ענן וזהויות · מודל-אמון
ניטור ענן בלי לגנוב מפתחות
רוב כלי-ה-CSPM מבקשים ממך להזין מפתחות-ענן בעלי-הרשאות לתוך הענן שלהם. כלומר: כדי לבדוק אם הענן שלך מאובטח, אתה נותן לצד-שלישי את המפתחות לממלכה. זה מודל-אמון שבור. בנינו את זה אחרת.
העיקרון: קריאה-בלבד, והמפתחות אצלך
Doogree סורק את ה-posture בקריאה-בלבד באמצעות תפקידים/service-accounts מוגבלים שהלקוח יוצר בעצמו:
- AWS — תפקיד read-only (SecurityAudit) שמריץ Prowler.
- Azure — service-principal ברמת Reader.
- Google Cloud — service-account ברמת Viewer/Security-Reviewer.
- Microsoft 365 — אפליקציית Entra עם הרשאות-קריאה (Directory.Read.All / Reports.Read.All).
- Google Workspace — Admin-SDK service-account, קריאה-בלבד, לבדיקת 2SV ומנהלים.
שום מפתח אף פעם לא נשמר בענן שלנו כטקסט גלוי. החיבור נעשה דרך ממשק-הניהול (מדביקים פעם אחת), ה-credentials נשמרים מוצפנים במפתח-הארגון (הצפנת-מעטפה), וה-scan-box מושך אותם רק בזמן-הסריקה. אפשר לסובב או למחוק בכל רגע.
מה בודקים
ענן (CSPM): הגדרות-שגויות, buckets פתוחים, הצפנה, IAM רחב-מדי, לוגים. זהות (ITDR): כיסוי MFA/2SV, מנהלים ללא MFA, ריבוי super-admins, חשבונות-אורח ישנים. הכל מתגלגל לאותו ציון 0–100 ולאותו דוח-תאימות של שאר הנכסים.
חיבור קל — כמו כל ספק גדול
בפאנל "☁️ ענן וזהויות" בוחרים ספק, מדביקים את ה-creds (עם רמז-הגדרה מדויק), ולוחצים "סרוק". ספק חדש נכנס לרישום, מקבל סטטוס וציון, וניתן להפעיל סריקה מחדש בקליק — בלי SSH, בלי קבצי-env ידניים.
למה זה חשוב: מודל "המפתחות אצלך" הוא לא רק הגינות — הוא סוגר-עסקה. ארגון שחושש (בצדק) לתת מפתחות-ענן לצד-שלישי, יכול לאמץ ניטור-ענן בלי הסיכון הזה. אותו עיקרון שמנחה את כל Doogree: המפתחות נשארים שלך.