Este guia descreve como as soluções de segurança da Microsoft podem ajudar a proteger e garantir o acesso a contas e ambientes do Amazon Web Services (AWS).
Este diagrama resume como as instalações do AWS podem se beneficiar dos principais componentes de segurança da Microsoft:
Baixe um arquivo PowerPoint desse diagrama.
Microsoft Entra
Gerenciamento centralizado de identidades e acesso
O Microsoft Entra ID é uma solução de gerenciamento de identidades e acesso abrangente, centralizada e baseada em nuvem que pode ajudar a proteger e garantir contas e ambientes da AWS.
O Microsoft Entra ID fornece autenticação SSO forte para quase todos os aplicativos ou plataformas que seguem padrões em comum de autenticação da Web, incluindo a AWS. As contas de AWS que dão suporte a cargas de trabalho críticas e informações altamente confidenciais precisam de proteção de identidade e controle de acesso rigorosos. O gerenciamento de identidades da AWS é aprimorado você o combina com o Microsoft Entra ID.
As organizações da AWS que usam o Microsoft Entra ID para o Microsoft 365 ou a identidade de nuvem híbrida e a proteção de acesso podem implantar o Microsoft Entra ID de forma rápida e fácil para contas de AWS, muitas vezes, sem gerar custos adicionais. O Microsoft Entra ID proporciona diversas funcionalidades para integração direta com AWS:
Integração com o AWS IAM Identity Center para maior segurança, melhor experiência do usuário, controle de acesso centralizado e SSO em soluções de autenticação legadas, tradicionais e modernas.
Autenticação multifator do Microsoft Entra, incluindo integração com diversas soluções de terceiros de parceiros da Microsoft Intelligent Security Association.
Recursos avançados de acesso condicional para autenticação forte e governança estrita. O Microsoft Entra ID usa políticas de Acesso condicional e avaliações com base em risco para autenticar e autorizar o acesso do usuário ao Console de Gerenciamento da AWS e aos recursos da AWS.
Proteção aprimorada contra ataques baseados em identidade por meio da detecção e correção em tempo real de entradas suspeitas e comportamento incomum do usuário.
Privileged Identity Management (PAM) para habilitar o provisionamento just-in-time de recursos específicos. Você pode expandir o PIM para qualquer permissão delegada controlando o acesso a grupos personalizados, como aqueles criados para acessar funções de AWS.
Para obter mais informações e instruções detalhadas, consulte Gerenciamento de identidade e acesso do Microsoft Entra ao AWS.
Gerenciamento de Permissões do Microsoft Entra
O Permissions Management é uma solução de gerenciamento de direitos de infraestrutura de nuvem que fornece visibilidade abrangente e controle das permissões relativas a identidades, ações e recursos em infraestrutura multinuvem no Azure, AWS e na Google Cloud Platform. Você pode usar o Permissions Management para:
Averiguar o número de permissões excessivas ou não utilizadas em todas as contas de AWS, para identificar riscos por meio de uma visualização multidimensional de identidades, permissões e recursos.
Corrigir e dimensionar corretamente as permissões aplicando o princípio de privilégios mínimos em todas as contas de AWS.
Monitorar e alertar sobre atividades anômalas para ajudar a evitar violações de dados causadas pelo uso indevido e exploração maliciosa de permissões.
Para obter mais informações e instruções detalhadas de integração, consulte Integrar uma conta do Amazon Web Services (AWS)).
Microsoft Defender for Cloud Apps
Quando vários usuários ou funções fazem alterações administrativas, pode ocorrer desvio de configuração da arquitetura e dos padrões de segurança pretendidos. Os padrões de segurança também podem mudar com o tempo. A equipe de segurança deve detectar novos riscos de forma constante e consistente, avaliar opções de mitigação e atualizar a arquitetura de segurança, para ajudar a evitar possíveis violações. O gerenciamento de segurança em vários ambientes de infraestrutura de nuvem pública e privada pode se tornar um fardo.
Os aplicativos Defender para Nuvem fornecem proteção aprimorada para aplicativos de software como serviço (SaaS). Eles fornecem os seguintes recursos para ajudar você a monitorar e proteger os dados dos seus aplicativos na nuvem:
Funcionalidade fundamental do agente de segurança de acesso à nuvem, incluindo descoberta de shadow IT, visibilidade do uso de aplicativos em nuvem, proteção aprimorada contra ameaças baseadas em aplicativos de qualquer lugar na nuvem, bem como proteção de informações e avaliações de conformidade.
