Zabezpečení a identita s více cloudy pomocí Azure a Amazon Web Services (AWS)
Mnoho organizací se snaží najít ve skutečnosti vícecloudovou strategii, i když to nebyl jejich záměrný strategický záměr. V prostředí s více cloudy je důležité zajistit konzistentní prostředí zabezpečení a identit, aby se zabránilo většímu tření pro vývojáře, obchodní iniciativy a zvýšené organizační riziko z kybernetických útoků, které využívají mezery v oblasti zabezpečení.
Řízení konzistence zabezpečení a identit napříč cloudy by mělo zahrnovat:
- Integrace vícecloudové identity
- Silné ověřování a explicitní ověřování důvěryhodnosti
- Cloud Platform Security (multicloud)
- Microsoft Defender for Cloud
- Správa identit oprávnění (Azure)
- Konzistentní komplexní správa identit
Integrace vícecloudové identity
Zákazníci, kteří používají cloudové platformy Azure i AWS, využívají výhod konsolidace služeb identit mezi těmito dvěma cloudy pomocí microsoft Entra ID a služeb jednotného přihlašování (SSO). Tento model umožňuje konzistentně přistupovat ke službám v obou cloudech a řídit tak konsolidovanou rovinu identity.
Tento přístup umožňuje povolit bohaté řízení přístupu na základě role v Microsoft Entra ID v rámci služeb správy identit a přístupu (IAM) v AWS pomocí pravidel pro přidružení user.userprincipalname a user.assignrole atributů z Microsoft Entra ID k oprávněním IAM. Tento přístup snižuje počet jedinečných identit, které uživatelé a správci musí udržovat v obou cloudech, včetně konsolidace identity na návrh účtu, který AWS využívá. Řešení AWS IAM umožňuje a konkrétně identifikuje ID Microsoft Entra jako federační a ověřovací zdroj pro své zákazníky.
Kompletní návod k této integraci najdete v kurzu: Integrace jednotného přihlašování (SSO) Microsoftu Entra s Amazon Web Services (AWS).
Silné ověřování a explicitní ověřování důvěryhodnosti
Vzhledem k tomu, že mnoho zákazníků nadále podporuje model hybridní identity pro služby Active Directory, je stále důležitější, aby týmy pro přípravu zabezpečení implementovaly silná řešení ověřování a blokovaly starší metody ověřování spojené především s místními a staršími technologiemi Microsoftu.
Kombinace vícefaktorového ověřování a zásad podmíněného přístupu umožňuje rozšířené zabezpečení pro běžné scénáře ověřování pro koncové uživatele ve vaší organizaci. I když vícefaktorové ověřování poskytuje vyšší úroveň zabezpečení pro potvrzení ověřování, je možné použít další ovládací prvky pomocí řízení podmíněného přístupu k blokování starších verzí ověřování v cloudových prostředích Azure i AWS. Silné ověřování pomocí pouze moderních klientů ověřování je možné pouze s kombinací vícefaktorového ověřování a zásad podmíněného přístupu.
Cloud Platform Security (multicloud)
Jakmile se ve vašem multicloudovém prostředí vytvoří společná identita, můžete pomocí služby Microsoft Defender for Cloud Apps (Cloud Platform Security) služby Microsoft Defender for Cloud Apps tyto služby zjišťovat, monitorovat, vyhodnocovat a chránit. Pomocí řídicího panelu Cloud Discovery můžou pracovníci provozního oddělení zabezpečení zkontrolovat aplikace a prostředky používané na cloudových platformách AWS a Azure. Po kontrole a schválení služeb pro použití je pak možné tyto služby spravovat jako podnikové aplikace v Microsoft Entra ID, aby se povolil režim SAML, založený na heslech a propojeném jednotném přihlašování pro usnadnění přístupu uživatelů.
CPS také umožňuje vyhodnotit cloudové platformy připojené k chybné konfiguraci a dodržování předpisů pomocí doporučených kontrolních mechanismů zabezpečení a konfigurace od dodavatele. Tento návrh umožňuje organizacím udržovat jednotný přehled o všech službách cloudové platformy a jejich stavu dodržování předpisů.
CPS také poskytuje zásady řízení přístupu a relací, které brání a chrání vaše prostředí před rizikovými koncovými body nebo uživateli, když se do těchto platforem zavádějí exfiltrace dat nebo škodlivé soubory.
Microsoft Defender for Cloud
Microsoft Defender for Cloud poskytuje jednotnou správu zabezpečení a ochranu před hrozbami napříč hybridními a multicloudovými úlohami, včetně úloh v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP). Defender for Cloud pomáhá vyhledávat a opravovat ohrožení zabezpečení, používat řízení přístupu a aplikací k blokování škodlivých aktivit, zjišťování hrozeb pomocí analýz a inteligentních funkcí a rychlé reakce při útoku.
Pokud chcete chránit prostředky založené na AWS v programu Microsoft Defender for Cloud, můžete připojit účet s prostředím klasických cloudových konektorů nebo stránkou nastavení prostředí (ve verzi Preview), která se doporučuje.
Privileged Identity Management (Azure)
Pokud chcete omezit a řídit přístup k nejvyšším privilegovaným účtům v Microsoft Entra ID, můžete povolit Privileged Identity Management (PIM) a poskytnout tak přístup ke službám Azure za běhu. Po nasazení se piM dá použít k řízení a omezení přístupu pomocí modelu přiřazení pro role, odstranění trvalého přístupu pro tyto privilegované účty a k dalšímu zjišťování a monitorování uživatelů s těmito typy účtů.
V kombinaci s Microsoft Sentinelem je možné vytvořit sešity a playbooky pro monitorování a vyvolání výstrah pracovníkům centra zabezpečení v případě, že dojde k pozdějšímu přesunu účtů, které byly ohroženy.
Konzistentní komplexní správa identit
Zajistěte, aby všechny procesy zahrnovaly kompletní přehled o všech cloudech i místních systémech a o tom, že pracovníci zabezpečení a identit jsou na těchto procesech vyškoleni.
Použití jedné identity napříč Microsoft Entra ID, účty AWS a místní služby umožňují tuto komplexní strategii a umožňuje větší zabezpečení a ochranu účtů pro privilegované a neprivilegované účty. Zákazníci, kteří se v současné době snaží snížit zatížení údržby více identit ve své strategii multicloudu, přijmou ID Microsoft Entra, aby poskytovali konzistentní a silnou kontrolu, auditování a detekci anomálií a zneužití identit ve svém prostředí.
Trvalý růst nových funkcí v ekosystému Microsoft Entra vám pomůže udržet krok před hrozbami pro vaše prostředí v důsledku používání identit jako společné řídicí roviny ve vašich multicloudových prostředích.
Další kroky
- Microsoft Entra B2B: Umožňuje přístup k podnikovým aplikacím z identit spravovaných partnerem.
- Azure Active Directory B2C: Služba nabízející podporu pro jednotné přihlašování a správu uživatelů pro aplikace přístupné spotřebitelům.
- Microsoft Entra Domain Services: hostovaná služba řadiče domény, která umožňuje připojení k doméně kompatibilní se službou Active Directory a funkce správy uživatelů.
- Začínáme se zabezpečením Microsoft Azure
- Osvědčené postupy správy identit a zabezpečení řízení přístupu v Azure
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro