Keamanan dan identitas multicloud dengan Azure dan Amazon Web Services (AWS)
Banyak organisasi menemukan diri mereka dengan strategi multicloud de facto, bahkan jika itu bukan niat strategis yang disengaja. Dalam lingkungan multicloud, sangat penting untuk memastikan pengalaman keamanan dan identitas yang konsisten untuk menghindari peningkatan gesekan bagi pengembang, inisiatif bisnis, dan peningkatan risiko organisasi dari serangan cyber yang memanfaatkan kesenjangan keamanan.
Mendorong keamanan dan konsistensi identitas di seluruh awan harus mencakup:
- Integrasi identitas multicloud
- Autentikasi yang kuat dan validasi kepercayaan eksplisit
- Cloud Platform Security (multicloud)
- Microsoft Defender untuk Cloud
- Manajemen Identitas Istimewa (Azure)
- Manajemen identitas end-to-end yang konsisten
Integrasi identitas multicloud
Pelanggan yang menggunakan platform cloud Azure dan AWS mendapat manfaat dari mengonsolidasikan layanan identitas antara kedua cloud ini menggunakan layanan ID Microsoft Entra dan Akses Menyeluruh (SSO). Model ini memungkinkan bidang identitas konsolidasi di mana akses ke layanan di kedua cloud dapat diakses dan diatur secara konsisten.
Pendekatan ini memungkinkan kontrol akses berbasis peran yang kaya di ID Microsoft Entra diaktifkan di seluruh layanan Identity & Access Management (IAM) di AWS menggunakan aturan untuk mengaitkan user.userprincipalname atribut dan user.assignrole dari ID Microsoft Entra ke dalam izin IAM. Pendekatan ini mengurangi jumlah identitas unik yang harus dipertahankan pengguna dan administrator di kedua cloud termasuk konsolidasi identitas per rancangan akun yang digunakan AWS. Solusi AWS IAM memungkinkan dan secara khusus mengidentifikasi ID Microsoft Entra sebagai sumber federasi dan autentikasi untuk pelanggan mereka.
Panduan lengkap integrasi ini dapat ditemukan dalam Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan Amazon Web Services (AWS).
Autentikasi yang kuat dan validasi kepercayaan eksplisit
Karena banyak pelanggan terus mendukung model identitas hibrida untuk layanan Active Directory, semakin penting bagi tim teknik keamanan untuk menerapkan solusi autentikasi yang kuat dan memblokir metode autentikasi lama yang terkait terutama dengan teknologi Microsoft lokal dan lama.
Kombinasi autentikasi multifaktor dan kebijakan akses bersyariah memungkinkan keamanan yang ditingkatkan untuk skenario autentikasi umum untuk pengguna akhir di organisasi Anda. Meskipun autentikasi multifaktor itu sendiri memberikan peningkatan tingkat keamanan untuk mengonfirmasi autentikasi, kontrol tambahan dapat diterapkan menggunakan kontrol akses bersyarkat untuk memblokir autentikasi warisan ke lingkungan cloud Azure dan AWS. Autentikasi yang kuat hanya menggunakan klien autentikasi modern hanya dimungkinkan dengan kombinasi autentikasi multifaktor dan kebijakan akses bersyarah.
Cloud Platform Security (multicloud)
Setelah identitas umum ditetapkan di lingkungan multicloud Anda, layanan Cloud Platform Security (CPS) Microsoft Defender untuk Cloud Apps dapat digunakan untuk menemukan, memantau, menilai, dan melindungi layanan tersebut. Menggunakan dasbor Cloud Discovery, personel operasi keamanan dapat meninjau aplikasi dan sumber daya yang sedang digunakan di platform AWS dan Azure cloud. Setelah layanan ditinjau dan diberi sanksi untuk digunakan, layanan kemudian dapat dikelola sebagai aplikasi perusahaan di MICROSOFT Entra ID untuk mengaktifkan mode SAML, berbasis kata sandi, dan Akses Menyeluruh tertaut untuk kenyamanan pengguna.
