Beveiliging en identiteit met meerdere clouds met Azure en Amazon Web Services (AWS)
Veel organisaties vinden zichzelf met een feitelijke multicloudstrategie, zelfs als dat niet hun opzettelijke strategische intentie was. In een omgeving met meerdere clouds is het essentieel om consistente beveiligings- en identiteitservaringen te garanderen om grotere wrijving te voorkomen voor ontwikkelaars, bedrijfsinitiatieven en meer organisatierisico's door cyberaanvallen die gebruikmaken van beveiligingsproblemen.
Het stimuleren van de consistentie van beveiliging en identiteit in clouds moet het volgende omvatten:
- Integratie van identiteiten met meerdere clouds
- Sterke verificatie en expliciete vertrouwensvalidatie
- Cloud Platform Security (multicloud)
- Microsoft Defender for Cloud
- Privilege Identity Management (Azure)
- Consistent end-to-end identiteitsbeheer
Integratie van identiteiten met meerdere clouds
Klanten die zowel Azure- als AWS-cloudplatforms gebruiken, profiteren van het consolideren van identiteitsservices tussen deze twee clouds met behulp van Microsoft Entra ID - en SSO-services (Eenmalige aanmelding). Met dit model is een geconsolideerd identiteitsvlak mogelijk waarmee toegang tot services in beide clouds consistent kan worden geopend en beheerd.
Met deze aanpak kunnen de uitgebreide op rollen gebaseerde toegangsbeheer in Microsoft Entra ID worden ingeschakeld voor de IAM-services (Identity and Access Management) in AWS met behulp van regels om de user.userprincipalname
en user.assignrole
kenmerken van Microsoft Entra ID te koppelen aan IAM-machtigingen. Deze aanpak vermindert het aantal unieke identiteiten dat gebruikers en beheerders nodig hebben om in beide clouds te onderhouden, inclusief een consolidatie van de identiteit per accountontwerp dat AWS gebruikt. Met de AWS IAM-oplossing kunnen Microsoft Entra-id's specifiek worden geïdentificeerd als federatie- en verificatiebron voor hun klanten.
Een volledig overzicht van deze integratie vindt u in de zelfstudie: Integratie van eenmalige aanmelding (SSO) van Microsoft Entra met Amazon Web Services (AWS).
Sterke verificatie en expliciete vertrouwensvalidatie
Omdat veel klanten een hybride identiteitsmodel blijven ondersteunen voor Active Directory-services, is het steeds belangrijker voor technische beveiligingsteams om sterke verificatieoplossingen te implementeren en verouderde verificatiemethoden te blokkeren die voornamelijk zijn gekoppeld aan on-premises en verouderde Microsoft-technologieën.
Een combinatie van meervoudige verificatie en beleid voor voorwaardelijke toegang maakt verbeterde beveiliging mogelijk voor algemene verificatiescenario's voor eindgebruikers in uw organisatie. Hoewel meervoudige verificatie zelf een hoger beveiligingsniveau biedt om verificaties te bevestigen, kunnen aanvullende besturingselementen worden toegepast met behulp van besturingselementen voor voorwaardelijke toegang om verouderde verificatie te blokkeren voor zowel Azure- als AWS-cloudomgevingen. Sterke verificatie met alleen moderne verificatieclients is alleen mogelijk met de combinatie van meervoudige verificatie en beleid voor voorwaardelijke toegang.
Cloud Platform Security (multicloud)
Zodra er een gemeenschappelijke identiteit is ingesteld in uw omgeving met meerdere clouds, kan de CPS-service (Cloud Platform Security) van Microsoft Defender voor Cloud-apps worden gebruikt voor het detecteren, bewaken, evalueren en beveiligen van deze services. Met behulp van het Cloud Discovery-dashboard kunnen beveiligingsbewerkingen de apps en resources bekijken die worden gebruikt in AWS- en Azure-cloudplatforms. Zodra services zijn gecontroleerd en goedgekeurd voor gebruik, kunnen de services vervolgens worden beheerd als bedrijfstoepassingen in Microsoft Entra ID om Security Assertion Markup Language (SAML), wachtwoordgebaseerde en gekoppelde modus voor eenmalige aanmelding in te schakelen voor het gemak van gebruikers.
CPS biedt ook de mogelijkheid om de cloudplatforms te beoordelen die zijn verbonden voor onjuiste configuraties en naleving met behulp van door de leverancier aanbevolen beveiligings- en configuratiecontroles. Met dit ontwerp kunnen organisaties één geconsolideerde weergave van alle cloudplatformservices en hun nalevingsstatus behouden.
CPS biedt ook beleid voor toegangs- en sessiebeheer om uw omgeving te voorkomen en te beschermen tegen riskante eindpunten of gebruikers wanneer gegevensexfiltratie of schadelijke bestanden in deze platforms worden geïntroduceerd.
Microsoft Defender for Cloud
Microsoft Defender voor Cloud biedt geïntegreerd beveiligingsbeheer en bedreigingsbeveiliging voor uw hybride en multicloudworkloads, waaronder workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP). Defender voor Cloud helpt u beveiligingsproblemen te vinden en op te lossen, toegangs- en toepassingsbesturingselementen toe te passen om schadelijke activiteiten te blokkeren, bedreigingen te detecteren met behulp van analyses en intelligentie en snel te reageren wanneer ze worden aangevallen.
Als u uw AWS-resources op Microsoft Defender voor Cloud wilt beveiligen, kunt u een account verbinden met de klassieke cloudconnectors of de pagina Omgevingsinstellingen (in preview). Dit wordt aanbevolen.
Privileged Identity Management (Azure)
Om de toegang voor uw accounts met hoogste bevoegdheden in Microsoft Entra ID te beperken en te beheren, kan Privileged Identity Management (PIM) worden ingeschakeld om Just-In-Time-toegang te bieden tot Azure-services. Na de implementatie kan PIM worden gebruikt om de toegang te beheren en te beperken met behulp van het toewijzingsmodel voor rollen, permanente toegang voor deze bevoegde accounts te elimineren en extra gebruikers met deze accounttypen te detecteren en te bewaken.
In combinatie met Microsoft Sentinel kunnen werkmappen en playbooks worden ingesteld om waarschuwingen te bewaken en te genereren voor het personeel van uw Security Operations Center wanneer er sprake is van laterale verplaatsing van accounts die zijn aangetast.
Consistent end-to-end identiteitsbeheer
Zorg ervoor dat alle processen een end-to-end weergave van alle clouds en on-premises systemen bevatten en dat beveiligings- en identiteitspersoneel op deze processen worden getraind.
Als u één identiteit gebruikt voor Microsoft Entra ID, maken AWS-accounts en on-premises services deze end-to-end-strategie mogelijk en kunnen accounts beter worden beveiligd en beveiligd voor bevoorrechte en niet-bevoegde accounts. Klanten die momenteel op zoek zijn naar het verminderen van de last van het onderhouden van meerdere identiteiten in hun strategie voor meerdere clouds, gebruiken Microsoft Entra ID om consistente en sterke controle, controle en detectie van afwijkingen en misbruik van identiteiten in hun omgeving te bieden.
Door de voortdurende groei van nieuwe mogelijkheden in het Microsoft Entra-ecosysteem blijft u op de hoogte van bedreigingen voor uw omgeving als gevolg van het gebruik van identiteiten als een gemeenschappelijk besturingsvlak in uw omgevingen met meerdere clouds.
Volgende stappen
- Microsoft Entra B2B: maakt toegang tot uw bedrijfstoepassingen mogelijk vanuit door partners beheerde identiteiten.
- Azure Active Directory B2C: een service die ondersteuning biedt voor eenmalige aanmelding en gebruikersbeheer voor consumentgerichte toepassingen.
- Microsoft Entra Domain Services: gehoste domeincontrollerservice, waardoor active Directory-compatibele domeindeelname en functionaliteit voor gebruikersbeheer mogelijk is.
- Aan de slag met de beveiliging in Microsoft Azure
- Best practices voor beveiliging voor identiteitsbeheer en toegangsbeheer in Azure