Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Сейчас эта возможность доступна в предварительной версии.
Дополнительные сведения о текущих пробелах и ограничениях см. в разделе "Известные ограничения".
Облачные области и унифицированное управление доступом на основе ролей (унифицированный RBAC) на портале Microsoft Defender позволяют сегментировать многооблачные ресурсы (Azure, AWS, GCP и подключенные источники DevOps/registry) в значимые группы и согласованно применять доступ к минимальным привилегиям. Они предоставляют:
- Централизованное управление разрешениями безопасности на уровне продукта
- Тонкое определение области по разнородным облачным средам
- Постоянная фильтрация по инвентаризации, статусу, уязвимостям и управлению рисками и экспозицией
- Четкое разделение от Azure (платформа) RBAC
Это важно
Унифицированный RBAC на портале Defender отличается от Azure RBAC. Разрешения не перетекают между порталами; необходимо настроить единый RBAC отдельно.
Основные понятия
| Понятие | Description |
|---|---|
| Область облака | Логическое группирование одного или нескольких примитивных облачных и собственных сред (например, подписок Azure, учетных записей AWS, проектов GCP, организаций DevOps, реестров) с учетом бизнес-структуры или операционной структуры. |
| Единая роль RBAC | Роль безопасности портала Defender, определяющая группы разрешений (операции безопасности / профиль безопасности) и назначения с ограничением области. |
| Фильтр области | Глобальный фильтр пользовательского интерфейса позволяет пользователям сосредоточить представления данных на выбранных облачных областях или группах устройств. |
| Фильтр сред | Вторичный фильтр для детализации отдельных сред (необязательно в выбранной области). |
Ключевые преимущества
- Избегайте широкого доступа на уровне арендатора; обеспечивайте минимальные привилегии
- Выравнивание операций безопасности с бизнес-единицами, географическими областями, доменами приложений или моделями владения
- Упростите управление многооблачным делегированием с помощью шаблонов повторяемой структуры
- Поддержание согласованной контекстной фильтрации при переходе по интерфейсам
- Разделение разрешений операционной безопасности от конструкций управления Azure
Что такое области охвата в облаке?
Облачные области — это логические группировки разнородных облачных сред (подписки Azure, учетные записи AWS, проекты GCP, организации DevOps, реестры контейнеров, репозитории артефактов и многое другое). Вместо того чтобы зеркально отображать только родную иерархию одного поставщика, облачная область позволяет создать только те среды, которые важны для определенной операционной или деловой цели, а затем последовательно использовать эту группировку для:
- Назначение разрешений (унифицированное назначение RBAC)
- Фильтрация данных по инвентаризации, позе, уязвимостям, инициативам, путям атак и карте
- Отчеты и делегированные границы владения
Ключевые свойства:
- Многооблачный и многоисточниковый: одна область может смешивать источники Azure, AWS, GCP и реестра DevOps/org.
- Неиерархическая и гибкая: членство — это определённый список, который не наследуется от групп управления Azure или организаций AWS.
- Многие ко многим: среда может принадлежать нескольким областям; область может содержать неограниченные среды.
- Управление членством вручную. Новые подключенные среды не добавляются автоматически, предотвращая случайное расширение привилегий.
- Согласованная область фильтра: после выбора область сохраняется при навигации по поддерживаемым интерфейсам портала Defender.
Как области отличаются от групп устройств:
- Группы устройств сосредоточены на сегментации конечных устройств (исторически для сценариев Defender для конечных устройств и виртуальных машин).
- Облачные области охватывают более широкие контексты облачных ресурсов и воздействия (положение, пути атаки, инвентаризация многоблочных активов).
- Опыт может включать оба; каждая категория применяется там, где это семантически уместно (например, вкладка «Устройства» в сравнении с вкладкой «Облако»).
Общие шаблоны проектирования для формирования областей:
- Подразделение или отдел (Финансы, Розничная торговля, НИОКР)
- Приложение / линия продукта (платежи-услуги, Mobile-App)
- Этап среды (рабочая среда, промежуточное развертывание, тестирование)
- Региональная / нормативная граница (ЕС-Data-Residency, US-HIPAA)
- M&A или изолированная инициатива (AcquiredCo-Integration)
- Высокозначные и конфиденциальные рабочие нагрузки (Crown-Jewels)
Связь с унифицированным RBAC:
- Унифицированные роли RBAC относятся к одной или нескольким областям (или «Все»).
- Эффективная видимость облачных данных и разрешенные действия пользователя представляют собой объединение всех сфер, связанных с их назначенными ролями.
- Изменения области (добавление или удаление сред) немедленно изменяют доступ для пользователей, использующих такую область.
- Наименьшие привилегии: Детализированный подход позволяет ограничить мощные разрешения (например, ответ или управление) только в целевых средах.
