Este guia descreve como as soluções de segurança da Microsoft podem ajudar a proteger e proteger o acesso e os ambientes da conta da Amazon Web Services (AWS).
Este diagrama resume como as instalações da AWS podem se beneficiar dos principais componentes de segurança da Microsoft:
Transfira um ficheiro PowerPoint deste diagrama.
Microsoft Entra
Gerenciamento centralizado de identidades e acessos
O Microsoft Entra ID é uma solução abrangente e centralizada de gerenciamento de identidade e acesso baseada em nuvem que pode ajudar a proteger e proteger contas e ambientes da AWS.
O Microsoft Entra ID fornece autenticação SSO forte para praticamente qualquer aplicativo ou plataforma que siga padrões comuns de autenticação da Web, incluindo a AWS. As contas da AWS que suportam cargas de trabalho críticas e informações altamente confidenciais precisam de proteção de identidade e controle de acesso fortes. O gerenciamento de identidades da AWS é aprimorado quando você o combina com o Microsoft Entra ID.
As organizações da AWS que usam o Microsoft Entra ID para Microsoft 365 ou a proteção de identidade e acesso da nuvem híbrida podem implantar rápida e facilmente o Microsoft Entra ID para contas da AWS, muitas vezes sem incorrer em custos adicionais. O Microsoft Entra ID oferece vários recursos para integração direta com a AWS:
Integração com o AWS IAM Identity Center para maior segurança, melhor experiência do usuário, controle de acesso centralizado e SSO em soluções de autenticação legadas, tradicionais e modernas.
Autenticação multifator Microsoft Entra, incluindo integração com várias soluções de terceiros de parceiros da Microsoft Intelligent Security Association .
Poderosos recursos de Acesso Condicional para autenticação forte e governança rigorosa. O Microsoft Entra ID usa políticas de acesso condicional e avaliações baseadas em risco para autenticar e autorizar o acesso do usuário ao Console de Gerenciamento da AWS e aos recursos da AWS.
Proteção melhorada contra ataques baseados em identidade através da deteção e correção em tempo real de inícios de sessão arriscados e comportamento invulgar do utilizador.
Gerenciamento privilegiado de identidades (PIM) para permitir o provisionamento just-in-time de recursos específicos. Você pode expandir o PIM para qualquer permissão delegada controlando o acesso a grupos personalizados, como grupos criados para acesso a funções da AWS.
Para obter mais informações e instruções detalhadas, consulte Gerenciamento de identidade e acesso do Microsoft Entra para AWS.
Gestão de Permissões do Microsoft Entra
O Gerenciamento de permissões é uma solução de gerenciamento de direitos de infraestrutura de nuvem que fornece visibilidade abrangente e controle sobre permissões em identidades, ações e recursos em infraestrutura multicloud no Azure, AWS e Google Cloud Platform. Você pode usar o Gerenciamento de permissões para:
Descubra o número de permissões não utilizadas ou excessivas em todas as contas da AWS para identificar riscos por meio de uma visão multidimensional de identidades, permissões e recursos.
Corrija e dimensione corretamente as permissões por meio da aplicação do princípio do menor privilégio em todas as contas da AWS.
Monitore e alerte atividades anômalas para ajudar a evitar violações de dados causadas por uso indevido e exploração maliciosa de permissões.
Para obter mais informações e instruções detalhadas de integração, consulte Integrar uma conta da Amazon Web Services (AWS).
Microsoft Defender for Cloud Apps
Quando vários usuários ou funções fazem alterações administrativas, a configuração se afasta da arquitetura e dos padrões de segurança pretendidos. As normas de segurança também podem mudar ao longo do tempo. A equipe de segurança deve detetar novos riscos de forma constante e consistente, avaliar as opções de mitigação e atualizar a arquitetura de segurança para ajudar a evitar possíveis violações. O gerenciamento de segurança em vários ambientes de nuvem pública e infraestrutura privada pode se tornar oneroso.
O Defender for Cloud Apps fornece proteção aprimorada para aplicativos SaaS (software como serviço). Ele fornece os seguintes recursos para ajudá-lo a monitorar e proteger os dados do seu aplicativo na nuvem:
Funcionalidade fundamental do Cloud Access Security Broker, incluindo descoberta de TI sombra, visibilidade do uso de aplicativos na nuvem, proteção aprimorada contra ameaças baseadas em aplicativos de qualquer lugar na nuvem e avaliações de conformidade e proteção de informações.
Recursos de Gerenciamento de Postura de Segurança SaaS que permitem que as equipes de segurança melhorem a postura de segurança da organização.
Proteção avançada contra ameaças, como parte da solução de deteção e resposta estendida da Microsoft, que permite uma correlação poderosa de sinal e visibilidade em toda a cadeia de ataques avançados de ataques cibernéticos.
Proteção de aplicativo para aplicativo, que estende os principais cenários de ameaça a aplicativos habilitados para OAuth que têm permissões e privilégios para dados e recursos críticos.
Conectar a AWS ao Defender for Cloud Apps ajuda você a proteger seus ativos e detetar ameaças potenciais monitorando atividades administrativas e de login. Você recebe notificações de possíveis ataques de força bruta, uso mal-intencionado de contas de usuário privilegiadas, exclusões incomuns de VMs e buckets de armazenamento expostos publicamente. O Defender for Cloud Apps ajuda a proteger os ambientes da AWS contra abuso de recursos de nuvem, contas comprometidas e ameaças internas, vazamento de dados, configuração incorreta de recursos e controle de acesso insuficiente. Os seguintes recursos do Defender for Cloud Apps são especialmente úteis quando você trabalha com ambientes da AWS.
Detete ameaças na nuvem, contas comprometidas, insiders mal-intencionados e ransomware. As políticas de deteção de anomalias do Defender for Cloud Apps são acionadas quando há atividades incomuns realizadas pelos usuários na AWS. O Defender for Cloud Apps monitora continuamente as atividades de seus usuários e usa UEBA e aprendizado de máquina para aprender e entender o comportamento típico de seus usuários e disparar alertas sobre quaisquer desvios.
Limite a exposição de dados compartilhados e aplique políticas de colaboração. Automatize os controles de governança por meio de ações como notificar os usuários sobre alertas, exigir nova autenticação ou suspender usuários, tornar um bucket do S3 privado ou remover colaboradores de um bucket do S3.
Atividades de auditoria. Conecte a auditoria da AWS aos aplicativos do Defender for Cloud para obter visibilidade das atividades de usuário, administrador e login.
Obtenha proteção aprimorada em tempo real para a AWS. Use o controle do aplicativo Acesso Condicional do Defender for Cloud Apps para bloquear e ajudar a proteger downloads de dados confidenciais da AWS por usuários arriscados.
Para obter mais informações sobre como conectar ambientes da AWS ao Defender for Cloud Apps, consulte Proteger seu ambiente da Amazon Web Services.
Microsoft Defender para a Cloud
O Defender for Cloud é uma plataforma de proteção de aplicativos nativa da nuvem composta por medidas e práticas de segurança projetadas para proteger aplicativos baseados em nuvem contra várias ameaças cibernéticas e vulnerabilidades. O Defender for Cloud oferece os seguintes recursos:
Uma solução de operações de segurança de desenvolvimento que unifica o gerenciamento de segurança no nível de código em ambientes multicloud e de vários pipelines
Uma solução de gerenciamento de postura de segurança na nuvem (CSPM) que apresenta ações que você pode tomar para ajudar a evitar violações
Uma plataforma de proteção de carga de trabalho na nuvem (CWPP) que fornece proteção para servidores, contêineres, armazenamento, bancos de dados e outras cargas de trabalho
O suporte nativo da AWS do Defender for Cloud oferece vários benefícios:
CSPM básico para recursos da AWS
Recursos do Defender CSPM for AWS
Suporte CWPP para clusters do Amazon EKS
Suporte a CWPP para instâncias do AWS EC2
Suporte a CWPP para servidores SQL executados no AWS EC2 e RDS Custom for SQL Server
O CPSM fundamental e o Defender CSPM são completamente sem agente. O CSPM básico fornece recomendações sobre a melhor forma de proteger seus recursos da AWS e corrigir configurações incorretas. O Defender para a Cloud oferece capacidades básicas de GPSC multicloud gratuitamente.
O Defender CSPM fornece recursos avançados de gerenciamento de postura, como análise de caminho de ataque, explorador de segurança na nuvem, caça avançada a ameaças e recursos de governança de segurança. Ele também fornece ferramentas para avaliar sua conformidade de segurança com uma ampla gama de benchmarks, normas regulatórias e quaisquer políticas de segurança personalizadas necessárias em sua organização, setor ou região.
O suporte CWPP para instâncias do AWS EC2 oferece recursos como provisionamento automático de pré-requisitos em máquinas novas e existentes, avaliação de vulnerabilidades, uma licença integrada para o Microsoft Defender for Endpoint, monitoramento de integridade de arquivos e muito mais.
O suporte CWPP para clusters do Amazon EKS fornece recursos como descoberta de clusters desprotegidos, deteção avançada de ameaças para o plano de controle e nível de carga de trabalho, recomendações de plano de dados do Kubernetes (por meio da extensão de política do Azure) e muito mais.
O suporte CWPP para servidores SQL executados no AWS EC2 e no AWS RDS Custom for SQL Server oferece recursos como proteção avançada contra ameaças, verificação de avaliação de vulnerabilidades e muito mais.
Os padrões de segurança oferecem suporte à avaliação de recursos e cargas de trabalho na AWS em relação aos padrões de conformidade normativa, como os padrões Center for Internet Security (CIS) e Payment Card Industry (PCI), e ao padrão AWS Foundational Security Best Practices.
Para obter mais informações sobre como proteger cargas de trabalho na AWS, consulte Conectar sua conta da AWS e Atribuir padrões de conformidade regulatória no Microsoft Defender for Cloud.
Microsoft Sentinel
O Microsoft Sentinel é um sistema escalável de gerenciamento de eventos e informações de segurança (SIEM) nativo da nuvem que fornece uma solução inteligente e abrangente para SIEM e orquestração, automação e resposta de segurança. O Microsoft Sentinel fornece deteção, investigação, resposta e caça proativa de ameaças cibernéticas. Proporciona-lhe uma visão panorâmica de toda a sua empresa.
Você pode usar os conectores da AWS para extrair logs de serviço da AWS para o Microsoft Sentinel. Esses conectores funcionam concedendo ao Microsoft Sentinel acesso aos logs de recursos da AWS. A configuração do conector estabelece uma relação de confiança entre a AWS e o Microsoft Sentinel. Você cria essa relação na AWS criando uma função que dá permissão ao Microsoft Sentinel para acessar seus logs da AWS.
O conector pode ingerir logs dos seguintes serviços da AWS extraindo-os de um bucket do S3:
| Serviço | Data source |
|---|---|
| Nuvem privada virtual da Amazon (VPC) | Logs de fluxo da VPC |
| Amazon GuardDuty | Conclusões do GuardDuty |
| AWS CloudTrail | Gestão e eventos de dados |
| AWS CloudWatch | CloudWatch Logs |
Para obter mais informações sobre como instalar e configurar o conector da AWS no Microsoft Sentinel, consulte Conectar o Microsoft Sentinel à Amazon Web Services para ingerir dados de log de serviço da AWS.
Recomendações
Use as soluções de segurança da Microsoft e as recomendações básicas de segurança da AWS para proteger as contas da AWS.
Segurança básica da conta da AWS
Para obter informações sobre higiene básica de segurança para contas e recursos da AWS, consulte as orientações de segurança da AWS em Melhores práticas para proteger contas e recursos da AWS.
Reduza o risco de upload e download de malware e outros conteúdos mal-intencionados inspecionando ativamente todas as transferências de dados por meio do Console de Gerenciamento da AWS. O conteúdo que você carrega ou baixa diretamente para recursos dentro da plataforma da AWS, como servidores web ou bancos de dados, pode precisar de proteção adicional.
Forneça segurança para as chaves de acesso girando as chaves periodicamente. Evite incorporá-los no código. Sempre que possível, use funções do IAM em vez de chaves de acesso de longo prazo.
Use grupos de segurança e ACLs de rede para controlar o tráfego de entrada e saída para seus recursos. Implemente a VPC para isolar recursos.
Criptografe dados confidenciais em repouso e em trânsito usando o AWS Key Management Services.
Proteja os dispositivos que os administradores e desenvolvedores usam para acessar o Console de Gerenciamento da AWS.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelo seguinte colaborador.
Autor principal:
- Lavanya Murthy - Brasil | Arquiteto Principal de Soluções na Nuvem
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
- Monitore e proteja as atividades administrativas e de login da AWS
- Proteja cargas de trabalho na AWS
- Ligar o Microsoft Sentinel ao Amazon Web Services para ingerir dados de registo do serviço AWS