Многооблачная безопасность и идентификация с помощью Azure и Amazon Web Services (AWS)
Многие организации находят себя с де-факто многооблачной стратегией, даже если это не было их преднамеренное стратегическое намерение. В многооблачной среде важно обеспечить согласованные возможности безопасности и идентификации, чтобы избежать повышенного трения для разработчиков, бизнес-инициатив и повышенного риска организации от кибератак, используя преимущества пробелов в безопасности.
Ниже приводятся принципы обеспечения согласованной безопасности и идентификации в облаках.
- Интеграция многооблачных удостоверений
- Строгая проверка подлинности и проверка явного доверия
- Cloud Platform Security (multicloud)
- Microsoft Defender для облака
- Privileged Identity Management (Azure)
- Согласованное комплексное управление удостоверениями
Интеграция многооблачных удостоверений
Клиенты, использующие облачные платформы Azure и AWS, получают преимущества консолидации служб удостоверений между этими двумя облаками с помощью идентификатора Microsoft Entra и служб единого входа . Такая модель формирует уровень консолидированных удостоверений, с помощью которых можно получать и регулировать доступ к службам в обоих облаках в согласованном режиме.
Этот подход позволяет использовать расширенные элементы управления доступом на основе ролей в идентификаторе Microsoft Entra ID в службах управления удостоверениями и доступом (IAM) в AWS с помощью правил для связывания user.userprincipalname и user.assignrole атрибутов из идентификатора Microsoft Entra с разрешениями IAM. Такой подход способствует сокращению числа уникальных удостоверений, которые пользователи и администраторы должны поддерживать в обоих облаках, включая схему консолидации удостоверения на учетную запись, применяемую в AWS. Решение AWS IAM позволяет и специально идентифицирует идентификатор Microsoft Entra как федерацию и источник проверки подлинности для своих клиентов.
Полный обзор этой интеграции можно найти в руководстве. Интеграция единого входа Microsoft Entra с Amazon Web Services (AWS)
Строгая проверка подлинности и проверка явного доверия
Поскольку многие клиенты продолжают поддерживать гибридную модель идентификации для служб Active Directory, команды инженеров по безопасности уделяют все большее значение вопросу внедрения решений для строгой проверки подлинности и блокировки устаревших методов проверки подлинности, связанных в основном с локальными и устаревшими технологиями Майкрософт.
Сочетание политик многофакторной проверки подлинности и условного доступа обеспечивает расширенную безопасность для распространенных сценариев проверки подлинности для конечных пользователей в организации. Хотя многофакторная проверка подлинности обеспечивает повышение уровня безопасности для подтверждения проверки подлинности, дополнительные элементы управления можно применять с помощью элементов управления условным доступом для блокировки устаревшей проверки подлинности в облачных средах Azure и AWS. Надежная проверка подлинности с использованием только современных клиентов проверки подлинности возможна только с помощью сочетания многофакторной проверки подлинности и политик условного доступа.
Cloud Platform Security (multicloud)
После создания общего удостоверения в многооблачной среде служба Cloud Platform Security (CPS) приложений Microsoft Defender для облака может использоваться для обнаружения, мониторинга, оценки и защиты этих служб. С помощью панели мониторинга Cloud Discovery специалисты по обеспечению информационной безопасности могут просматривать приложения и ресурсы, используемые на облачных платформах AWS и Azure. После проверки и санкционирования служб для использования службы можно управлять как корпоративные приложения в идентификаторе Microsoft Entra, чтобы включить SAML, пароль и связанный режим единого входа для удобства пользователей.
CPS также позволяет оценивать подключенные облачные платформы на предмет неправильной конфигурации и соответствия требованиям. Для этого используются рекомендованные поставщиком средства контроля безопасности и конфигурации. В этом случае организации могут поддерживать единое консолидированное представление всех служб облачных платформ и их состояние соответствия требованиям.
CPS также предоставляет политики контроля доступа и сеансов для защиты среды от представляющих риск конечных точек или пользователей в случае кражи данных или внедрения вредоносных файлов на эти платформы.
Microsoft Defender для облака
Microsoft Defender для облака обеспечивает унифицированное управление безопасностью и защиту от угроз в гибридных и многооблачных рабочих нагрузках, включая рабочие нагрузки в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Defender для облака помогает находить и исправлять уязвимости системы безопасности, применять средства управления доступом и приложениями для блокировки вредоносных действий, обнаруживать угрозы с помощью аналитики и интеллектуальных средств и быстро реагировать на атаки.
Чтобы защитить ресурсы на основе AWS в Microsoft Defender для облака, можно подключить учетную запись с помощью классического интерфейса облачных соединителей или на странице "Параметры среды" (предварительная версия), что является рекомендуемым вариантом.
Privileged Identity Management (Azure)
Чтобы ограничить и контролировать доступ для учетных записей с высоким уровнем привилегий в идентификаторе Microsoft Entra ID, можно включить управление привилегированными пользователями (PIM), чтобы обеспечить JIT-доступ к службам Azure. После развертывания PIM можно использовать для контроля и ограничения доступа с помощью модели назначения ролей, блокировки постоянного доступа для этих привилегированных учетных записей и дополнительного обнаружения и мониторинга пользователей с этими типами учетных записей.
Книги и сборники схем можно использовать вместе с Microsoft Sentinel для мониторинга и вывода оповещений для специалистов центра информационной безопасности при обнаружении случаев бокового движения скомпрометированных учетных записей
Согласованное комплексное управление удостоверениями
Все процессы должны содержать полное представление всех облачных и локальных систем, а персонал, отвечающий за безопасность и идентификацию, должен быть подготовлен для работы с этими процессами.
Использование единого удостоверения в идентификаторе Microsoft Entra, учетных записей AWS и локальных служб позволяет использовать эту сквозную стратегию и обеспечивает более высокую безопасность и защиту учетных записей для привилегированных и не привилегированных учетных записей. Клиенты, которые в настоящее время хотят уменьшить бремя поддержания нескольких удостоверений в своей стратегии в многооблачной стратегии, примите идентификатор Microsoft Entra для обеспечения согласованного и строгого контроля, аудита и обнаружения аномалий и злоупотреблений удостоверениями в своей среде.
Продолжающийся рост новых возможностей в экосистеме Microsoft Entra помогает оставаться перед угрозами вашей среды в результате использования удостоверений в качестве общего уровня управления в средах с несколькими облаками.
Следующие шаги
- Microsoft Entra B2B: обеспечивает доступ к корпоративным приложениям из удостоверений, управляемых партнером.
- Azure Active Directory B2C. Служба с поддержкой единого входа и управления пользователями для приложений, ориентированных на конечного пользователя.
- Доменные службы Microsoft Entra: размещенная служба контроллера домена, что позволяет Active Directory присоединиться к домену и функции управления пользователями.
- Приступая к работе с безопасностью Microsoft Azure.
- Рекомендации по обеспечению безопасности за счет управления удостоверениями и контроля доступа Azure
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по