Panduan ini menjelaskan bagaimana solusi keamanan Microsoft dapat membantu mengamankan dan melindungi akses dan lingkungan akun Amazon Web Services (AWS).
Diagram ini merangkum bagaimana penginstalan AWS dapat memperoleh manfaat dari komponen keamanan microsoft utama:
Unduh file PowerPoint dari diagram ini.
Microsoft Entra
Manajemen identitas dan akses terpusat
MICROSOFT Entra ID adalah solusi manajemen identitas dan akses terpusat berbasis cloud yang komprehensif yang dapat membantu mengamankan dan melindungi akun dan lingkungan AWS.
Microsoft Entra ID menyediakan autentikasi SSO yang kuat ke hampir semua aplikasi atau platform yang mengikuti standar autentikasi web umum, termasuk AWS. Akun AWS yang mendukung beban kerja penting dan informasi yang sangat sensitif membutuhkan perlindungan identitas dan kontrol akses yang kuat. Manajemen identitas AWS ditingkatkan saat Anda menggabungkannya dengan ID Microsoft Entra.
Organisasi AWS yang menggunakan ID Microsoft Entra untuk Microsoft 365 atau identitas cloud hibrid dan perlindungan akses dapat dengan cepat dan mudah menyebarkan ID Microsoft Entra untuk akun AWS, sering kali tanpa menimbulkan biaya tambahan. MICROSOFT Entra ID menyediakan beberapa kemampuan untuk integrasi langsung dengan AWS:
Integrasi dengan AWS IAM Identity Center untuk keamanan yang ditingkatkan, pengalaman pengguna yang ditingkatkan, kontrol akses terpusat, dan SSO di seluruh solusi autentikasi warisan, tradisional, dan modern.
Autentikasi multifaktor Microsoft Entra, termasuk integrasi dengan beberapa solusi pihak ketiga dari mitra Microsoft Intelligent Security Association .
Fitur Akses Bersyarat yang kuat untuk autentikasi yang kuat dan tata kelola yang ketat. MICROSOFT Entra ID menggunakan kebijakan Akses Bersyar dan penilaian berbasis risiko untuk mengautentikasi dan mengotorisasi akses pengguna ke AWS Management Console dan sumber daya AWS.
Meningkatkan perlindungan terhadap serangan berbasis identitas melalui deteksi real time dan remediasi proses masuk berisiko dan perilaku pengguna yang tidak biasa.
Privileged Identity Management (PIM) untuk mengaktifkan provisi just-in-time sumber daya tertentu. Anda dapat memperluas PIM ke izin yang didelegasikan dengan mengontrol akses ke grup kustom, seperti grup yang Anda buat untuk akses ke peran AWS.
Untuk informasi selengkapnya dan instruksi terperinci, lihat Manajemen identitas dan akses Microsoft Entra untuk AWS.
Manajemen Izin Microsoft Entra
Manajemen Izin adalah solusi pengelolaan pemberian hak infrastruktur cloud yang memberikan visibilitas komprehensif ke dalam dan kontrol atas izin pada identitas, tindakan, dan sumber daya di seluruh infrastruktur multicloud di Azure, AWS, dan Google Cloud Platform. Anda dapat menggunakan Manajemen Izin untuk:
Temukan jumlah izin yang tidak digunakan atau berlebihan di semua akun AWS untuk mengidentifikasi risiko melalui tampilan identitas, izin, dan sumber daya multidimensi.
Remediasi dan izin ukuran yang tepat melalui penegakan prinsip hak istimewa paling sedikit di semua akun AWS.
Pantau dan peringatkan aktivitas anomali untuk membantu mencegah pelanggaran data yang disebabkan oleh penyalahgunaan dan eksploitasi izin yang berbahaya.
Untuk informasi selengkapnya dan instruksi onboarding terperinci, lihat Onboard akun Amazon Web Services (AWS).
Microsoft Defender for Cloud Apps
Ketika beberapa pengguna atau peran membuat perubahan administratif, konfigurasi menjauh dari arsitektur dan standar keamanan yang dimaksudkan dapat terjadi. Standar keamanan juga dapat berubah dari waktu ke waktu. Personel keamanan harus terus-menerus dan konsisten mendeteksi risiko baru, mengevaluasi opsi mitigasi, dan memperbarui arsitektur keamanan untuk membantu mencegah potensi pelanggaran. Manajemen keamanan di berbagai lingkungan cloud publik dan infrastruktur privat dapat menjadi berat.
Defender untuk Cloud Apps memberikan perlindungan yang ditingkatkan untuk aplikasi software as a service (SaaS). Ini menyediakan fitur berikut untuk membantu Anda memantau dan melindungi data aplikasi cloud Anda:
Fungsionalitas Broker Keamanan Akses Cloud Dasar, termasuk penemuan IT bayangan, visibilitas ke dalam penggunaan aplikasi cloud, perlindungan yang ditingkatkan terhadap ancaman berbasis aplikasi dari mana saja di cloud, dan penilaian perlindungan dan kepatuhan informasi.
Fitur Manajemen Postur Keamanan SaaS yang memungkinkan tim keamanan meningkatkan postur keamanan organisasi.
Perlindungan ancaman tingkat lanjut, sebagai bagian dari solusi deteksi dan respons yang diperluas Microsoft, yang memungkinkan korelasi sinyal dan visibilitas yang kuat di seluruh rantai serangan cyber penuh serangan tingkat lanjut.
Perlindungan aplikasi ke aplikasi, yang memperluas skenario ancaman inti ke aplikasi berkemampuan OAuth yang memiliki izin dan hak istimewa ke data dan sumber daya penting.
Menghubungkan AWS ke aplikasi Defender untuk Cloud membantu Anda mengamankan aset dan mendeteksi potensi ancaman dengan memantau aktivitas administratif dan masuk. Anda mendapatkan pemberitahuan tentang kemungkinan serangan brute force, penggunaan berbahaya akun pengguna istimewa, penghapusan VM yang tidak biasa, dan wadah penyimpanan yang terekspos secara publik. Defender untuk Cloud Apps membantu melindungi lingkungan AWS dari penyalahgunaan sumber daya cloud, akun yang disusupi, dan ancaman orang dalam, kebocoran data, dan kesalahan konfigurasi sumber daya dan kontrol akses yang tidak mencukup. Kemampuan aplikasi Defender untuk Cloud berikut ini sangat berguna saat Anda bekerja dengan lingkungan AWS.
Mendeteksi ancaman cloud, akun yang disusupi, orang dalam berbahaya, dan ransomware. Defender untuk Cloud Kebijakan deteksi anomali Aplikasi dipicu ketika ada aktivitas yang tidak biasa yang dilakukan oleh pengguna di AWS. Defender untuk Cloud Apps terus memantau aktivitas pengguna Anda dan menggunakan UEBA dan pembelajaran mesin untuk mempelajari dan memahami perilaku khas pengguna Anda dan memicu pemberitahuan tentang penyimpangan apa pun.
Batasi paparan data bersama dan terlaksakan kebijakan kolaborasi. Mengotomatiskan kontrol tata kelola melalui tindakan seperti memberi tahu pengguna tentang pemberitahuan, memerlukan autentikasi ulang atau menangguhkan pengguna, membuat wadah S3 privat, atau menghapus kolaborator dari wadah S3.
Aktivitas audit. Hubungkan audit AWS ke aplikasi Defender untuk Cloud untuk mendapatkan visibilitas ke dalam aktivitas pengguna, admin, dan masuk.
Dapatkan perlindungan real time yang ditingkatkan untuk AWS. Gunakan kontrol aplikasi Defender untuk Cloud Apps Conditional Access untuk memblokir dan membantu melindungi unduhan data AWS sensitif oleh pengguna berisiko.
Untuk informasi selengkapnya tentang cara menghubungkan lingkungan AWS ke Defender untuk Cloud Apps, lihat Melindungi lingkungan Amazon Web Services Anda.
Microsoft Defender for Cloud
Defender untuk Cloud adalah Platform Perlindungan Aplikasi Cloud-Native yang terdiri dari langkah dan praktik keamanan yang dirancang untuk melindungi aplikasi berbasis cloud dari berbagai ancaman dan kerentanan cyber. Defender untuk Cloud menyediakan kemampuan berikut:
Solusi operasi keamanan pengembangan yang menyaingkan manajemen keamanan pada tingkat kode di seluruh lingkungan multicloud dan beberapa alur
Solusi manajemen postur keamanan cloud (CSPM) yang menampilkan tindakan yang dapat Anda ambil untuk membantu mencegah pelanggaran
Platform perlindungan beban kerja cloud (CWPP) yang menyediakan perlindungan untuk server, kontainer, penyimpanan, database, dan beban kerja lainnya
Defender untuk Cloud dukungan AWS asli memberikan beberapa manfaat:
CSPM dasar untuk sumber daya AWS
Defender CSPM untuk sumber daya AWS
Dukungan CWPP untuk kluster Amazon EKS
Dukungan CWPP untuk instans AWS EC2
Dukungan CWPP untuk server SQL yang berjalan di AWS EC2 dan Kustom RDS untuk SQL Server
CPSM dasar dan Defender CSPM keduanya benar-benar tanpa agen. CSPM dasar memberikan rekomendasi tentang cara terbaik mengeraskan sumber daya AWS Anda dan memulihkan kesalahan konfigurasi. Microsoft Defender untuk Cloud menawarkan kemampuan CSPM multicloud dasar secara gratis.
Defender CSPM menyediakan kemampuan manajemen postur tingkat lanjut seperti analisis jalur serangan, penjelajah keamanan cloud, perburuan ancaman tingkat lanjut, dan kemampuan tata kelola keamanan. Ini juga menyediakan alat untuk menilai kepatuhan keamanan Anda dengan berbagai tolok ukur, standar peraturan, dan kebijakan keamanan kustom apa pun yang diperlukan di organisasi, industri, atau wilayah Anda.
Dukungan CWPP untuk instans AWS EC2 menyediakan kemampuan seperti provisi otomatis prasyarat pada komputer yang ada dan baru, penilaian kerentanan, lisensi terintegrasi untuk Microsoft Defender untuk Titik Akhir, pemantauan integritas file, dan banyak lagi.
Dukungan CWPP untuk kluster Amazon EKS menyediakan kemampuan seperti penemuan kluster yang tidak terlindungi, deteksi ancaman tingkat lanjut untuk sarana kontrol dan tingkat beban kerja, rekomendasi sarana data Kubernetes (melalui ekstensi Azure Policy), dan banyak lagi.
Dukungan CWPP untuk server SQL yang berjalan di AWS EC2 dan AWS RDS Custom for SQL Server menyediakan kemampuan seperti perlindungan ancaman tingkat lanjut, pemindaian penilaian kerentanan, dan banyak lagi.
Standar keamanan memberikan dukungan untuk menilai sumber daya dan beban kerja di AWS terhadap standar kepatuhan peraturan seperti standar Center for Internet Security (CIS) dan Industri Kartu Pembayaran (PCI), dan untuk standar Praktik Terbaik Keamanan Dasar AWS.
Untuk informasi selengkapnya tentang melindungi beban kerja di AWS, lihat Menyambungkan akun AWS Anda dan Menetapkan standar kepatuhan peraturan di Microsoft Defender untuk Cloud.
Microsoft Sentinel
Microsoft Sentinel adalah sistem manajemen informasi dan peristiwa keamanan cloud-native (SIEM) yang dapat diskalakan yang menyediakan solusi cerdas dan komprehensif untuk SIEM dan orkestrasi keamanan, otomatisasi, dan respons. Microsoft Sentinel menyediakan deteksi ancaman cyber, investigasi, respons, dan perburuan proaktif. Ini memberi Anda pandangan mata burung di seluruh perusahaan Anda.
Anda dapat menggunakan konektor AWS untuk menarik log layanan AWS ke Microsoft Sentinel. Konektor ini berfungsi dengan memberikan akses Microsoft Sentinel ke log sumber daya AWS Anda. Menyiapkan konektor membangun hubungan kepercayaan antara AWS dan Microsoft Sentinel. Anda membuat hubungan ini di AWS dengan membuat peran yang memberikan izin kepada Microsoft Sentinel untuk mengakses log AWS Anda.
Konektor dapat menyerap log dari layanan AWS berikut dengan menariknya dari wadah S3:
| Layanan | Sumber data |
|---|---|
| Amazon Virtual Private Cloud (VPC) | Log Alur VPC |
| Amazon GuardDuty | Temuan GuardDuty |
| AWS CloudTrail | Peristiwa manajemen dan data |
| AWS CloudWatch | Log CloudWatch |
Untuk informasi selengkapnya tentang cara menginstal dan mengonfigurasi konektor AWS di Microsoft Sentinel, lihat Menyambungkan Microsoft Sentinel ke Amazon Web Services untuk menyerap data log layanan AWS.
Rekomendasi
Gunakan solusi keamanan Microsoft dan rekomendasi keamanan AWS dasar untuk melindungi akun AWS.
Keamanan akun AWS dasar
Untuk informasi tentang kebersihan keamanan dasar untuk akun dan sumber daya AWS, tinjau panduan keamanan AWS di Praktik terbaik untuk mengamankan akun dan sumber daya AWS.
Kurangi risiko mengunggah dan mengunduh malware dan konten berbahaya lainnya dengan secara aktif memeriksa semua transfer data melalui AWS Management Console. Konten yang Anda unggah atau unduh langsung ke sumber daya dalam platform AWS, seperti server web atau database, mungkin memerlukan perlindungan tambahan.
Berikan keamanan untuk kunci akses dengan memutar kunci secara berkala. Hindari menyematkannya dalam kode. Gunakan peran IAM alih-alih kunci akses jangka panjang sedapat mungkin.
Gunakan grup keamanan dan ACL jaringan untuk mengontrol lalu lintas masuk dan keluar ke sumber daya Anda. Terapkan VPC untuk mengisolasi sumber daya.
Enkripsi data sensitif saat tidak aktif dan saat transit dengan menggunakan AWS Key Management Services.
Lindungi perangkat yang digunakan administrator dan pengembang untuk mengakses AWS Management Console.
Kontributor
Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.
Penulis utama:
- Lavanya Murthy | Arsitek Solusi Cloud Utama
Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.
Langkah berikutnya
- Memantau dan melindungi aktivitas administratif dan masuk AWS
- Melindungi beban kerja di AWS
- Sambungkan Microsoft Sentinel ke Amazon Web Services untuk mengonsumsi data log layanan AWS