مشاركة عبر

توصيل حسابات AWS بـ Microsoft Defender for Cloud

  • مقالة

تمتد أحمال العمل عادة على أنظمة أساسية سحابية متعددة. يجب أن تفعل خدمات أمان السحابة نفس الشيء. يساعد Microsoft Defender for Cloud في حماية أحمال العمل في Amazon Web Services (AWS)، ولكنك تحتاج إلى إعداد الاتصال بينها وبين Defender for Cloud.

تظهر لقطة الشاشة التالية حسابات AWS المعروضة في لوحة معلومات نظرة عامة على Defender for Cloud.

لقطة شاشة تعرض أربعة مشاريع AWS مدرجة في لوحة معلومات النظرة العامة في Defender for Cloud.

يمكنك معرفة المزيد من خلال مشاهدة موصل AWS الجديد في فيديو Defender for Cloud من Defender for Cloud في سلسلة فيديو Field .

عملية مصادقة AWS

يتم استخدام المصادقة الموحدة بين Microsoft Defender for Cloud وAWS. يتم إنشاء جميع الموارد المتعلقة بالمصادقة كجزء من نشر قالب CloudFormation، بما في ذلك:

  • موفر هوية (اتصال OpenID)

  • أدوار إدارة الهوية والوصول (IAM) مع أساس متحد (متصل بموفري الهوية).

بنية عملية المصادقة عبر السحب كما يلي:

رسم تخطيطي يوضح بنية عملية المصادقة عبر السحب.

تحصل خدمة Microsoft Defender for Cloud CSPM على رمز مميز ل Microsoft Entra مع فترة صلاحية مدتها ساعة واحدة موقعة من قبل معرف Microsoft Entra باستخدام خوارزمية RS256.

يتم تبادل الرمز المميز ل Microsoft Entra مع بيانات اعتماد AWS قصيرة المعيشة وتفترض خدمة Defender for Cloud CSPM دور CSPM IAM (المفترض مع هوية الويب).

نظرا لأن مبدأ الدور هو هوية موحدة كما هو محدد في نهج علاقة الثقة، يتحقق موفر هوية AWS من صحة رمز Microsoft Entra المميز مقابل معرف Microsoft Entra من خلال عملية تتضمن:

  • التحقق من صحة الجمهور

  • التحقق من صحة التوقيع الرقمي للرمز المميز

  • بصمة إبهام الشهادة

يتم افتراض دور Microsoft Defender for Cloud CSPM فقط بعد استيفاء شروط التحقق من الصحة المحددة في علاقة الثقة. تستخدم الشروط المحددة لمستوى الدور للتحقق من الصحة داخل AWS وتسمح فقط لتطبيق Microsoft Defender for Cloud CSPM (الجمهور الذي تم التحقق من صحته) بالوصول إلى الدور المحدد (وليس أي رمز مميز آخر من Microsoft).

بعد التحقق من صحة الرمز المميز ل Microsoft Entra بواسطة موفر هوية AWS، يتبادل AWS STS الرمز المميز ببيانات اعتماد AWS قصيرة العمر التي تستخدمها خدمة CSPM لفحص حساب AWS.

المتطلبات الأساسية

لإكمال الإجراءات الواردة في هذه المقالة، تحتاج إلى:

  • الاشتراك في Microsoft Azure. إذا لم يكن لديك اشتراك Azure، يمكنك التسجيل للحصول على اشتراك مجاني.

  • إعداد Microsoft Defender for Cloud على اشتراك Azure الخاص بك.

  • الوصول إلى حساب AWS.

  • إذن مستوى المساهم لاشتراك Azure ذي الصلة.

  • حساب معرف إدخال يحتوي على دور دليل مسؤول التطبيق أو مسؤول تطبيق السحابة للمستأجر الخاص بك (أو حقوق المسؤول المكافئة لإنشاء تسجيلات التطبيق).

إشعار

لا يتوفر موصل AWS على السحب الحكومية الوطنية (Azure Government، Microsoft Azure التي تديرها 21Vianet).

متطلبات خطة الموصل الأصلي

كل خطة لها متطلباتها الخاصة للموصل الأصلي.

Defender for Containers

إذا اخترت خطة Microsoft Defender for Containers، فستحتاج إلى:

  • مجموعة Amazon EKS واحدة على الأقل مع إذن للوصول إلى خادم واجهة برمجة تطبيقات EKS Kubernetes. إذا كنت بحاجة إلى إنشاء مجموعة EKS جديدة، فاتبع الإرشادات الواردة في بدء استخدام Amazon EKS – eksctl.
  • سعة المورد لإنشاء قائمة انتظار Amazon SQS جديدة، Kinesis Data Firehose ودفق التسليم، ودلو Amazon S3 في منطقة نظام المجموعة.

Defender for SQL

إذا اخترت خطة Microsoft Defender for SQL، فستحتاج إلى:

  • تمكين Microsoft Defender for SQL على اشتراكك. تعرف على كيفية حماية قواعد البيانات الخاصة بك.
  • حساب AWS نشط، مع مثيلات EC2 التي تشغل SQL Server أو RDS Custom ل SQL Server.
  • Azure Arc للخوادم المثبتة على مثيلات EC2 أو RDS Custom ل SQL Server.

نوصي باستخدام عملية التوفير التلقائي لتثبيت Azure Arc على جميع مثيلات EC2 الحالية والمستقبلية. لتمكين التوفير التلقائي ل Azure Arc، تحتاج إلى إذن المالك على اشتراك Azure ذي الصلة.

يستخدم AWS Systems Manager (SSM) عامل SSM للتعامل مع التوفير التلقائي. تحتوي بعض صور جهاز Amazon بالفعل على عامل SSM مثبت مسبقا. إذا لم يكن لدى مثيلات EC2 عامل SSM، فقم بتثبيته باستخدام هذه الإرشادات من Amazon: تثبيت عامل SSM لبيئة مختلطة ومتعددة السحابة (Windows).

تأكد من أن عامل SSM الخاص بك لديه النهج المدار AmazonSSMManagedInstanceCore. وهو يتيح الوظائف الأساسية لخدمة AWS Systems Manager.

تمكين هذه الملحقات الأخرى على الأجهزة المتصلة ب Azure Arc:

  • Microsoft Defender لنقطة النهاية
  • حل تقييم الثغرات الأمنية (TVM أو Qualys)
  • عامل Log Analytics على الأجهزة المتصلة ب Azure Arc أو عامل Azure Monitor

تأكد من تثبيت حل أمان لمساحة عمل Log Analytics المحددة. يتم تكوين عامل Log Analytics وعامل Azure Monitor حاليا على مستوى الاشتراك . ترث جميع حسابات AWS ومشاريع Google Cloud Platform (GCP) ضمن نفس الاشتراك إعدادات الاشتراك لعامل Log Analytics وعامل Azure Monitor.

تعرف على المزيد حول مراقبة مكونات Defender for Cloud.

Defender لقواعد البيانات مفتوحة المصدر (معاينة)

إذا اخترت خطة Defender لقواعد البيانات الارتباطية مفتوحة المصدر، فستحتاج إلى:

توفر المنطقة: جميع مناطق AWS العامة (باستثناء تل أبيب وميلانو جاكرتا وإسبانيا والبحرين).

Defender for Servers

إذا اخترت خطة Microsoft Defender for Servers، فستحتاج إلى:

  • تمكين Microsoft Defender for Servers على اشتراكك. تعرف على طريقة تمكين الخطط عن طريق مقالة تمكين ميزات الأمان المحسنة.
  • حساب AWS نشط، بالإضافة إلى مثيلات EC2.
  • Azure Arc للخوادم المثبتة على مثيلات EC2 لديك.

نوصي باستخدام عملية التوفير التلقائي لتثبيت Azure Arc على جميع مثيلات EC2 الحالية والمستقبلية. لتمكين التوفير التلقائي ل Azure Arc، تحتاج إلى إذن المالك على اشتراك Azure ذي الصلة.

توفر AWS Systems Manager تلقائيا باستخدام عامل SSM. تحتوي بعض صور جهاز Amazon بالفعل على عامل SSM مثبت مسبقا. إذا لم يكن لدى مثيلات EC2 عامل SSM، فقم بتثبيته باستخدام أي من الإرشادات التالية من Amazon:

تأكد من أن عامل SSM الخاص بك لديه النهج المدار AmazonSSSMManagedInstanceCore، والذي يتيح الوظائف الأساسية لخدمة AWS Systems Manager.

يجب أن يكون لديك عامل SSM للتوفير التلقائي لعامل Arc على أجهزة EC2. إذا لم يكن SSM موجودا، أو تمت إزالته من EC2، فلن يتمكن توفير Arc من المتابعة.

إشعار

كجزء من قالب CloudFormation الذي يتم تشغيله أثناء عملية الإعداد، يتم إنشاء عملية أتمتة وتشغيلها كل 30 يوما، على جميع EC2s التي كانت موجودة أثناء التشغيل الأولي ل CloudFormation. الهدف من هذا الفحص المجدول هو التأكد من أن جميع EC2s ذات الصلة لديها ملف تعريف IAM مع نهج IAM المطلوب الذي يسمح ل Defender for Cloud بالوصول إلى ميزات الأمان ذات الصلة وإدارتها وتوفيرها (بما في ذلك توفير وكيل Arc). لا ينطبق الفحص على EC2s التي تم إنشاؤها بعد تشغيل CloudFormation.

إذا كنت تريد تثبيت Azure Arc يدويًا على مثيلات EC2 الحالية والمستقبلية، فاستخدم التوصية التي تنص على أنه يجب توصيل مثيلات EC2 بـ Azure Arc لتحديد المثيلات التي لم يتم تثبيت Azure Arc عليها.

تمكين هذه الملحقات الأخرى على الأجهزة المتصلة ب Azure Arc:

  • Microsoft Defender لنقطة النهاية
  • حل تقييم الثغرات الأمنية (TVM أو Qualys)
  • عامل Log Analytics على الأجهزة المتصلة ب Azure Arc أو عامل Azure Monitor

تأكد من تثبيت حل أمان لمساحة عمل Log Analytics المحددة. يتم تكوين عامل Log Analytics وعامل Azure Monitor حاليا على مستوى الاشتراك . ترث جميع حسابات AWS ومشاريع GCP ضمن نفس الاشتراك إعدادات الاشتراك لعامل Log Analytics وعامل Azure Monitor.

تعرف على المزيد حول مراقبة مكونات Defender for Cloud.

إشعار

نظرا لأنه تم تعيين عامل Log Analytics (المعروف أيضا باسم MMA) للإيقاف في أغسطس 2024، فإن جميع ميزات Defender for Servers وقدرات الأمان التي تعتمد عليه حاليا، بما في ذلك تلك الموضحة في هذه الصفحة، ستكون متاحة إما من خلال التكامل Microsoft Defender لنقطة النهاية أو الفحص بدون عامل، قبل تاريخ الإيقاف. لمزيد من المعلومات حول المخطط لكل من الميزات التي تعتمد حاليا على عامل Log Analytics، راجع هذا الإعلان.

يقوم Defender for Servers بتعيين علامات لموارد Azure ARC أعلى مثيلات EC2 لإدارة عملية التوفير التلقائي. يجب أن يتم تعيين هذه العلامات بشكل صحيح إلى مواردك حتى يتمكن Defender for Cloud من إدارتها: AccountIdو CloudInstanceIdو وMDFCSecurityConnector.

إدارة وضع الأمان السحابي في Defender

إذا اخترت خطة Microsoft إدارة وضع الأمان السحابي في Defender، فستحتاج إلى:

تعرف على المزيد حول كيفية تمكين إدارة وضع الأمان السحابي في Defender.

توصيل حساب AWS الخاص بك

لتوصيل AWS ب Defender for Cloud باستخدام موصل أصلي:

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. انتقل إلى إعدادات Defender for Cloud>Environment.

  3. حدد إضافة بيئة>الأمازون خدماتAmazon للتصفح.

    لقطة شاشة توضح توصيل حساب AWS باشتراك Azure.

  4. أدخل تفاصيل حساب AWS، بما في ذلك الموقع الذي تخزن فيه مورد الموصل.

    لقطة شاشة تعرض علامة التبويب لإدخال تفاصيل الحساب لحساب AWS.

  5. حدد فاصلا زمنيا للمسح الضوئي بين 1 و24 ساعة.

    يتم تشغيل بعض مجمعات البيانات بفواصل فحص ثابتة ولا تتأثر بتكوينات الفاصل الزمني المخصصة. يعرض الجدول التالي فواصل الفحص الثابتة لكل مجمع بيانات مستبعد:

    اسم مجمع البيانات الفاصل الزمني للمسح الضوئي
    EC2Instance
    ECRImage
    ECRRepository
    RDSDBInstance
    S3Bucket
    علامات تعريف S3Bucket
    S3Region
    EKSCluster
    EKSClusterName
    EKSNodegroup
    EKSNodegroupName
    AutoScalingAutoScalingGroup    		 ساعة
    EcsClusterArn
    EcsService
    EcsServiceArn
    EcsTaskDefinition
    EcsTaskDefinitionArn
    علامات تعريف EcsTask
    AwsPolicyVersion
    إصدار النهج المحلي
    AwsEntitiesForPolicy
    LocalEntitiesForPolicy
    تشفير المستودع
    نهج المستودع
    تكوين S3PublicAccessBlock
    تحويل المستودع
    تكوين دورة حياة S3
    حالة نهج المستودع
    تكوين S3Replication
    S3AccessControlList
    S3BucketLoggingConfig
    تكوين PublicAccessBlock    		 12 ساعة

إشعار

(اختياري) حدد حساب الإدارة لإنشاء موصل بحساب إدارة. ثم يتم إنشاء الموصلات لكل حساب عضو تم اكتشافه ضمن حساب الإدارة المتوفر. يتم أيضا تمكين التوفير التلقائي لجميع الحسابات المإلحاقة حديثا.

(اختياري) استخدم القائمة المنسدلة مناطق AWS لتحديد مناطق AWS معينة ليتم مسحها ضوئيا. يتم تحديد جميع المناطق بشكل افتراضي.

تحديد خطط Defender

في هذا القسم من المعالج، يمكنك تحديد خطط Defender for Cloud التي تريد تمكينها.

  1. حدد التالي: تحديد الخطط.

    علامة التبويب تحديد الخطط هي المكان الذي تختار فيه قدرات Defender for Cloud التي تريد تمكينها لحساب AWS هذا. كل خطة لها متطلباتها الخاصة للأذونات وقد تتحمل رسوما.

    لقطة شاشة تعرض علامة التبويب لتحديد خطط لحساب AWS.

    هام

    لتقديم الحالة الحالية لتوصياتك، يستعلم إدارة وضع الأمان السحابي في Microsoft Defender الخطة عن واجهات برمجة التطبيقات لمورد AWS عدة مرات في اليوم. لا تتحمل استدعاءات API المتوفرة للقراءة فقط أي رسوم، ولكنها مسجلة في CloudTrail إذا قمت بتمكين مسار لأحداث القراءة.

    كما هو موضح في وثائق AWS، لا توجد رسوم إضافية للحفاظ على مسار واحد. إذا كنت تقوم بتصدير البيانات من AWS (على سبيل المثال، إلى نظام SIEM خارجي)، فقد يؤدي هذا الحجم المتزايد من المكالمات أيضا إلى زيادة تكاليف الاستيعاب. في مثل هذه الحالات، نوصي بتصفية المكالمات للقراءة فقط من مستخدم Defender for Cloud أو دور ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. (هذا هو اسم الدور الافتراضي. تأكيد اسم الدور الذي تم تكوينه على حسابك.)

  2. بشكل افتراضي، يتم تعيين خطة الخوادم إلى تشغيل. هذا الإعداد ضروري لتوسيع تغطية Defender for Servers إلى AWS EC2. تأكد من استيفاء متطلبات الشبكة ل Azure Arc.

    اختياريا، حدد Configure لتحرير التكوين كما هو مطلوب.

    إشعار

    تتم إزالة خوادم Azure Arc المعنية لمثيلات EC2 أو أجهزة GCP الظاهرية التي لم تعد موجودة (وخوادم Azure Arc المعنية ذات الحالة Disconnected أو Expired) بعد 7 أيام. تزيل هذه العملية كيانات Azure Arc غير ذات الصلة لضمان عرض خوادم Azure Arc المتعلقة بالمثيلات الموجودة فقط.

  3. بشكل افتراضي، يتم تعيين خطة الحاويات إلى تشغيل. هذا الإعداد ضروري لجعل Defender for Containers يحمي مجموعات AWS EKS الخاصة بك. تأكد من استيفاء متطلبات الشبكة لخطة Defender for Containers.

    إشعار

    يجب تثبيت Kubernetes التي تدعم Azure Arc وملحقات Azure Arc لمستشعر Defender ونهج Azure ل Kubernetes. استخدم توصيات Defender for Cloud المخصصة لنشر الملحقات (وAzure Arc، إذا لزم الأمر)، كما هو موضح في مجموعات خدمة حماية Amazon Elastic Kubernetes.

    اختياريا، حدد Configure لتحرير التكوين كما هو مطلوب. إذا اخترت إيقاف تشغيل هذا التكوين، يتم أيضا تعطيل ميزة الكشف عن التهديدات (مستوى التحكم). تعرف على المزيد حول توفر الميزات.

  4. بشكل افتراضي، يتم تعيين خطة قواعد البيانات إلى تشغيل. هذا الإعداد ضروري لتوسيع تغطية Defender for SQL إلى AWS EC2 وRDS Custom ل SQL Server وقواعد البيانات الارتباطية مفتوحة المصدر على RDS.

    (اختياري) حدد تكوين لتحرير التكوين كما هو مطلوب. نوصي بتركه معينا على التكوين الافتراضي.

  5. حدد تكوين الوصول وحدد ما يلي:

    أ. حدد نوع التوزيع:

    • الوصول الافتراضي: يسمح ل Defender for Cloud بمسح مواردك ضوئيا وتضمين القدرات المستقبلية تلقائيا.
    • الوصول الأقل امتيازا: يمنح Defender for Cloud حق الوصول فقط إلى الأذونات الحالية المطلوبة للخطط المحددة. إذا حددت الأذونات الأقل امتيازا، فستتلقى إعلامات حول أي أدوار وأذونات جديدة مطلوبة للحصول على الوظائف الكاملة لصحة الموصل.

    ب. حدد أسلوب توزيع: AWS CloudFormation أو Terraform.

    لقطة شاشة تعرض خيارات النشر وإرشادات تكوين الوصول.

    إشعار

    إذا حددت حساب الإدارة لإنشاء موصل بحساب إدارة، فلن تكون علامة التبويب التي يجب إلحاقها ب Terraform مرئية في واجهة المستخدم، ولكن لا يزال بإمكانك الإلحاق باستخدام Terraform، على غرار ما يتم تغطيته في إلحاق بيئة AWS/GCP ب Microsoft Defender for Cloud باستخدام Terraform - Microsoft Community Hub.

  6. اتبع الإرشادات التي تظهر على الشاشة لأسلوب النشر المحدد لإكمال التبعيات المطلوبة على AWS. إذا كنت تقوم بإلحاق حساب إدارة، فستحتاج إلى تشغيل قالب CloudFormation ك Stack و StackSet. يتم إنشاء الموصلات لحسابات الأعضاء حتى 24 ساعة بعد الإلحاق.

  7. حدد التالي:مراجعة وإنشاء.

  8. حدد إنشاء.

يبدأ Defender for Cloud على الفور في مسح موارد AWS. تظهر توصيات الأمان في غضون ساعات قليلة.

نشر قالب CloudFormation إلى حساب AWS الخاص بك

كجزء من توصيل حساب AWS ب Microsoft Defender for Cloud، يمكنك نشر قالب CloudFormation إلى حساب AWS. ينشئ هذا القالب كافة الموارد المطلوبة للاتصال.

انشر قالب CloudFormation باستخدام Stack (أو StackSet إذا كان لديك حساب إدارة). عند نشر القالب، يقدم معالج إنشاء Stack الخيارات التالية.

لقطة شاشة تعرض معالج إنشاء Stack مع خيارات لمصادر القالب.

  • Amazon S3 URL: قم بتحميل قالب CloudFormation الذي تم تنزيله إلى مستودع S3 الخاص بك باستخدام تكوينات الأمان الخاصة بك. أدخل عنوان URL إلى مستودع S3 في معالج نشر AWS.

  • تحميل ملف قالب: ينشئ AWS تلقائيا مستودع S3 يتم حفظ قالب CloudFormation فيه. يحتوي التنفيذ التلقائي لمستودع S3 على تكوين خاطئ للأمان يؤدي إلى ظهور التوصية S3 buckets should require requests to use Secure Socket Layer . يمكنك معالجة هذه التوصية من خلال تطبيق النهج التالي:

    { 
  "Id": "ExamplePolicy", 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "AllowSSLRequestsOnly", 
      "Action": "s3:*", 
      "Effect": "Deny", 
      "Resource": [ 
        "<S3_Bucket ARN>", 
        "<S3_Bucket ARN>/*" 
      ], 
      "Condition": { 
        "Bool": { 
          "aws:SecureTransport": "false" 
        } 
      }, 
      "Principal": "*" 
    } 
  ] 
} 

    إشعار

    عند تشغيل CloudFormation StackSets عند إعداد حساب إدارة AWS، قد تواجه رسالة الخطأ التالية: You must enable organizations access to operate a service managed stack set

    يشير هذا الخطأ إلى أنك قمت بتمكين الوصول الموثوق به لمنظمات AWS.

    لمعالجة رسالة الخطأ هذه، تحتوي صفحة CloudFormation StackSets على مطالبة بزر يمكنك تحديده لتمكين الوصول الموثوق به. بعد تمكين الوصول الموثوق به، يجب تشغيل CloudFormation Stack مرة أخرى.

مراقبة موارد AWS

تعرض صفحة توصيات الأمان في Defender for Cloud موارد AWS الخاصة بك. يمكنك استخدام عامل تصفية البيئات للاستمتاع بقدرات متعددة السحابة في Defender for Cloud.

لعرض جميع التوصيات النشطة لمواردك حسب نوع المورد، استخدم صفحة مخزون الأصول في Defender for Cloud وقم بالتصفية إلى نوع مورد AWS الذي تهتم به.

لقطة شاشة لخيارات AWS في عامل تصفية نوع المورد لصفحة مخزون الأصول.

التكامل مع Microsoft Defender XDR

عند تمكين Defender for Cloud، يتم دمج تنبيهات الأمان الخاصة به تلقائيا في مدخل Microsoft Defender. ولا يلزم اتخاذ أي خطوات أخرى.

التكامل بين Microsoft Defender for Cloud وMicrosoft Defender XDR يجلب بيئات السحابة الخاصة بك إلى Microsoft Defender XDR. باستخدام تنبيهات Defender for Cloud والارتباطات السحابية المدمجة في Microsoft Defender XDR، يمكن لفرق SOC الآن الوصول إلى جميع معلومات الأمان من واجهة واحدة.

تعرف على المزيد حول تنبيهات Defender for Cloud في Microsoft Defender XDR.

معرفة المزيد

اطلع على المدونات التالية:

تنظيف الموارد

ليست هناك حاجة لتنظيف أي موارد لهذه المقالة.

الخطوات التالية

يعد توصيل حساب AWS جزءا من تجربة السحابة المتعددة المتوفرة في Microsoft Defender for Cloud: