Segurança e identidade multicloud com o Azure e a Amazon Web Services (AWS)

Muitas organizações estão se encontrando com uma estratégia multicloud de fato, mesmo que essa não tenha sido sua intenção estratégica deliberada. Em um ambiente multicloud, é fundamental garantir experiências consistentes de segurança e identidade para evitar maior atrito para desenvolvedores, iniciativas de negócios e maior risco organizacional de ataques cibernéticos aproveitando as lacunas de segurança.

Impulsionar a segurança e a consistência de identidade entre nuvens deve incluir:

• Integração de identidade multicloud
• Autenticação forte e validação de confiança explícita
• Segurança da plataforma na nuvem (multicloud)
• Microsoft Defender para a Cloud
• Gerenciamento de identidade de privilégio (Azure)
• Gerenciamento de identidade consistente de ponta a ponta

Integração de identidade multicloud

Os clientes que usam as plataformas de nuvem Azure e AWS se beneficiam da consolidação de serviços de identidade entre essas duas nuvens usando o Microsoft Entra ID e os serviços de logon único (SSO). Este modelo permite um plano de identidade consolidado através do qual o acesso aos serviços em ambas as nuvens pode ser consistentemente acessado e governado.

Essa abordagem permite que os controles de acesso baseados em função avançados no ID do Microsoft Entra sejam habilitados nos serviços de Gerenciamento de Identidade e Acesso (IAM) na AWS usando regras para associar os user.userprincipalname atributos e user.assignrole do ID do Microsoft Entra às permissões do IAM. Essa abordagem reduz o número de identidades exclusivas que os usuários e administradores precisam manter em ambas as nuvens, incluindo uma consolidação da identidade por design de conta que a AWS emprega. A solução AWS IAM permite e identifica especificamente o Microsoft Entra ID como uma fonte de federação e autenticação para seus clientes.

Um passo a passo completo dessa integração pode ser encontrado no Tutorial: Integração de logon único (SSO) do Microsoft Entra com a Amazon Web Services (AWS).

Autenticação forte e validação de confiança explícita

Como muitos clientes continuam a oferecer suporte a um modelo de identidade híbrida para serviços do Ative Directory, é cada vez mais importante para as equipes de engenharia de segurança implementar soluções de autenticação forte e bloquear métodos de autenticação herdados associados principalmente a tecnologias locais e herdadas da Microsoft.

Uma combinação de autenticação multifator e políticas de Acesso Condicional permite segurança aprimorada para cenários de autenticação comuns para usuários finais em sua organização. Embora a autenticação multifator em si forneça um nível maior de segurança para confirmar autenticações, controles adicionais podem ser aplicados usando controles de acesso condicional para bloquear a autenticação herdada em ambientes de nuvem do Azure e da AWS. A autenticação forte usando apenas clientes de autenticação modernos só é possível com a combinação de autenticação multifator e políticas de Acesso Condicional.

Segurança da plataforma na nuvem (multicloud)

Depois que uma identidade comum tiver sido estabelecida em seu ambiente multicloud, o serviço Cloud Platform Security (CPS) do Microsoft Defender for Cloud Apps poderá ser usado para descobrir, monitorar, avaliar e proteger esses serviços. Usando o painel do Cloud Discovery, a equipe de operações de segurança pode analisar os aplicativos e recursos que estão sendo usados nas plataformas de nuvem da AWS e do Azure. Depois que os serviços são revisados e sancionados para uso, os serviços podem ser gerenciados como aplicativos corporativos no Microsoft Entra ID para habilitar o SAML (Security Assertion Markup Language), baseado em senha e no modo de Logon Único vinculado para a conveniência dos usuários.

O CPS também fornece a capacidade de avaliar as plataformas de nuvem conectadas quanto a configurações incorretas e conformidade usando controles de segurança e configuração recomendados específicos do fornecedor. Esse design permite que as organizações mantenham uma visão única e consolidada de todos os serviços da plataforma de nuvem e seu status de conformidade.

O CPS também fornece políticas de acesso e controle de sessão para prevenir e proteger seu ambiente de pontos de extremidade ou usuários arriscados quando a exfiltração de dados ou arquivos mal-intencionados são introduzidos nessas plataformas.

Microsoft Defender para a Cloud

O Microsoft Defender for Cloud fornece gerenciamento de segurança unificado e proteção contra ameaças em suas cargas de trabalho híbridas e multicloud, incluindo cargas de trabalho no Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). O Defender for Cloud ajuda você a encontrar e corrigir vulnerabilidades de segurança, aplicar controles de acesso e aplicativos para bloquear atividades maliciosas, detetar ameaças usando análises e inteligência e responder rapidamente quando estiver sob ataque.

Para proteger seus recursos baseados na AWS no Microsoft Defender for Cloud, você pode conectar uma conta com a experiência de conectores de nuvem clássicos ou com a página Configurações de ambiente (em visualização), que é recomendada.

Gerenciamento privilegiado de identidades (Azure)

Para limitar e controlar o acesso às suas contas com privilégios mais elevados no Microsoft Entra ID, o Privileged Identity Management (PIM) pode ser ativado para fornecer acesso just-in-time aos serviços do Azure. Uma vez implantado, o PIM pode ser usado para controlar e limitar o acesso usando o modelo de atribuição para funções, eliminar o acesso persistente para essas contas privilegiadas e fornecer descoberta e monitoramento adicionais de usuários com esses tipos de conta.

Quando combinados com o Microsoft Sentinel, pastas de trabalho e playbooks podem ser estabelecidos para monitorar e gerar alertas para o pessoal do centro de operações de segurança quando houver movimentação lateral de contas que tenham sido comprometidas.

Gerenciamento de identidade consistente de ponta a ponta

Certifique-se de que todos os processos incluam uma visão de ponta a ponta de todas as nuvens, bem como dos sistemas locais, e que o pessoal de segurança e identidade seja treinado nesses processos.

Usando uma única identidade no Microsoft Entra ID, as contas da AWS e os serviços locais permitem essa estratégia de ponta a ponta e permitem maior segurança e proteção de contas para contas privilegiadas e não privilegiadas. Os clientes que atualmente procuram reduzir a carga de manter identidades múltiplas em sua estratégia multicloud adotam o Microsoft Entra ID para fornecer controle, auditoria e deteção consistentes e fortes de anomalias e abuso de identidades em seu ambiente.

O crescimento contínuo de novos recursos em todo o ecossistema Microsoft Entra ajuda você a ficar à frente das ameaças ao seu ambiente como resultado do uso de identidades como um plano de controle comum em seus ambientes multicloud.

Próximos passos

• Microsoft Entra B2B: permite o acesso às suas aplicações empresariais a partir de identidades geridas por parceiros.
• Azure Active Directory B2C: serviço que oferece suporte para início de sessão único e gestão de utilizadores para aplicações de consumidor.
• Serviços de Domínio Microsoft Entra: serviço de controlador de domínio hospedado, permitindo a associação de domínio compatível com o Ative Directory e a funcionalidade de gerenciamento de usuários.
• Introdução à segurança do Microsoft Azure
• Melhores práticas de segurança de controlo de acesso e Gestão de Identidades do Azure