In deze handleiding wordt beschreven hoe Microsoft-beveiligingsoplossingen kunnen helpen bij het beveiligen en beveiligen van aws-accounts (Amazon Web Services) en omgevingen.
In dit diagram wordt samengevat hoe AWS-installaties kunnen profiteren van belangrijke Microsoft-beveiligingsonderdelen:
Download een PowerPoint-bestand van dit diagram.
Microsoft Entra
Gecentraliseerd identiteits- en toegangsbeheer
Microsoft Entra ID is een uitgebreide, gecentraliseerde oplossing voor identiteits- en toegangsbeheer in de cloud waarmee AWS-accounts en -omgevingen kunnen worden beveiligd en beveiligd.
Microsoft Entra ID biedt krachtige SSO-verificatie voor bijna elke app of elk platform dat voldoet aan algemene webverificatiestandaarden, waaronder AWS. AWS-accounts die kritieke workloads en zeer gevoelige informatie ondersteunen, hebben sterke identiteitsbeveiliging en toegangsbeheer nodig. AWS-identiteitsbeheer wordt verbeterd wanneer u het combineert met Microsoft Entra-id.
AWS-organisaties die gebruikmaken van Microsoft Entra ID voor Microsoft 365 of hybride cloudidentiteit en toegangsbeveiliging, kunnen Microsoft Entra ID voor AWS-accounts snel en eenvoudig implementeren, vaak zonder extra kosten. Microsoft Entra ID biedt verschillende mogelijkheden voor directe integratie met AWS:
Integratie met AWS IAM Identity Center voor verbeterde beveiliging, verbeterde gebruikerservaring, gecentraliseerd toegangsbeheer en SSO voor verouderde, traditionele en moderne verificatieoplossingen.
Microsoft Entra meervoudige verificatie, inclusief integratie met verschillende oplossingen van derden van Microsoft Intelligent Security Association-partners .
Krachtige functies voor voorwaardelijke toegang voor sterke verificatie en strikte governance. Microsoft Entra ID maakt gebruik van beleid voor voorwaardelijke toegang en op risico's gebaseerde evaluaties om gebruikerstoegang tot de AWS-beheerconsole en AWS-resources te verifiëren en te autoriseren.
Verbeterde beveiliging tegen aanvallen op basis van identiteiten via realtime detectie en herstel van riskante aanmeldingen en ongebruikelijk gebruikersgedrag.
Privileged Identity Management (PIM) om Just-In-Time-inrichting van specifieke resources in te schakelen. U kunt PIM uitbreiden naar elke gedelegeerde machtiging door de toegang tot aangepaste groepen te beheren, zoals groepen die u maakt voor toegang tot AWS-rollen.
Zie Microsoft Entra-identiteits- en toegangsbeheer voor AWS voor meer informatie en gedetailleerde instructies.
Microsoft Entra-machtigingsbeheer
Permissions Management is een oplossing voor rechtenbeheer voor cloudinfrastructuur die uitgebreide zichtbaarheid biedt in en controle over machtigingen voor identiteiten, acties en resources in meerdere cloudinfrastructuur op Azure, AWS en Google Cloud Platform. U kunt Machtigingenbeheer gebruiken om:
Ontdek het aantal ongebruikte of overmatige machtigingen voor alle AWS-accounts om risico's te identificeren via een multidimensionale weergave van identiteiten, machtigingen en resources.
Machtigingen herstellen en de juiste grootte geven via het afdwingen van het principe van minimale bevoegdheden voor alle AWS-accounts.
Afwijkende activiteiten bewaken en waarschuwen om schendingen van gegevens te voorkomen die worden veroorzaakt door misbruik en schadelijke exploitatie van machtigingen.
Zie Een AwS-account (Amazon Web Services) onboarden voor meer informatie en gedetailleerde instructies voor onboarding.
Microsoft Defender for Cloud Apps
Wanneer meerdere gebruikers of rollen beheerwijzigingen aanbrengen, kan de configuratie afwijken van de beoogde beveiligingsarchitectuur en -standaarden. Beveiligingsstandaarden kunnen ook na verloop van tijd veranderen. Beveiligingspersoneel moet voortdurend en consistent nieuwe risico's detecteren, risicobeperkingsopties evalueren en beveiligingsarchitectuur bijwerken om potentiële schendingen te voorkomen. Beveiligingsbeheer in meerdere openbare cloud- en privéinfrastructuuromgevingen kan lastig worden.
Defender voor Cloud Apps biedt verbeterde beveiliging voor SaaS-toepassingen (Software as a Service). Het biedt de volgende functies waarmee u uw cloud-app-gegevens kunt bewaken en beveiligen:
Fundamentele Cloud Access Security Broker-functionaliteit, waaronder schaduw-IT-detectie, inzicht in het gebruik van cloud-apps, verbeterde beveiliging tegen bedreigingen op basis van apps vanaf elke locatie in de cloud, en evaluaties van gegevensbescherming en naleving.