Recursos de gerenciamento de postura de segurança SaaS que habilitam as equipes de segurança a melhorar a postura de segurança da organização.
Proteção avançada contra ameaças como parte da solução de detecção e resposta estendidas da Microsoft, que habilita uma correlação poderosa de sinal e visibilidade em toda a cadeia de ataques cibernéticos avançados.
Proteção de aplicativo a aplicativo, que estende os principais cenários de ameaça para aplicativos habilitados para OAuth que têm permissões e privilégios para dados e recursos críticos.
Conectar AWS aos aplicativos Defender para Nuvem ajuda você a proteger seus ativos e detectar possíveis ameaças monitorando atividades de login e administrativas. Você recebe notificações sobre possíveis ataques de força bruta, uso mal-intencionado de contas de usuário privilegiadas, exclusões incomuns de VMs e buckets de armazenamento expostos publicamente. Os aplicativos Defender para Nuvem ajudam a proteger os ambientes de AWS contra abuso de recursos de nuvem, contas comprometidas e ameaças internas, vazamento de dados, bem como configuração incorreta de recursos e controle insuficiente de acesso. Os seguintes recursos de aplicativos Defender para Nuvem são especialmente úteis quando você trabalha com ambientes de AWS.
Detectar ameaças na nuvem, contas comprometidas, insiders maliciosos e ransomware. As políticas de detecção de anomalias dos aplicativos Defender para Nuvem são acionadas quando houver atividades incomuns executadas por usuários na AWS. Os aplicativos Defender para Nuvem monitoram continuamente as atividades de usuários e usam o UEBA e o aprendizado de máquina para aprender e entender o comportamento típico dos usuários e disparar alertas sobre desvios.
Limitar a exposição de dados compartilhados e impor políticas de colaboração. Automatizar os controles de governança por meio de ações, como notificar os usuários sobre alertas, exigir reautenticação ou suspender usuários, tornar um bucket do S3 privado ou remover colaboradores de um bucket do S3.
Atividades de auditoria. Conectar auditoria da AWS aos aplicativos do Defender para Nuvem para obter visibilidade das atividades dos usuários, do administrador e de login.
Obter proteção aprimorada em tempo real para AWS. Usar o Controle de Aplicativos de Acesso Condicional dos aplicativos Defender para Nuvem para bloquear e ajudar a proteger downloads de dados confidenciais da AWS por usuários suspeitos.
Para obter mais informações sobre como conectar ambientes da AWS aos aplicativos Defender para Nuvem, consulte Proteger seu ambiente da Amazon Web Services.
Microsoft Defender para Nuvem
O Defender para Nuvem é uma plataforma de Proteção de Aplicativos Nativa de Nuvem (CNAPP) feita de medidas e práticas de segurança que são projetadas para proteger aplicativos baseados em nuvem contra várias ameaças e vulnerabilidades cibernéticas. O Defender para Nuvem fornece os seguintes recursos:
Uma solução de operações de segurança de desenvolvimento que unifica o gerenciamento de segurança no nível do código em ambientes multinuvem e de vários pipelines
Uma solução de gerenciamento da postura de segurança na nuvem (GPSN) que apresenta ações que você pode usar para ajudar a evitar violações
Uma plataforma de proteção de carga de trabalho de nuvem (GPSN) que fornece proteção específica para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho
O suporte nativo de AWS do Defender para Nuvem oferece vários benefícios:
GPSN básico para recursos de AWS
GPSN do Defender para recursos de AWS
Suporte de GPSN para clusters do Amazon EKS
Suporte de GPSN para instâncias de AWS EC2
Suporte de GPSN para servidores SQL em execução no AWS EC2 e RDS Custom para SQL Server
O GPSN fundamental e o GPSN do Defender são completamente sem agente. O GPSN fundamental fornece recomendações sobre a melhor forma de proteger seus recursos de AWS e corrigir configurações incorretas. O Defender para Nuvem oferece recursos CSPM básicos multinuvem gratuitamente.
O GPSN do Defender fornece recursos avançados de gerenciamento de posturas, como análise do caminho de ataque, gerenciador de segurança na nuvem, busca avançada de ameaças e recursos de governança de segurança. Também fornece ferramentas para avaliar sua conformidade de segurança com uma ampla variedade de benchmarks, padrões regulatórios e qualquer política de segurança personalizada exigida em sua organização, setor ou região.
O suporte do GPSN para instâncias do AWS EC2 fornece recursos, como provisionamento automático de pré-requisitos em computadores novos e existentes, avaliação de vulnerabilidades, uma licença integrada para Microsoft Defender para Ponto de Extremidade, monitoramento de integridade de arquivos e muito mais.
O suporte do GPSN para clusters do Amazon EKS fornece recursos, como descoberta de clusters desprotegidos, detecção avançada de ameaças para o plano de controle e nível de carga de trabalho, recomendações do plano de dados do Kubernetes (por meio da extensão de Azure Policy) e muito mais.
O suporte do GPSN para servidores SQL em execução no AWS EC2 e no AWS RDS Custom for SQL Server fornece recursos, como proteção avançada contra ameaças, verificação de avaliação de vulnerabilidades e muito mais.
Os padrões de segurança fornecem suporte para avaliar recursos e cargas de trabalho na AWS em relação aos padrões de conformidade regulatória, tais como as normas do Center for Internet Security (CIS) e da Payment Card Industry (PCI), e para o padrão de Melhores Práticas de Segurança Básica da AWS.
Para obter mais informações sobre como proteger cargas de trabalho na AWS, consulte Conectar sua conta de AWS e Atribuir padrões de conformidade regulatória no Microsoft Defender para Nuvem.
Microsoft Sentinel
O Microsoft Sentinel é um sistema de gerenciamento de eventos e informações de segurança (SIEM) escalonável e nativo da nuvem, que oferece e uma solução inteligente e abrange para SIEM, bem como orquestração, automação e resposta de segurança. O Microsoft Sentinel fornece detecção, investigação, resposta e busca proativa de ameaças cibernéticas. Ele oferece uma visão panorâmica de toda a sua empresa.
Você pode usar os conectores da AWS para efetuar pull dos logs de serviço da AWS no Microsoft Sentinel. Esses conectores funcionam permitindo ao Microsoft Sentinel acesso aos logs de recursos da AWS. A configuração do conector estabelece uma relação de confiança entre a AWS e o Microsoft Sentinel. Você gera essa relação na AWS criando uma função que concede permissão ao Microsoft Sentinel para acessar os logs da AWS.
O conector pode ingerir logs dos serviços de AWS abaixo, extraindo-os de um bucket do S3:
| Serviço | Fonte de dados |
|---|---|
| Amazon Virtual Private Cloud (VPC) | VPC Flow Logs |
| Amazon GuardDuty | Achados do GuardDuty |
| AWS CloudTrail | Gerenciamento e eventos de dados |
| AWS CloudWatch | Logs do CloudWatch |
Para obter mais informações sobre como instalar e configurar o conector de AWS no Microsoft Sentinel, consulte Conectar o Microsoft Sentinel à Amazon Web Services para ingerir dados de logs de serviço da AWS.
Recomendações
Use as soluções de segurança da Microsoft e as recomendações básicas de segurança da AWS para proteger contas da AWS.
Segurança básica da conta da AWS
Para obter informações sobre a higiene básica de segurança para contas e recursos da AWS, consulte a diretriz de segurança da AWS em Práticas recomendadas para proteger contas e recursos da AWS.
Reduza o risco de carregar e baixar malware e outros conteúdos mal-intencionados inspecionando ativamente todas as transferências de dados através do AWS Management Console. Conteúdos que são carregados ou baixados diretamente nos recursos da plataforma do AWS, como servidores Web ou bancos de dados, podem precisar de proteção adicional.
Proporcione segurança para chaves de acesso girando as chaves periodicamente. Evite incorporá-las no código. Use funções do IAM em vez de chaves de acesso de longo prazo sempre que possível.
Use grupos de segurança e ACLs de rede para controlar o tráfego de entrada e saída dos seus recursos. Implemente VPC para isolar recursos.
Criptografe dados confidenciais em repouso e em trânsito usando o AWS Key Management Services.
Proteja dispositivos que os administradores e desenvolvedores usam para acessar o AWS Management Console.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi escrito originalmente pelos colaboradores a seguir.
Autor principal:
- Lavanya Murthy | Arquiteto-Chefe de Soluções Cloud
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
- Monitorar e proteger atividades administrativas e de login da AWS
- Proteger cargas de trabalho na AWS
- Conectar o Microsoft Azure Sentinel com o Amazon Web Services para ingerir dados de log de serviço do AWS