Руководство по планированию:
- Начните с крупных элементов (основных границ организации или региона).
- Проверка операционной ответственности и периодичности.
- Введите более тонкие области только в том случае, если требуется риск, конфиденциальность или соответствие требованиям.
- Определите назначение документа и владельца для каждой области, чтобы поддерживать жизненный цикл и аудит.
Предпосылки
- Глобальный администратор или администратор безопасности (для настройки)
- Доступ к порталу Microsoft Defender
- Подключенная облачная среда / DevOps / среды реестра
1. Создание областей облака
Характеристики:
- Неограниченные области
- Область может включать несколько разнородных сред
- Среда может принадлежать нескольким областям
- Членство не является автоматическим; Новые подключенные среды должны быть явно добавлены
Создание области действия (мастер)
Выполните следующие действия, чтобы создать облачную область.
Для перехода: в портале Defender перейдите к System > Permissions > Microsoft Defender XDR > Scopes.
- Выберите "Добавить область облака".
- Введите имя и описание.
- Выберите примитивы среды (по отдельности или с помощью фильтров).
- Проверьте и завершите работу.
2. Активация облачных областей (единовременно)
Прежде чем области можно будет использовать в назначениях ролей, их необходимо активировать с помощью мастера. Для этого выполните приведенные действия.
- Перечисляет существующие унифицированные роли RBAC, ссылающиеся на источники данных Microsoft Defender для облака
- Позволяет сопоставить эти роли с выбранными облачными областями
- Выделены разрешения управления и конфиденциальности (например, действия ответа)
- Завершение активации (необратимое; будущие изменения проходят через обычное управление)
Руководящие принципы:
- Создайте по крайней мере одну область, если нет ни одной области
- Проверьте, какие роли включают разрешения уровня управления (расширяют возможности, связанные с виртуальными машинами)
- Утвердите, чтобы завершить активацию
Если группы устройств или унифицированные роли RBAC еще не существуют, мастер настроек может быть пропущен до тех пор, пока не потребуется.
Мастер активации и массового назначения
- При появлении баннера выберите "Активировать облачные области ", чтобы запустить мастер.
- Задайте разрешения для ролей, назначенных с помощью облачных областей.
- Завершите активацию назначения параметров облака.
3. Определение унифицированных ролей и назначений RBAC
Выполните следующие действия, чтобы запустить мастер настройки ролей и определить назначения и унифицированные роли RBAC.
Перейдите на портале Defender к разделу Системные > разрешения > Роли > Microsoft Defender XDR.
Выберите Создать настраиваемую роль.
Выберите имя и описание роли.
Выберите группы разрешений (выберите один или оба):
- Операции безопасности: инциденты, оповещения и инвентаризация облака
-
Состояние безопасности: рекомендации, управление уязвимостями, оценка безопасности, экспозиция/характеристики состояния
Добавьте назначение.
- Назначение пользователей и групп
- Выбор источников данных: All / MDC / Управление экспозицией (XSPM)
- Выберите параметр области:
- Все охваты облака
- Настраиваемый (выбор определенных областей)
Замечание
Для доступа к позы включите источник данных: управление экспозицией (XSPM). Некоторые функции Microsoft Defender для облака отображаются в представлениях управления экспозицией.
Проверьте и завершите работу.
4. Использование фильтров области и среды
Фильтр области (глобальный)
Фильтр областей (облачные области и группы устройств) сохраняется в следующих областях:
- Рекомендации (контекст вкладки "Облако" или "Устройства")
- Инициативы
- Управление уязвимостями
- Инвентаризация облачных ресурсов
- Обзор облачных и инициативных панелей мониторинга
- Пути атаки
- Представление карты
Поведение:
- Пользователи видят только значения, для которых они авторизованы
- Фильтрация групп устройств применяется, когда релевантны данные, ориентированные на устройство
- Смешанные интерфейсы применяют контекстную категорию области (например, рекомендации: группы устройств влияют на вкладку "Устройства"; области облака влияют на вкладку "Облако")
Чтобы получить доступ к фильтру области, выполните следующие действия.
- Перейдите на панель мониторинга «Защитник для облака: Обзор».
- Выберите фильтр области.
- Примените нужные фильтры.
Фильтр среды
Назначение. Этот фильтр обеспечивает глубокое исследование, устранение рисков и фокус на исправление.
Характеристики:
- Доступно в облачных инициативах, панелях мониторинга обзора, инвентаризации облачных ресурсов, облачных рекомендациях
- Отображение только разрешенных сред
- Без выбранной области: выводит список всех доступных сред
- Выбранная область: ограничена элементами этой области.
- Порядок применения:
- Сначала область, а затем среда (уточнение подмножества)
- Сначала среда, а затем область (выбор области переопределяет предыдущий набор)
Чтобы получить доступ к фильтру среды, выполните следующие действия.
- Перейдите на панель мониторинга «Защитник для облака: Обзор».
- Выберите фильтр среды.
- Примените нужные фильтры.
5. Непрерывное управление
После создания и активации вы можете:
- Добавление и удаление сред из областей
- Настройка назначений ролей
- Аудит использования (кто имеет доступ к какой области доступа)
- Периодически просматривайте разрешения на уровне управления
- Удаление устаревших областей для снижения сложности
Лучшие практики
| Практика | Логическое обоснование |
|---|---|
| Соответствие областей стабильным бизнес- или операционным границам | Уменьшает объем обработки и перепроектирования |
| Используйте четкие, описательные имена (BU-App-Region) | Упрощает аудит и делегирование |
| Обеспечение минимально необходимых привилегий | Ограничения радиуса взрыва |
| Планирование периодических проверок доступа | Обнаруживает смещение разрешений |
| Назначение и область применения документа, а также владелец | Поддержка управления жизненным циклом |
| Избегайте чрезмерных пересекающихся областей задачи | Минимизирует сложность и усилия по оценке |
Поддерживаемые примитивы среды (текущие)
- Учетные записи AWS
- Основные учетные записи AWS
- Подписки Azure
- Проекты GCP
- Организации Azure DevOps
- Организации GitHub
- Группы GitLab
- Организации Docker Hub
- JFrog Artifactory
(Дополнительные примитивы, такие как группы управления и запланированные ресурсы контейнеров.)
Активы с плавающей запятой (неуправляемые)
Некоторые типы активов остаются глобально видимыми (не привязанными к области) из-за модели графа или отсутствующих иерархических привязок:
- Пользователи и группы идентификатора Microsoft Entra
- Пользователи и группы GCP
- Сервисные принципы
- Образы контейнеров
- IP-адреса
- Сертификаты
- Закрытые ключи SSH
- Секреты и управляемые удостоверения (некоторые из них могут стать доступными при наличии идентификаторов ресурсов)
Они отображаются в инвентаризации, путях атак, картах и связанных опытах по выявлению уязвимостей для всех авторизованных пользователей портала.
Известные проблемы & ограничения
| Area | Ограничение / состояние |
|---|---|
| Разделение моделей RBAC | Унифицированный RBAC не зависит от Azure RBAC (необходимо настроить отдельно). |
| поддержка API | Портал доступен только сегодня для операций CRUD и назначений в пределах области; API скоро появится. |
| Динамический выбор | Правила условного и динамического включения еще не поддерживаются. |
| Фильтрация в XDR (инциденты и оповещения) | Фильтр глобальных областей не полностью интегрирован, обеспечивая только частичное наследование на уровне таблицы. |
| Охват кросс-опыта | Некоторые агрегированные оценки (например, оценка экспозиции, варианты оценки безопасности) могут не полностью фильтровать область. |
| Ограничения визуализации | Расширенные представления активов учитывают область, но может ограничить сведения о связанных ресурсах из-за границ разрешений. |
| Будущие примитивы | Запланированы группы управления и дополнительные примитивы контейнеров/ресурсов. |
Часто задаваемые вопросы
Вопрос. Как облачные области улучшают оперативное выравнивание между бизнес-подразделениями?
Облачные области повышают оперативное выравнивание между подразделениями, позволяя администраторам группировать ресурсы в соответствии с бизнес-ценностью, функцией или структурой организации. Эта целевая группирование обеспечивает специализированный контроль доступа и видимость, обеспечивая, чтобы каждое подразделение получило определенные разрешения и надзор, необходимые ему. В результате команды могут эффективно работать в определенных средах, а администраторы поддерживают четкие границы и гибкость при управлении ресурсами с несколькими облаками. Этот подход упрощает операции и поддерживает стратегические цели в организации.
Вопрос. Что такое унифицированный RBAC на портале Defender?
Унифицированное управление доступом на основе ролей (единое управление доступом на основе ролей) — это централизованная модель разрешений на портале Defender, которая позволяет администраторам управлять доступом пользователей в нескольких решениях безопасности. Он отличается от управления доступом на основе ролей Azure и требует отдельной конфигурации.
Вопрос: Что такое области применения облака?
Облачные области — это метод создания областей в облаке, который позволяет администраторам группировать ресурсы по бизнес-единицам, значению или стратегической функции. Это позволяет настроить управление доступом и видимость в мультиоблачных средах.
Вопрос. Как управлять облачными областями?
Перейдите к: Параметры → Разрешения → Роли Microsoft XDR → Роли → вкладка "Облачные области"
Оттуда вы можете:
- Создавайте неограниченные области
- Включить несколько сред для каждой области
- Назначьте среды нескольким областям
- Управление областями с полными разрешениями CRUD (только глобальный администратор)
Вопрос. Как активировать и назначить облачные области?
- Используйте мастер активации для конфигурации разрешений для источников данных Defender for Cloud
- Назначение ролей областям во время этого процесса
- Активация — это одноразовая настройка и должна быть завершена перед назначением ролей
Вопрос. Почему не удается назначить облачные области в назначении ролей?
Чтобы впервые активировать облачные области, необходимо настроить разрешения для ролей, связанных с источниками данных Defender for Cloud. Этот шаг также управляет доступом к общим ресурсам, таким как виртуальные машины с помощью групп устройств или области облака. Начните с процесса активации, который направляет администраторов авторизации через конфигурацию управления доступом на основе ролей в едином интерфейсе управления доступом на основе ролей. Облачные области действуют только после активации.
Вопрос. Кто может управлять облачными областями?
Только глобальные администраторы имеют полные права управления.
Вопрос. Как работает единое назначение RBAC?
- Назначение ролей определенным облачным областям
- Разрешения ограничены выбранными средами.
- Унифицированное управление доступом на основе ролей невозможно перенести из Azure; Его необходимо настроить отдельно на портале Defender
Вопрос. Как унифицированный RBAC отличается от Azure RBAC с точки зрения детализации разрешений?
Единый контроль доступа на основе ролей на портале Defender предоставляет модель разрешений, отличную от управления доступом на основе ролей Azure, особенно с точки зрения детализации разрешений. Хотя управление доступом на основе ролей Azure предоставляет назначения ролей на уровне ресурсов Azure и управляется с помощью централизованного управления доступом Azure, унифицированное управление доступом на основе ролей настраивается отдельно на портале Defender и позволяет администраторам определять разрешения специально для ресурсов и действий, связанных с безопасностью, в нескольких решениях Defender. Это обеспечивает более целевое управление в среде Defender, например назначение ролей определенным облачным областям или средам, а не использование более широких групп ресурсов Azure или границ подписки. В результате унифицированное управление доступом на основе ролей предоставляет администраторам гибкость в настройке разрешений безопасности с более детальной степенью детализации для пользователей, которым требуется доступ к возможностям Defender, независимо от ролей управления доступом на основе ролей Azure.
Вопрос. Каковы последствия назначения ролей в нескольких облачных областях?
Назначение ролей в нескольких облачных областях позволяет пользователям получать доступ к ресурсам и выполнять действия во всех средах, включенных в эти области. Этот подход позволяет администраторам настраивать разрешения для пользователей, которым требуется видимость или контроль над несколькими бизнес-подразделениями или стратегическими областями. Однако она также повышает важность тщательного управления определениями областей и назначениями ролей, чтобы предотвратить ненужный доступ. Перекрывающиеся области могут привести к сложным моделям разрешений, поэтому важно регулярно просматривать и аудит назначений, чтобы пользователи имели только необходимый доступ. Эффективное управление помогает поддерживать границы безопасности и оперативную ясность.
Вопрос. Какие критерии следует использовать для эффективного определения областей облака?
Облачные области можно использовать для отражения иерархии и структуры организации. Они настраиваются гибко для поддержания различных критериев, таких как бизнес-единица или функция, значение ресурса и чувствительность, географически расположенная операционная единица, единица приложений и т. д.
Дальнейшие шаги
Облачные области и унифицированный RBAC (представление портала Azure)
Полное управление жизненным циклом (создание, членство, расширенное фильтрация, многооблачные назначения) выполняется на портале Microsoft Defender. На портале Azure вы по-прежнему можете:
- Просмотр назначений Azure RBAC на уровне подписки или группы ресурсов
- Управление классическим доступом Azure для ресурсов платформы
Дополнительные сведения см. в разделе " Роли пользователей и разрешения".
Для комплексных облачных областей и единого администрирования RBAC используйте портал Defender.
Замечание
Общие сведения о разрешениях в Defender и Azure
Defender использует uRBAC (единое управление доступом на основе ролей), которое отделено от Azure RBAC.
- Azure RBAC управляет доступом на уровне ресурсов Azure (подписки, группы ресурсов).
- URBAC предоставляет более подробные разрешения на портале Defender, позволяя назначать роли для определенных действий безопасности и облачных областей в решениях Defender.
Это означает, что разрешения в Defender адаптированы для задач безопасности и не зависят от ролей Azure RBAC.
Важный: Пользователям потребуется два отдельных разрешения: имеющиеся разрешения Azure RBAC, а также дополнительная роль uRBAC. Помимо существующих разрешений Azure RBAC, необходимо предоставить пользователям новую роль uRBAC, чтобы предоставить им доступ к новому порталу.