使用 Azure 和 Amazon Web Services 的多雲端安全性和身分識別 （AWS）

許多組織都發現自己有事實上的多雲策略，即使這不是他們刻意的戰略意圖。 在多重雲端環境中，請務必確保一致的安全性和身分識別體驗，以避免開發人員、商務計劃增加的摩擦，以及利用安全性缺口的網路攻擊增加組織風險。

跨雲端推動安全性和身分識別一致性應包括：

• 多重雲端身分識別整合
• 強身份驗證和明確信任驗證
• 雲端平台安全性 （multicloud）
• 適用於雲端的 Microsoft Defender
• Privilege Identity Management （Azure）
• 一致的端對端身分識別管理

多重雲端身分識別整合

同時使用 Azure 和 AWS 雲端平台的客戶，受益於使用 Microsoft Entra ID 和 Single Sign-on （SSO） 服務來合併這兩個雲端之間的身分識別服務。 此模型允許合併身分識別平面，讓兩個雲端中的服務存取都能一致地存取及控管。

這種方法允許在 MICROSOFT Entra ID 中以豐富的角色型訪問控制，透過 AWS 中的身分識別和存取管理 （IAM） 服務，使用規則將 和 屬性從 Microsoft Entra ID 關聯user.userprincipalnameuser.assignrole至 IAM 許可權。 這種方法可減少使用者和系統管理員所需的唯一身分識別數目，以跨兩個雲端進行維護，包括匯總 AWS 所採用的每個帳戶設計身分識別。 AWS IAM 解決方案允許並特別識別Microsoft Entra標識碼為其客戶的同盟和驗證來源。

如需此整合的完整逐步解說，請參閱 教學課程：Microsoft Entra 單一登錄 （SSO） 與 Amazon Web Services （AWS） 整合。

強身份驗證和明確信任驗證

由於許多客戶會繼續支援 Active Directory 服務的混合式身分識別模型，因此安全性工程小組實作強身份驗證解決方案並封鎖主要與內部部署和舊版Microsoft技術相關聯的舊版驗證方法越來越重要。

多重要素驗證和條件式存取原則的組合為組織中的使用者啟用常見驗證案例的增強安全性。 雖然多重要素驗證本身可提供增加的安全性層級來確認驗證，但可以使用條件式訪問控制來套用 其他控件，以封鎖對 Azure 和 AWS 雲端環境的舊版驗證 。 只有使用新式驗證客戶端的強式驗證，才能搭配多重要素驗證和條件式存取原則的組合。

雲端平台安全性 （multicloud）

在多重雲端環境中建立通用身分識別之後，適用於雲端的 Microsoft Defender Apps 的 Cloud Platform Security （CPS） 服務可用來探索、監視、評估及保護這些服務。 使用 Cloud Discovery 儀錶板，安全性作業人員可以檢閱跨 AWS 和 Azure 雲端平臺使用的應用程式和資源。 一旦檢閱並批准使用服務，服務就可以在 Microsoft Entra ID 中以企業應用程式的形式管理，以啟用安全性聲明標記語言（SAML）、密碼為基礎，以及連結的單一登錄模式，方便使用者使用。

CPS 也可讓您使用廠商特定的建議安全性和組態控制，評估連線的雲端平臺是否有設定錯誤和合規性。 此設計可讓組織維護所有雲端平台服務及其合規性狀態的單一合併檢視。

CPS 也提供存取和會話控制原則，以在數據外泄或惡意檔案導入這些平臺時，防止和保護您的環境免於有風險的端點或使用者。

適用於雲端的 Microsoft Defender

適用於雲端的 Microsoft Defender 提供混合式和多重雲端工作負載的統一安全性管理和威脅防護，包括 Azure 中的工作負載、Amazon Web Services （AWS）和 Google 雲端平臺 （GCP）。 適用於雲端的 Defender 可協助您尋找並修正安全性弱點、套用存取權和應用程控來封鎖惡意活動、使用分析和情報偵測威脅，以及在遭受攻擊時快速回應。

若要在 適用於雲端的 Microsoft Defender 上保護您的 AWS 型資源，您可以使用傳統雲端連接器體驗或 [環境設定] 頁面來連線帳戶，這是建議的。

Privileged Identity Management （Azure）

若要限制和控制您在 Microsoft Entra ID 中最高特殊許可權帳戶的存取權， 可以啟用 Privileged Identity Management （PIM） 來提供 Azure 服務的 Just-In-Time 存取權。 部署之後，PIM 可用來使用角色指派模型來控制和限制存取、排除這些特殊許可權帳戶的持續性存取，以及使用這些帳戶類型為使用者提供額外的探索和監視。

與 Microsoft Sentinel 結合時，可以建立活頁簿和劇本，以在有橫向移動已遭入侵的帳戶時，向安全性作業中心人員發出警示。

一致的端對端身分識別管理

請確定所有程式都包含所有雲端以及內部部署系統的端對端檢視，且安全性與身分識別人員會針對這些程序進行訓練。

跨 Microsoft Entra ID、AWS 帳戶和內部部署服務使用單一身分識別，可啟用此端對端策略，並針對特殊許可權和非特殊許可權帳戶提高帳戶的安全性和保護。 目前想要降低在多重雲端策略中維護多個身分識別的負擔的客戶會採用 Microsoft Entra ID，以提供一致且強大的控制、稽核和偵測其環境中的異常和濫用身分識別。

Microsoft Entra 生態系統中新功能的持續成長，可協助您在多重雲端環境中使用身分識別做為通用控制平面而持續領先於環境的威脅。

下一步

• Microsoft Entra B2B：可讓您從合作夥伴受控識別存取公司應用程式。
• Azure Active Directory B2C：單一登錄和使用者管理面向取用應用程式的服務供應項目支援。
• Microsoft Entra Domain Services：裝載的域控制器服務，允許 Active Directory 相容的網域加入和使用者管理功能。
• 開始使用 Microsoft Azure 安全性
• Azure 身分識別管理和存取控制安全性最佳做法