso.
Filtrar las entidades principales por nombre, tipo, accesibilidad pública o acceso administrativo
Utiliza las pestañas All, Direct Access y Indirect Access (Todas, Acceso directo y Acceso indirecto) para filtrar las entidades principales que aparecen en la tabla.
Haz clic en el menú desplegable Actions (Acciones) situado junto a una entidad principal para verla en Resource Catalog, o actualizar tu configuración en la consola de AWS IAM

Integración AWS IAM Access Analyzer

Datadog CIEM está integrado con AWS IAM Access Analyzer para mejorar aún más las detecciones de brechas de permisos. Si utilizas AWS IAM Access Analyzer, Datadog CIEM aprovecha automáticamente sus hallazgos sobre accesos no utilizados para enriquecer las detecciones de brechas de permisos y las recomendaciones de políticas reducidas.

Si está habilitando AWS IAM Access Analyzer por primera vez, hay un coste adicional de AWS asociado a esta habilitación y podrían pasar hasta dos horas antes de que la información de AWS IAM Access Analyzer esté disponible.