Segurança e identidade multicloud com o Azure e a Amazon Web Services (AWS)
Muitas organizações estão se encontrando com uma estratégia multicloud de fato, mesmo que essa não tenha sido sua intenção estratégica deliberada. Em um ambiente multicloud, é fundamental garantir experiências consistentes de segurança e identidade para evitar maior atrito para desenvolvedores, iniciativas de negócios e maior risco organizacional de ataques cibernéticos aproveitando as lacunas de segurança.
Impulsionar a segurança e a consistência de identidade entre nuvens deve incluir:
- Integração de identidade multicloud
- Autenticação forte e validação de confiança explícita
- Segurança da plataforma na nuvem (multicloud)
- Microsoft Defender for Cloud
- Gerenciamento de identidade de privilégio (Azure)
- Gerenciamento de identidade consistente de ponta a ponta
Integração de identidade multicloud
Os clientes que usam as plataformas de nuvem Azure e AWS se beneficiam da consolidação de serviços de identidade entre essas duas nuvens usando o Microsoft Entra ID e os serviços de logon único (SSO). Este modelo permite um plano de identidade consolidado através do qual o acesso aos serviços em ambas as nuvens pode ser consistentemente acessado e governado.
Essa abordagem permite que os controles de acesso baseados em função avançados no Microsoft Entra ID sejam habilitados nos serviços Identity & Access Management (IAM) na AWS usando regras para associar os user.userprincipalname atributos e user.assignrole do Microsoft Entra ID às permissões do IAM. Essa abordagem reduz o número de identidades exclusivas que os usuários e administradores precisam manter em ambas as nuvens, incluindo uma consolidação da identidade por design de conta que a AWS emprega. A solução AWS IAM permite e identifica especificamente o Microsoft Entra ID como uma fonte de federação e autenticação para seus clientes.
Um passo a passo completo dessa integração pode ser encontrado no Tutorial: Integração de logon único (SSO) do Microsoft Entra com a Amazon Web Services (AWS).
Autenticação forte e validação de confiança explícita
Como muitos clientes continuam a oferecer suporte a um modelo de identidade híbrida para serviços do Ative Directory, é cada vez mais importante para as equipes de engenharia de segurança implementar soluções de autenticação forte e bloquear métodos de autenticação herdados associados principalmente a tecnologias locais e herdadas da Microsoft.
Uma combinação de autenticação multifator e políticas de acesso condicional permite segurança aprimorada para cenários comuns de autenticação para usuários finais em sua organização. Embora a autenticação multifator em si forneça um nível maior de segurança para confirmar autenticações, controles adicionais podem ser aplicados usando controles de acesso condicional para bloquear a autenticação herdada em ambientes de nuvem do Azure e da AWS. A autenticação forte usando apenas clientes de autenticação modernos só é possível com a combinação de autenticação multifator e políticas de acesso condicional.
Segurança da plataforma na nuvem (multicloud)
Depois que uma identidade comum tiver sido estabelecida em seu ambiente multicloud, o serviço Cloud Platform Security (CPS) do Microsoft Defender for Cloud Apps poderá ser usado para descobrir, monitorar, avaliar e proteger esses serviços. Usando o painel do Cloud Discovery, a equipe de operações de segurança pode analisar os aplicativos e recursos que estão sendo usados nas plataformas de nuvem da AWS e do Azure. Depois que os serviços são revisados e sancionados para uso, os serviços podem ser gerenciados como aplicativos corporativos no Microsoft Entra ID para habilitar o SAML, baseado em senha e o modo de Logon Único vinculado para a conveniência dos usuários.
O CPS também fornece a capacidade de avaliar as plataformas de nuvem conectadas quanto a configurações incorretas e conformidade usando controles de segurança e configuração recomendados específicos do fornecedor. Esse design permite que as organizações mantenham uma visão única e consolidada de todos os serviços da plataforma de nuvem e seu status de conformidade.
O CPS também fornece políticas de acesso e controle de sessão para prevenir e proteger seu ambiente de pontos de extremidade ou usuários arriscados quando a exfiltração de dados ou arquivos mal-intencionados são introduzidos nessas plataformas.
Microsoft Defender for Cloud
O Microsoft Defender for Cloud fornece gerenciamento de segurança unificado e proteção contra ameaças em suas cargas de trabalho híbridas e multicloud, incluindo cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). O Defender for Cloud ajuda você a encontrar e corrigir vulnerabilidades de segurança, aplicar controles de acesso e aplicativos para bloquear atividades maliciosas, detetar ameaças usando análises e inteligência e responder rapidamente quando estiver sob ataque.
Para proteger seus recursos baseados na AWS no Microsoft Defender for Cloud, você pode conectar uma conta com a experiência de conectores de nuvem clássicos ou com a página Configurações de ambiente (em visualização), que é recomendada.
Gerenciamento privilegiado de identidades (Azure)
Para limitar e controlar o acesso às suas contas com privilégios mais elevados no Microsoft Entra ID, o Privileged Identity Management (PIM) pode ser ativado para fornecer acesso just-in-time aos serviços do Azure. Uma vez implantado, o PIM pode ser usado para controlar e limitar o acesso usando o modelo de atribuição para funções, eliminar o acesso persistente para essas contas privilegiadas e fornecer descoberta e monitoramento adicionais de usuários com esses tipos de conta.
Quando combinados com o Microsoft Sentinel, pastas de trabalho e playbooks podem ser estabelecidos para monitorar e gerar alertas para o pessoal do centro de operações de segurança quando houver movimentação lateral de contas que tenham sido comprometidas.
Gerenciamento de identidade consistente de ponta a ponta
Certifique-se de que todos os processos incluam uma visão de ponta a ponta de todas as nuvens, bem como dos sistemas locais, e que o pessoal de segurança e identidade seja treinado nesses processos.
Usando uma única identidade no Microsoft Entra ID, as contas da AWS e os serviços locais permitem essa estratégia de ponta a ponta e permitem maior segurança e proteção de contas para contas privilegiadas e não privilegiadas. Os clientes que atualmente procuram reduzir a carga de manter identidades múltiplas em sua estratégia multicloud adotam o Microsoft Entra ID para fornecer controle, auditoria e deteção consistentes e fortes de anomalias e abuso de identidades em seu ambiente.
O crescimento contínuo de novos recursos em todo o ecossistema Microsoft Entra ajuda você a ficar à frente das ameaças ao seu ambiente como resultado do uso de identidades como um plano de controle comum em seus ambientes multicloud.
Próximos passos
- Microsoft Entra B2B: permite o acesso às suas aplicações empresariais a partir de identidades geridas por parceiros.
- Azure Active Directory B2C: serviço que oferece suporte para início de sessão único e gestão de utilizadores para aplicações de consumidor.
- Serviços de Domínio Microsoft Entra: serviço de controlador de domínio hospedado, permitindo a associação de domínio compatível com o Ative Directory e a funcionalidade de gerenciamento de usuários.
- Introdução à segurança do Microsoft Azure
- Melhores práticas de segurança de controlo de acesso e Gestão de Identidades do Azure
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários