الأمان والهوية متعدد السحابة مع Azure وAmazon Web Services (AWS)
تجد العديد من المنظمات نفسها مع استراتيجية متعددة السحابة بحكم الواقع، حتى لو لم تكن هذه نيتها الاستراتيجية المتعمدة. في بيئة متعددة السحابات، من الضروري ضمان تجارب أمان وهوية متسقة لتجنب زيادة الاحتكاك للمطورين ومبادرات الأعمال وزيادة المخاطر التنظيمية من الهجمات الإلكترونية التي تستفيد من الثغرات الأمنية.
يجب أن يتضمن دفع الأمان واتساق الهوية عبر السحب ما يلي:
- تكامل الهوية متعددة السحابات
- المصادقة القوية والتحقق من صحة الثقة الصريحة
- أمان النظام الأساسي السحابي (متعدد السحابة)
- Microsoft Defender للسحابة
- إدارة الهويات المتميزة (Azure)
- إدارة الهويات الشاملة المتسقة
تكامل الهوية متعددة السحابات
يستفيد العملاء الذين يستخدمون كلا من الأنظمة الأساسية السحابية ل Azure وAWS من دمج خدمات الهوية بين هاتين السحابتين باستخدام معرف Microsoft Entra وخدمات تسجيل الدخول الأحادي (SSO). يسمح هذا النموذج بوحدة هوية موحدة يمكن من خلالها الوصول إلى الخدمات في السحابتين والتحكم فيها باستمرار.
يسمح هذا الأسلوب بتمكين عناصر التحكم في الوصول الغنية المستندة إلى الأدوار في معرف Microsoft Entra عبر خدمات إدارة الهوية والوصول (IAM) في AWS باستخدام قواعد لربط user.userprincipalname السمات و user.assignrole من معرف Microsoft Entra بأذونات IAM. يقلل هذا النهج من عدد الهويات الفريدة التي يتعين على المستخدمين والمسؤولين الحفاظ عليها عبر كلا السحابتين بما في ذلك دمج الهوية لكل تصميم حساب تستخدمه AWS. يسمح حل AWS IAM ب معرف Microsoft Entra ويحدده على وجه التحديد باعتباره اتحادا ومصدر مصادقة لعملائهم.
يمكن العثور على معاينة كاملة لهذا التكامل في البرنامج التعليمي: تكامل تسجيل الدخول الأحادي (SSO) من Microsoft Entra مع Amazon Web Services (AWS).
المصادقة القوية والتحقق من صحة الثقة الصريحة
نظراً لأن العديد من العملاء يستمرون في دعم نموذج هوية مختلط لخدمات Active Directory، فمن المهم بشكل متزايد لفرق هندسة الأمان تنفيذ حلول مصادقة قوية وحظر أساليب المصادقة القديمة المرتبطة بشكل أساسي بتقنيات Microsoft المحلية والقديمة.
تتيح مجموعة من نهج المصادقة متعددة العوامل والوصول المشروط أمانا محسنا لسيناريوهات المصادقة الشائعة للمستخدمين النهائيين في مؤسستك. بينما توفر المصادقة متعددة العوامل نفسها مستوى أعلى من الأمان لتأكيد المصادقات، يمكن تطبيق عناصر تحكم إضافية باستخدام عناصر التحكم في الوصول المشروط لحظر المصادقة القديمة لكل من بيئات سحابة Azure وAWS. المصادقة القوية باستخدام عملاء المصادقة الحديثة فقط ممكنة فقط مع الجمع بين المصادقة متعددة العوامل ونهج الوصول المشروط.
أمان النظام الأساسي السحابي (متعدد السحابة)
بمجرد إنشاء هوية مشتركة في بيئتك متعددة السحابات، يمكن استخدام خدمة أمان النظام الأساسي السحابي (CPS) ل Microsoft Defender for Cloud Apps لاكتشاف هذه الخدمات ومراقبتها وتقييمها وحمايتها. باستخدام لوحة معلومات Cloud Discovery، يمكن لموظفي عمليات الأمان مراجعة التطبيقات والموارد المستخدمة عبر أنظمة AWS وAzure السحابية الأساسية. بمجرد مراجعة الخدمات ومعاقبتها للاستخدام، يمكن بعد ذلك إدارة الخدمات كتطبيقات مؤسسة في معرف Microsoft Entra لتمكين لغة ترميز تأكيد الأمان (SAML)، المستندة إلى كلمة المرور، ووضع تسجيل الدخول الأحادي المرتبط لراحة المستخدمين.
يوفر CPS أيضاً القدرة على تقييم الأنظمة الأساسية السحابية المتصلة بالتكوينات الخاطئة والتوافق باستخدام عناصر تحكم الأمان والتكوين الموصى بها الخاصة بالمورد. يمكن هذا التصميم المؤسسات من الحفاظ على عرض موحد واحد لجميع خدمات النظام الأساسي السحابي وحالة التوافق الخاصة بها.
يوفر CPS أيضاً نُهج الوصول والتحكم في الجلسة لمنع بيئتك وحمايتها من نقاط النهاية أو المستخدمين الخطرين عند إدخال نقل غير مصرح للبيانات أو ملفات ضارة في تلك الأنظمة الأساسية.
Microsoft Defender للسحابة
يوفر Microsoft Defender for Cloud إدارة أمان موحدة وحماية من التهديدات عبر أحمال العمل المختلطة ومتعددة السحابات، بما في ذلك أحمال العمل في Azure وAmazon Web Services (AWS) وGoogle Cloud Platform (GCP). يساعدك Defender for Cloud في العثور على نقاط الضعف الأمنية وإصلاحها، وتطبيق عناصر التحكم في الوصول والتطبيقات لمنع النشاط الضار، واكتشاف التهديدات باستخدام التحليلات والاستخبارات، والاستجابة بسرعة عندما تتعرض للهجوم.
لحماية الموارد المستندة إلى AWS على Microsoft Defender للسحابة، يمكنك توصيل حساب إما بتجربة موصلات السحابة الكلاسيكية أو صفحة إعدادات البيئة (في المعاينة)، والتي يوصى بها.
إدارة الهويات المتميزة (Azure)
للحد من الوصول إلى أعلى الحسابات المميزة والتحكم فيها في معرف Microsoft Entra، يمكن تمكين إدارة الهويات المتميزة (PIM) لتوفير الوصول في الوقت المناسب إلى خدمات Azure. بمجرد التوزيع، يمكن استخدام إدارة الهويات المتميزة للتحكم في الوصول والحد منه باستخدام نموذج التعيين للأدوار، والقضاء على الوصول المستمر لهذه الحسابات المميزة، وتوفير اكتشاف ومراقبة إضافيين للمستخدمين الذين لديهم أنواع الحسابات هذه.
عند دمجها مع Microsoft Sentinel، يمكن إنشاء المصنفات ودلائل المبادئ لمراقبة ورفع التنبيهات إلى موظفي مركز عمليات الأمان عند وجود حركة جانبية للحسابات التي تم اختراقها.
إدارة الهويات الشاملة المتسقة
تأكد من أن جميع العمليات تتضمن طريقة عرض شاملة لجميع السحب وكذلك الأنظمة المحلية وتدريب موظفي الأمان والهوية على هذه العمليات.
يتيح استخدام هوية واحدة عبر معرف Microsoft Entra وحسابات AWS والخدمات المحلية هذه الاستراتيجية الشاملة ويسمح بمزيد من الأمان والحماية للحسابات المميزة وغير المميزة. يعتمد العملاء الذين يتطلعون حاليا إلى تقليل عبء الحفاظ على هويات متعددة في استراتيجيتهم متعددة السحابات معرف Microsoft Entra لتوفير التحكم المتسق والقوي والتدقيق والكشف عن الحالات الشاذة وإساءة استخدام الهويات في بيئتهم.
يساعدك النمو المستمر للقدرات الجديدة عبر النظام البنائي ل Microsoft Entra على البقاء متقدما على التهديدات التي تتعرض لها بيئتك نتيجة استخدام الهويات كلوحة تحكم شائعة في بيئاتك متعددة السحابات.
الخطوات التالية
- Microsoft Entra B2B: يتيح الوصول إلى تطبيقات شركتك من الهويات التي يديرها الشريك.
- Azure Active Directory B2C: خدمة تقدم الدعم لتسجيل الدخول الأحادي وإدارة المستخدمين للتطبيقات التي تواجه المستهلك.
- Microsoft Entra Domain Services: خدمة وحدة التحكم بالمجال المستضافة، مما يسمح بالانضمام إلى المجال المتوافق مع Active Directory ووظائف إدارة المستخدم.
- بدء استخدام أمان Microsoft Azure
- إدارة الهوية في Azure وأفضل الممارسات الأمنية للتحكم في الوصول