CPS juga menyediakan kemampuan untuk menilai platform cloud yang terhubung untuk kesalahan konfigurasi dan kepatuhan menggunakan kontrol keamanan dan konfigurasi khusus vendor yang direkomendasikan. Desain ini memungkinkan organisasi untuk mempertahankan pandangan konsolidasi tunggal dari semua layanan platform cloud dan status kepatuhan mereka.
CPS juga menyediakan kebijakan kontrol akses dan sesi untuk mencegah dan melindungi lingkungan Anda dari titik akhir atau pengguna berisiko ketika eksfiltrasi data atau file berbahaya dimasukkan ke dalam platform tersebut.
Microsoft Defender untuk Cloud
Microsoft Defender untuk Cloud menyediakan manajemen keamanan terpadu dan perlindungan ancaman di seluruh beban kerja hibrid dan multicloud Anda, termasuk beban kerja di Azure, Amazon Web Services (AWS), dan Google Cloud Platform (GCP). Defender for Cloud membantu Anda menemukan dan memperbaiki kerentanan keamanan, menerapkan akses dan kontrol aplikasi untuk memblokir aktivitas berbahaya, mendeteksi ancaman menggunakan analitik dan kecerdasan, dan merespons dengan cepat saat diserang.
Untuk melindungi sumber daya berbasis AWS di Microsoft Defender untuk Cloud, Anda dapat menghubungkan akun dengan pengalaman konektor cloud Klasik atau halaman pengaturan Lingkungan (dalam pratinjau), yang direkomendasikan.
Peran Privileged Identity Management (Azure)
Untuk membatasi dan mengontrol akses untuk akun istimewa tertinggi Anda di MICROSOFT Entra ID, Privileged Identity Management (PIM) dapat diaktifkan untuk menyediakan akses just-in-time ke layanan Azure. Setelah diterapkan, PIM dapat digunakan untuk mengontrol dan membatasi akses menggunakan model penugasan untuk peran, menghilangkan akses persisten untuk akun istimewa ini, dan memberikan penemuan dan pemantauan tambahan terhadap pengguna dengan jenis akun ini.
Ketika dikombinasikan dengan Microsoft Sentinel, buku kerja dan buku pedoman dapat dibuat untuk memantau dan meningkatkan peringatan kepada personel pusat operasi keamanan Anda ketika ada pergerakan lateral akun yang telah disusupi.
Manajemen identitas end-to-end yang konsisten
Pastikan bahwa semua proses mencakup pandangan end-to-end dari semua cloud serta sistem lokal dan bahwa personel keamanan dan identitas dilatih pada proses ini.
Menggunakan satu identitas di seluruh ID Microsoft Entra, Akun AWS, dan layanan lokal memungkinkan strategi end-to-end ini dan memungkinkan keamanan dan perlindungan akun yang lebih besar untuk akun istimewa dan non-hak istimewa. Pelanggan yang saat ini ingin mengurangi beban mempertahankan beberapa identitas dalam strategi multicloud mereka mengadopsi ID Microsoft Entra untuk memberikan kontrol, audit, dan deteksi anomali dan penyalahgunaan identitas yang konsisten dan kuat di lingkungan mereka.
Pertumbuhan berkelanjutan kemampuan baru di seluruh ekosistem Microsoft Entra membantu Anda tetap terdepan dalam ancaman terhadap lingkungan Anda sebagai akibat dari menggunakan identitas sebagai sarana kontrol umum di lingkungan multicloud Anda.
Langkah berikutnya
- Microsoft Entra B2B: memungkinkan akses ke aplikasi perusahaan Anda dari identitas yang dikelola mitra.
- Azure Active Directory B2C: layanan yang menawarkan dukungan untuk single sign-on dan manajemen pengguna untuk aplikasi yang menghadap konsumen.
- Microsoft Entra Domain Services: layanan pengontrol domain yang dihosting, memungkinkan gabungan domain yang kompatibel dengan Direktori Aktif dan fungsionalitas manajemen pengguna.
- Memulai dengan keamanan Microsoft Azure
- Praktik terbaik Azure Identity Management dan keamanan kontrol akses
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk