Zabezpieczenia i tożsamość z wieloma chmurami za pomocą usług Azure i Amazon Web Services (AWS)
Wiele organizacji znajduje się w de facto wielochmurowej strategii, nawet jeśli nie było to ich celowe intencje strategiczne. W środowisku wielochmurowym kluczowe jest zapewnienie spójnych środowisk zabezpieczeń i tożsamości w celu uniknięcia zwiększonych tarć dla deweloperów, inicjatyw biznesowych i zwiększonego ryzyka organizacyjnego ze strony cyberataków korzystających z luk w zabezpieczeniach.
Zapewnienie spójności zabezpieczeń i tożsamości w chmurach powinno obejmować:
- Integracja tożsamości z wieloma chmurami
- Silne uwierzytelnianie i jawna weryfikacja zaufania
- Cloud Platform Security (wielochmurowe)
- Microsoft Defender for Cloud Alert
- Privilege Identity Management (Azure)
- Spójne kompleksowe zarządzanie tożsamościami
Integracja tożsamości z wieloma chmurami
Klienci korzystający zarówno z platform Azure, jak i AWS w chmurze korzystają z konsolidowania usług tożsamości między tymi dwiema chmurami przy użyciu usługi Microsoft Entra ID i logowania jednokrotnego (SSO). Ten model umożliwia uzyskanie skonsolidowanej płaszczyzny tożsamości, za pomocą której dostęp do usług w obu chmurach może być stale uzyskiwany i zarządzany.
Takie podejście umożliwia włączenie rozbudowanych kontroli dostępu opartej na rolach w usłudze Microsoft Entra ID w usługach Zarządzania tożsamościami i dostępem (IAM) na platformie AWS przy użyciu reguł umożliwiających skojarzenie user.userprincipalname atrybutów i user.assignrole z identyfikatora Entra firmy Microsoft z uprawnieniami IAM. Takie podejście zmniejsza liczbę unikatowych tożsamości użytkowników i administratorów, które są wymagane do obsługi w obu chmurach, w tym konsolidacji tożsamości na projekt konta, z którego korzysta platforma AWS. Rozwiązanie AWS IAM umożliwia i w szczególności identyfikuje identyfikator Entra firmy Microsoft jako źródło federacji i uwierzytelniania dla swoich klientów.
Kompletny przewodnik po tej integracji można znaleźć w artykule Tutorial: Microsoft Entra single sign-on (SSO) integration with Amazon Web Services (AWS) (Samouczek: integracja logowania jednokrotnego firmy Microsoft z usługą Amazon Web Services (AWS).
Silne uwierzytelnianie i jawna weryfikacja zaufania
Ponieważ wielu klientów nadal obsługuje hybrydowy model tożsamości dla usług Active Directory, coraz ważniejsze jest, aby zespoły inżynierów zabezpieczeń implementowały silne rozwiązania uwierzytelniania i blokowały starsze metody uwierzytelniania skojarzone głównie z technologiami lokalnymi i starszymi technologiami firmy Microsoft.
Kombinacja uwierzytelniania wieloskładnikowego i zasad dostępu warunkowego umożliwia ulepszone zabezpieczenia dla typowych scenariuszy uwierzytelniania dla użytkowników końcowych w organizacji. Chociaż samo uwierzytelnianie wieloskładnikowe zapewnia wyższy poziom zabezpieczeń w celu potwierdzenia uwierzytelniania, można zastosować dodatkowe mechanizmy kontroli dostępu warunkowego w celu zablokowania starszego uwierzytelniania zarówno w środowiskach platformy Azure, jak i w chmurze platformy AWS. Silne uwierzytelnianie przy użyciu tylko nowoczesnych klientów uwierzytelniania jest możliwe tylko w połączeniu uwierzytelniania wieloskładnikowego i zasad dostępu warunkowego.
Cloud Platform Security (wielochmurowe)
Po ustanowieniu wspólnej tożsamości w środowisku wielochmurowym usługa Cloud Platform Security (CPS) Microsoft Defender dla Chmury Apps może służyć do odnajdywania, monitorowania, oceniania i ochrony tych usług. Korzystając z pulpitu nawigacyjnego rozwiązania Cloud Discovery, personel ds. operacji zabezpieczeń może przejrzeć aplikacje i zasoby używane na platformach AWS i Azure w chmurze. Po przejrzeniu i zaakceptowaniu usług do użytku usługi mogą być zarządzane jako aplikacje dla przedsiębiorstw w usłudze Microsoft Entra ID, aby umożliwić korzystanie z protokołu SAML, opartego na hasłach i połączonego trybu logowania jednokrotnego dla wygody użytkowników.
CpS zapewnia również możliwość oceny platform w chmurze połączonych pod kątem błędów konfiguracji i zgodności przy użyciu określonych zalecanych mechanizmów zabezpieczeń i konfiguracji dostawcy. Ten projekt umożliwia organizacjom utrzymanie jednego skonsolidowanego widoku wszystkich usług platformy w chmurze i ich stanu zgodności.
CpS zapewnia również zasady kontroli dostępu i sesji, aby zapobiec ryzykownych punktów końcowych lub użytkownikom, gdy dane eksfiltracji lub złośliwych plików zostaną wprowadzone na tych platformach i chronić je.
Microsoft Defender for Cloud Alert
Microsoft Defender dla Chmury zapewnia ujednolicone zarządzanie zabezpieczeniami i ochronę przed zagrożeniami w ramach obciążeń hybrydowych i wielochmurowych, w tym obciążeń na platformie Azure, usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP). Defender dla Chmury ułatwia znajdowanie i naprawianie luk w zabezpieczeniach, stosowanie kontroli dostępu i aplikacji w celu blokowania złośliwych działań, wykrywania zagrożeń przy użyciu analizy i analizy oraz szybkiego reagowania podczas ataku.
Aby chronić zasoby oparte na usłudze AWS na Microsoft Defender dla Chmury, możesz połączyć konto za pomocą środowiska klasycznych łączników w chmurze lub strony Ustawienia środowiska (w wersji zapoznawczej), która jest zalecana.
Privileged Identity Management (Azure)
Aby ograniczyć i kontrolować dostęp do najwyższych uprzywilejowanych kont w usłudze Microsoft Entra ID, można włączyć usługę Privileged Identity Management (PIM), aby zapewnić dostęp just in time do usług platformy Azure. Po wdrożeniu usługa PIM może służyć do kontrolowania i ograniczania dostępu przy użyciu modelu przypisania dla ról, wyeliminowania trwałego dostępu dla tych uprzywilejowanych kont oraz zapewnienia dodatkowego odnajdywania i monitorowania użytkowników z tymi typami kont.
W połączeniu z usługą Microsoft Sentinel skoroszyty i podręczniki można ustanowić w celu monitorowania i zgłaszania alertów do personelu centrum operacji zabezpieczeń w przypadku penetracji kont, które zostały naruszone.
Spójne kompleksowe zarządzanie tożsamościami
Upewnij się, że wszystkie procesy obejmują całościowy widok wszystkich chmur, a także systemów lokalnych oraz że personel ds. zabezpieczeń i tożsamości jest przeszkolony w tych procesach.
Korzystanie z jednej tożsamości w usłudze Microsoft Entra ID, konta platformy AWS i usługi lokalne umożliwiają tę kompleksową strategię i umożliwiają większe bezpieczeństwo i ochronę kont uprzywilejowanych i nieuprzywilejowanych. Klienci, którzy obecnie chcą zmniejszyć obciążenie utrzymaniem wielu tożsamości w swojej strategii wielochmurowej, przyjmują identyfikator Firmy Microsoft Entra, aby zapewnić spójną i silną kontrolę, inspekcję i wykrywanie anomalii i nadużyć tożsamości w ich środowisku.
Ciągły rozwój nowych możliwości w ekosystemie firmy Microsoft Entra pomaga wyprzedzać zagrożenia dla środowiska w wyniku używania tożsamości jako wspólnej płaszczyzny sterowania w środowiskach wielochmurowych.
Następne kroki
- Microsoft Entra B2B: umożliwia dostęp do aplikacji firmowych z tożsamości zarządzanych przez partnerów.
- Azure Active Directory B2C: usługa, która oferuje obsługę logowania jednokrotnego i zarządzania użytkownikami w aplikacjach skierowanych do klientów.
- Microsoft Entra Domain Services: hostowana usługa kontrolera domeny, umożliwiająca przyłączanie do domeny zgodnej z usługą Active Directory i funkcje zarządzania użytkownikami.
- Getting started with Microsoft Azure security (Wprowadzenie do zabezpieczeń platformy Microsoft Azure)
- Azure Identity Management and access control security best practices (Zarządzanie tożsamościami na platformie Azure i najlepsze rozwiązania dotyczące kontroli dostępu)
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla