クラウド インフラストラクチャ権限管理

マルチクラウド環境全体の権限をPrisma® Cloudで制御
Identity and Access Management Security Front
Identity and Access Management Security Back

過度に寛容なロール、不適切な資格情報および不注意による漏洩はすべて、企業クラウド環境の深刻な侵害につながります。

IAMによって、侵害からのクラウドの保護を制御する方法をご紹介します。

権限を監視し、最小権限のアクセスを継続的に適用

クラウド インフラストラクチャ権限管理(CIEM)モジュールは、総合的な権限の広範な可視化、マルチクラウド環境の継続的監視を通じた高リスク権限と未使用権限の検出、最小権限の自動推奨を実施します。どのIDが重要インフラにアクセス可能かというシンプルかつ有益な情報をIdPプロバイダ関連のIDも含めて取得可能。Prisma® Cloudとシームレスに統合されています。
  • ユーザー、コンピューティング インスタンス、クラウド リソースなどにおけるクエリ権限
  • 過大な権限や未使用の権限の監視
  • 過度に寛容なロールの自動修復
  • 総合的な権限
    総合的な権限
  • 権限の適切な設定
    権限の適切な設定
  • IAM権限の調査
    IAM権限の調査
  • IdP統合
    IdP統合
  • 自動修復
    自動修復
  • ジャストインタイム (JIT)アクセス
    ジャストインタイム (JIT)アクセス

PRISMA CLOUDソリューション

クラウド インフラストラクチャ権限管理に対する弊社のアプローチ

総合的な権限

誰が、どのリソースに、どのような操作を行う権限を持つかを包括的に把握。CIEMはAWS、Azure、GCPにまたがる権限管理の課題の端的な解決に特化して設計されており、Prisma Cloudが各種クラウド サービス プロバイダのユーザー権限を総合した権限を自動算出して過剰なアクセス権を検出し、最小権限の原則に沿った修正内容を提案します。

  • マルチクラウド環境の権限を単一のソリューションで管理

    Prisma Cloudが提供する統合マルチクラウド機能を利用して、クラウド セキュリティ体制管理(CSPM)の全機能をクラウドIDに拡張します。

  • 事前構築済みポリシーの実装

    専門化された標準装備のポリシーを活用して、リスクの高い権限を検出し、クラウド リソースへの不必要なアクセスを排除します。

  • 内部コンプライアンスに対する監査権限

    関連するユーザー データ、サービス データおよびクラウド アカウントを使用して、クラウド権限を迅速に監査します。

Net-effective permissions

権限の適切な設定

専門化された標準装備のポリシーにより、リスクの高い権限を検出し、クラウド リソースへの不必要なアクセスを排除します。過度に寛容なユーザー アクセスを自動的に検出し、自動推奨を活用して、最小権限のアクセスを取得するように適正化します。

  • 過度に寛容なポリシーの検出

    過度に寛容なアクセス ポリシーを自動的に検出して、クラウド リソースへの不必要なアクセスを排除します。

  • 事前構築済みポリシーの実装

    標準装備のポリシーを使用して、パブリック アクセス、ワイルドカードの使用、リスクの高い権限などを検出します。

  • 自動推奨

    自動推奨を使用して、最小権限のみを許可します。

Rightsizing permissions

IAM権限の調査

すべての関連IAMエンティティのクエリを実施し、各種エンティティの関係性やエンティティが持つ総合的な権限などを、クラウド環境全体で調査します。誰が、どのクラウドの、どのリソースに対して、何の操作ができるかを把握します。クラウドの種類を問わないカスタム ポリシーにクエリを変換し、対処手順とコンプライアンスへの影響を定義します。

  • IAM権限の調査

    リアルタイムのデータと履歴データを確認して、IAMアクティビティと権限を把握します。

  • データをクエリして、ユーザー アクティビティの全体像を把握

    疑わしいアクティビティおよび接続されたアカウントやリソースを詳細に把握します。

  • アイデンティティ プロバイダ固有のデータのクエリ

    IdPユーザーの過度に寛容なロールを検出し、結果をクラウドID (IAMユーザーやマシンID)と関連付けます。

IAM権限の調査

IdP統合

Okta、Azure AD、AWS IAM Identity Centerなどのアイデンティティ プロバイダ(IdP)サービスと連携し、シングル サインオン(SSO)データを取り込みます。これにより、IdPユーザーの実質的な権限と過度に寛容なロールを検出し、結果をクラウドID(IAMユーザーとマシンIDなど)と関連付けます。

  • IdPサービス向けの統合サポートの活用

    取り込んだシングル サインオン(SSO)データを基に権限の関連付けを行い、各種マルチクラウド アカウントを総合したIdPユーザーの権限を算出します。

  • アイデンティティ プロバイダ固有のデータのクエリ

    IdPユーザーの過度に寛容なロールを検出し、結果をクラウドID (IAMユーザーやマシンID)と関連付けます。

  • クラウドの種類を問わないポリシーへのクエリの変換

    RQLクエリを特定のコンプライアンスや修復に関係するIAMセキュリティ ポリシーに変換することで、IdPユーザー向けのカスタム ガードレールを容易に構築できます。

IdP統合

自動修復

権限を自動的に調整し、最小権限のアクセスを継続的に適用。 電子メール、AWS LambdaおよびSecurity Hub、PagerDuty®、ServiceNow®、Slack®など、14個のサードパーティ ツールにアラート通知を送信します。

  • 過剰な権限を持つユーザーの自動修復の有効化

    Prisma Cloudからクラウド ユーザーの理想的な権限レベルの推奨を取得します。

  • 14個の一般的な統合のサポート

    14個のサードパーティ ツールの組み込みサポートにより、Prisma Cloudのアラートを既存のアラート管理ツールにシームレスに統合します。

  • 修復プレイブック

    Prisma CloudのカスタムのCortex® XSOARプレイブックを利用して、高度なセキュリティ オーケストレーション機能の活用が容易になります。

自動修復

ジャストインタイム(JIT)アクセス

専用の時間制限付き権限を用いてリソース アクセスを制限することで、権限管理にゼロ トラストのアプローチを取り入れます。必要な時に限られた時間のみユーザー/マシンIDにアクセスを許可することで、総合的なアタックサーフェスを縮小し、重要リソースが潜在的脅威に晒されるリスクを軽減します。

  • ゼロ スタンディング権限の利用:

    必要に応じた一時的なリソース アクセス権の要求をIDに許可することで、未使用の権限が長期的に残存するリスクを減らします。

  • アクセスの自動/手動承認:

    利用者の設定に応じて、自動承認も手動承認も可能です。

  • アクティブ監視:

    アクティブセッションを可視化します。望ましくないセッションをリアルタイムに終了させる機能も有します。

  • 開発ツールとのシームレスな統合:

    ServiceNowとSlackとの統合により、ネイティブ ツール上でアクセス権を要求できます。JITアクセスを容易に実装できるため、ワークフローを妨げません。

ジャストインタイム(JIT)アクセス
Prisma Cloud
Prisma Cloud
Prisma® Cloudは業界で最も完全なクラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)です。クラウド ネイティブ テクノロジ スタック全体のインフラ、ワークロード、アプリケーションを対象に、業界で最も広範なセキュリティとコンプライアンスを開発ライフサイクル全体を通して提供します。また、ハイブリッド環境とマルチクラウド環境の両方に対応しています。

クラウドIDセキュリティ モジュール

クラウド インフラストラクチャ権限管理

クラウド全体にわたるIDの一元管理とアクセス管理。

主なリソース

Prisma Cloudの能力を詳しく知る