SaaS-functies voor beveiligingspostuurbeheer waarmee beveiligingsteams de beveiligingspostuur van de organisatie kunnen verbeteren.
Advanced Threat Protection, als onderdeel van de uitgebreide detectie- en responsoplossing van Microsoft, waarmee krachtige correlatie van signaal en zichtbaarheid mogelijk is in de volledige cyberaanvalketen van geavanceerde aanvallen.
App-naar-app-beveiliging, waarmee de belangrijkste bedreigingsscenario's worden uitgebreid naar OAuth-apps met machtigingen en bevoegdheden voor kritieke gegevens en resources.
Door AWS te verbinden met Defender voor Cloud Apps kunt u uw assets beveiligen en potentiële bedreigingen detecteren door beheer- en aanmeldingsactiviteiten te controleren. U ontvangt meldingen over mogelijke beveiligingsaanvallen, schadelijk gebruik van bevoegde gebruikersaccounts, ongebruikelijke verwijderingen van VM's en openbaar blootgestelde opslagbuckets. Defender voor Cloud Apps helpt AWS-omgevingen te beschermen tegen misbruik van cloudresources, gecompromitteerde accounts en bedreigingen van insiders, gegevenslekken en onjuiste configuratie van resources en onvoldoende toegangsbeheer. De volgende Defender voor Cloud Apps-mogelijkheden zijn vooral handig wanneer u met AWS-omgevingen werkt.
Detecteer cloudbedreigingen, gecompromitteerde accounts, kwaadwillende insiders en ransomware. Defender voor Cloud Beleid voor anomaliedetectie van apps wordt geactiveerd wanneer er ongebruikelijke activiteiten worden uitgevoerd door gebruikers in AWS. Defender voor Cloud Apps bewaakt voortdurend de activiteiten van uw gebruikers en gebruikt UEBA en machine learning om inzicht te krijgen in het typische gedrag van uw gebruikers en waarschuwingen te activeren voor eventuele afwijkingen.
Beperk de blootstelling van gedeelde gegevens en dwing samenwerkingsbeleid af. Beheerbesturingselementen automatiseren via acties, zoals het waarschuwen van gebruikers over waarschuwingen, het opnieuw verifiëren of onderbreken van gebruikers, het privé maken van een S3-bucket of het verwijderen van medewerkers uit een S3-bucket.
Controleactiviteiten. Verbind AWS-controle met Defender voor Cloud-apps om inzicht te krijgen in activiteiten van gebruikers, beheerders en aanmeldingen.
Krijg verbeterde realtime-beveiliging voor AWS. Gebruik Defender voor Cloud App-beheer voor voorwaardelijke toegang om downloads van gevoelige AWS-gegevens te blokkeren en te beschermen door riskante gebruikers.
Zie Uw Amazon Web Services-omgeving beveiligen voor meer informatie over het verbinden van AWS-omgevingen met Defender voor Cloud Apps.
Microsoft Defender for Cloud
Defender voor Cloud is een cloudeigen toepassingsbeveiligingsplatform dat bestaat uit beveiligingsmaatregelen en -procedures die zijn ontworpen om cloudtoepassingen te beschermen tegen verschillende cyberbedreigingen en beveiligingsproblemen. Defender voor Cloud biedt de volgende mogelijkheden:
Een oplossing voor ontwikkelingsbeveiligingsbewerkingen die beveiligingsbeheer op codeniveau op codeniveau in omgevingen met meerdere clouds en meerdere pijplijnen samenstelt
Een CSPM-oplossing (Cloud Security Posture Management) waarmee acties worden weergegeven die u kunt ondernemen om schendingen te voorkomen
Een cloudworkloadbeveiligingsplatform (CWPP) dat beveiliging biedt voor servers, containers, opslag, databases en andere workloads
Defender voor Cloud systeemeigen AWS-ondersteuning biedt verschillende voordelen:
Foundational CSPM voor AWS-resources
Defender CSPM voor AWS-resources
CWPP-ondersteuning voor Amazon EKS-clusters
CWPP-ondersteuning voor AWS EC2-exemplaren
CWPP-ondersteuning voor SQL-servers die worden uitgevoerd op AWS EC2 en RDS Custom voor SQL Server
De basis CPSM en Defender CSPM zijn beide volledig zonder agent. Foundational CSPM biedt aanbevelingen voor het beste beveiligen van uw AWS-resources en het herstellen van onjuiste configuraties. Defender voor Cloud biedt gratis basismogelijkheden van CSPM voor meerdere clouds.
Defender CSPM biedt geavanceerde mogelijkheden voor postuurbeheer, zoals analyse van aanvalspaden, cloudbeveiligingsverkenner, geavanceerde opsporing van bedreigingen en mogelijkheden voor beveiligingsbeheer. Het biedt ook hulpprogramma's voor het beoordelen van uw beveiligingsnaleving met een breed scala aan benchmarks, regelgevingsstandaarden en aangepast beveiligingsbeleid dat is vereist in uw organisatie, branche of regio.
De CWPP-ondersteuning voor AWS EC2-exemplaren biedt mogelijkheden zoals het automatisch inrichten van vereisten op bestaande en nieuwe machines, evaluatie van beveiligingsproblemen, een geïntegreerde licentie voor Microsoft Defender voor Eindpunt, bewaking van bestandsintegriteit en meer.
De CWPP-ondersteuning voor Amazon EKS-clusters biedt mogelijkheden zoals het detecteren van niet-beveiligde clusters, geavanceerde detectie van bedreigingen voor het besturingsvlak en workloadniveau, Aanbevelingen voor Kubernetes-gegevensvlakken (via de Azure Policy-extensie) en meer.
De CWPP-ondersteuning voor SQL-servers die worden uitgevoerd op AWS EC2 en AWS RDS Custom voor SQL Server biedt mogelijkheden zoals geavanceerde beveiliging tegen bedreigingen, scannen van beveiligingsproblemen en meer.
Beveiligingsstandaarden bieden ondersteuning voor het beoordelen van resources en workloads in AWS op basis van standaarden voor naleving van regelgeving, zoals CIS-standaarden (Center for Internet Security) en Payment Card Industry (PCI) en voor de AWS Foundational Security Best Practices-standaard.
Zie Uw AWS-account verbinden en nalevingsstandaarden toewijzen in Microsoft Defender voor Cloud voor meer informatie over het beveiligen van workloads in AWS.
Microsoft Sentinel
Microsoft Sentinel is een schaalbaar cloudeigen SIEM-systeem (Security Information and Event Management) dat een intelligente en uitgebreide oplossing biedt voor SIEM en beveiligingsindeling, automatisering en reactie. Microsoft Sentinel biedt detectie, onderzoek, reactie en proactieve opsporing van cyberaanvallen. Het geeft je een vogelvlucht in je onderneming.
U kunt de AWS-connectors gebruiken om AWS-servicelogboeken op te halen in Microsoft Sentinel. Deze connectors werken door Microsoft Sentinel toegang te geven tot uw AWS-resourcelogboeken. Het instellen van de connector brengt een vertrouwensrelatie tot stand tussen AWS en Microsoft Sentinel. U maakt deze relatie op AWS door een rol te maken waarmee Microsoft Sentinel toegang krijgt tot uw AWS-logboeken.
De connector kan logboeken van de volgende AWS-services opnemen door ze op te halen uit een S3-bucket:
| Service | Gegevensbron |
|---|---|
| Amazon Virtual Private Cloud (VPC) | VPC-stroomlogboeken |
| Amazon GuardDuty | Resultaten van GuardDuty |
| AWS CloudTrail | Beheer- en gegevensevenementen |
| AWS CloudWatch | CloudWatch-logboeken |
Zie Microsoft Sentinel verbinden met Amazon Web Services om logboekgegevens van aws-service op te nemen voor meer informatie over het installeren en configureren van de AWS-connector in Microsoft Sentinel.
Aanbevelingen
Gebruik de Microsoft-beveiligingsoplossingen en basisaanaanvelingen voor AWS-beveiliging om AWS-accounts te beveiligen.
Basisbeveiliging van AWS-account
Raadpleeg de AWS-beveiligingsrichtlijnen bij best practices voor het beveiligen van AWS-accounts en -resources voor informatie over basisbeveiligingscontroles voor AWS-accounts en -resources.
Verminder het risico op het uploaden en downloaden van malware en andere schadelijke inhoud door alle gegevensoverdrachten actief te inspecteren via de AWS Management Console. Inhoud die u rechtstreeks uploadt of downloadt naar resources binnen het AWS-platform, zoals webservers of databases, heeft mogelijk extra beveiliging nodig.
Zorg voor beveiliging voor toegangssleutels door de sleutels periodiek te roteren. Vermijd het insluiten ervan in code. Gebruik waar mogelijk IAM-rollen in plaats van toegangssleutels op lange termijn.
Gebruik beveiligingsgroepen en netwerk-ACL's om inkomend en uitgaand verkeer naar uw resources te beheren. Implementeer VPC om resources te isoleren.
Versleutel gevoelige data-at-rest en in transit met behulp van AWS Key Management Services.
Beveilig apparaten die beheerders en ontwikkelaars gebruiken voor toegang tot de AWS-beheerconsole.
Medewerkers
Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzender.
Hoofdauteur:
- Lavanya Murthy | Principal Cloud Solution Architect
Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.
Volgende stappen
- AWS-beheer- en aanmeldingsactiviteiten bewaken en beveiligen
- Workloads beveiligen in AWS
- Verbinding maken tussen Microsoft Sentinel en Amazon Web Services om AWS-servicelogboekgegevens op te nemen