使用 Azure 和 Amazon Web Services 的多雲端安全性和身分識別 （AWS）

許多組織都發現自己有事實上的多雲策略，即使這不是他們刻意的戰略意圖。 在多重雲端環境中，請務必確保一致的安全性和身分識別體驗，以避免開發人員、商務計劃增加的摩擦，以及利用安全性缺口的網路攻擊增加組織風險。

跨雲端推動安全性和身分識別一致性應包括：

• 多重雲端身分識別整合
• 強身份驗證和明確信任驗證
• 雲端平台安全性 （multicloud）
• 適用於雲端的 Microsoft Defender
• Privilege Identity Management （Azure）
• 一致的端對端身分識別管理

多重雲端身分識別整合

使用 Azure 和 AWS 雲端平台的客戶，受益於使用 Microsoft Entra ID 和單一登錄 （SSO） 服務來合併這兩個雲端之間的身分識別服務。 此模型允許合併身分識別平面，讓兩個雲端中的服務存取都能一致地存取及控管。

此方法可讓 Microsoft Entra ID 中的豐富角色型存取控制透過 AWS 中的身分識別與存取管理 （IAM） 服務啟用，使用規則將 Microsoft Entra ID 中的 和 user.assignrole 屬性關聯user.userprincipalname至 IAM 許可權。 這種方法可減少使用者和系統管理員所需的唯一身分識別數目，以跨兩個雲端進行維護，包括匯總 AWS 所採用的每個帳戶設計身分識別。 AWS IAM 解決方案允許並特別將 Microsoft Entra 識別碼識別為其客戶的同盟和驗證來源。

如需此整合的完整逐步解說，請參閱 教學課程：Microsoft Entra 單一登錄 （SSO） 與 Amazon Web Services （AWS） 整合。

強身份驗證和明確信任驗證

由於許多客戶會繼續支援 Active Directory 服務的混合式身分識別模型，因此安全性工程小組實作強身份驗證解決方案並封鎖主要與內部部署和舊版 Microsoft 技術相關聯的舊版驗證方法越來越重要。

多重要素驗證和條件式存取原則的組合，為組織中的使用者啟用常見驗證案例的增強安全性。 雖然多重要素驗證本身可提供增加的安全性層級來確認驗證，但可以使用條件式訪問控制來套用 其他控件，以封鎖對 Azure 和 AWS 雲端環境的舊版驗證 。 只有使用新式驗證客戶端的強式驗證，才能搭配多重要素驗證和條件式存取原則的組合。

雲端平台安全性 （multicloud）

在多重雲端環境中建立通用身分識別之後，適用於雲端的 Microsoft Defender Apps 的 Cloud Platform Security （CPS） 服務可用來探索、監視、評估及保護這些服務。 使用 Cloud Discovery 儀錶板，安全性作業人員可以檢閱跨 AWS 和 Azure 雲端平臺使用的應用程式和資源。 一旦檢閱並批准使用服務，就可以將服務管理為 Microsoft Entra ID 中的企業應用程式，以啟用 SAML、密碼型和連結的單一登錄模式，以方便使用者使用。

CPS 也可讓您使用廠商特定的建議安全性和組態控制，評估連線的雲端平臺是否有設定錯誤和合規性。 此設計可讓組織維護所有雲端平台服務及其合規性狀態的單一合併檢視。

CPS 也提供存取和會話控制原則，以在數據外泄或惡意檔案導入這些平臺時，防止和保護您的環境免於有風險的端點或使用者。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 可在混合式和多重雲端工作負載之間提供統一的安全性管理和威脅防護，包括 Azure 中的工作負載、Amazon Web Services （AWS）和 Google 雲端平臺 （GCP）。 適用於雲端的 Defender 可協助您找出並修正安全性弱點、套用存取權和應用程控來封鎖惡意活動、使用分析和情報偵測威脅，以及在遭受攻擊時快速回應。

若要在 適用於雲端的 Microsoft Defender 上保護您的 AWS 型資源，您可以使用傳統雲端連接器體驗或 [環境設定] 頁面（預覽版）連接帳戶，這是建議的。

Privileged Identity Management （Azure）

若要限制和控制 Microsoft Entra ID 中最高特殊許可權帳戶的存取權， 可以啟用 Privileged Identity Management （PIM） 以提供 Azure 服務的 Just-In-Time 存取權。 部署之後，PIM 可用來使用角色指派模型來控制和限制存取、排除這些特殊許可權帳戶的持續性存取，以及使用這些帳戶類型為使用者提供額外的探索和監視。

與 Microsoft Sentinel 結合時，可以建立活頁簿和劇本，以在有橫向移動已遭入侵的帳戶時，向安全性作業中心人員發出警示。

一致的端對端身分識別管理

請確定所有程式都包含所有雲端以及內部部署系統的端對端檢視，且安全性與身分識別人員會針對這些程序進行訓練。

跨 Microsoft Entra 識別碼使用單一身分識別，AWS 帳戶和內部部署服務可啟用此端對端策略，並允許對特殊許可權和非特殊許可權帳戶的帳戶進行更高的安全性和保護。 目前想要降低在多重雲端策略中維護多個身分識別的負擔的客戶，會採用 Microsoft Entra 標識符，以在其環境中提供一致且強大的控制、稽核和偵測異常和濫用身分識別。

在 Microsoft Entra 生態系統中持續成長新功能，可協助您在多重雲端環境中使用身分識別作為通用控制平面時，持續領先於環境的威脅。

下一步

• Microsoft Entra B2B：可讓您從合作夥伴管理的身分識別存取公司應用程式。
• Azure Active Directory B2C：單一登錄和使用者管理面向取用應用程式的服務供應項目支援。
• Microsoft Entra Domain Services：裝載的域控制器服務，允許 Active Directory 相容的網域加入和使用者管理功能。
• 開始使用 Microsoft Azure 安全性
• Azure 身分識別管理和存取控制安全性最佳做法