Поделиться через

Многооблачная безопасность и идентификация с помощью Azure и Amazon Web Services (AWS)

  • Статья

Многие организации находят себя с де-факто многооблачной стратегией, даже если это не было их преднамеренное стратегическое намерение. В многооблачной среде важно обеспечить согласованные возможности безопасности и идентификации, чтобы избежать повышенного трения для разработчиков, бизнес-инициатив и повышенного риска организации от кибератак, используя преимущества пробелов в безопасности.

Ниже приводятся принципы обеспечения согласованной безопасности и идентификации в облаках.

  • Интеграция многооблачных удостоверений
  • Строгая проверка подлинности и проверка явного доверия
  • Cloud Platform Security (multicloud)
  • Microsoft Defender для облака
  • Privileged Identity Management (Azure)
  • Согласованное комплексное управление удостоверениями

Интеграция многооблачных удостоверений

Клиенты, использующие облачные платформы Azure и AWS, получают преимущества консолидации служб удостоверений между этими двумя облаками с помощью идентификатора Microsoft Entra и служб единого входа . Такая модель формирует уровень консолидированных удостоверений, с помощью которых можно получать и регулировать доступ к службам в обоих облаках в согласованном режиме.

Этот подход позволяет использовать расширенные элементы управления доступом на основе ролей в идентификаторе Microsoft Entra ID в службах управления удостоверениями и доступом (IAM) в AWS, используя правила для связывания user.userprincipalname и user.assignrole атрибутов из идентификатора Microsoft Entra с разрешениями IAM. Такой подход способствует сокращению числа уникальных удостоверений, которые пользователи и администраторы должны поддерживать в обоих облаках, включая схему консолидации удостоверения на учетную запись, применяемую в AWS. Решение AWS IAM позволяет и специально идентифицирует идентификатор Microsoft Entra как федерацию и источник проверки подлинности для своих клиентов.

Полный обзор этой интеграции можно найти в руководстве. Интеграция единого входа Microsoft Entra с Amazon Web Services (AWS)

Строгая проверка подлинности и проверка явного доверия

Поскольку многие клиенты продолжают поддерживать гибридную модель идентификации для служб Active Directory, команды инженеров по безопасности уделяют все большее значение вопросу внедрения решений для строгой проверки подлинности и блокировки устаревших методов проверки подлинности, связанных в основном с локальными и устаревшими технологиями Майкрософт.

Сочетание политик многофакторной проверки подлинности и условного доступа обеспечивает расширенную безопасность для распространенных сценариев проверки подлинности для конечных пользователей в организации. Хотя многофакторная проверка подлинности обеспечивает повышение уровня безопасности для подтверждения проверки подлинности, дополнительные элементы управления можно применять с помощью элементов управления условным доступом для блокировки устаревшей проверки подлинности в облачных средах Azure и AWS. Надежная проверка подлинности с использованием только современных клиентов проверки подлинности возможна только с помощью сочетания многофакторной проверки подлинности и политик условного доступа.

Cloud Platform Security (multicloud)

После создания общего удостоверения в многооблачной среде служба Cloud Platform Security (CPS) приложений Microsoft Defender для облака может использоваться для обнаружения, мониторинга, оценки и защиты этих служб. С помощью панели мониторинга Cloud Discovery специалисты по обеспечению информационной безопасности могут просматривать приложения и ресурсы, используемые на облачных платформах AWS и Azure. После проверки и разрешения служб на использование службы можно управлять как корпоративные приложения в идентификаторе Microsoft Entra, чтобы включить язык разметки утверждений безопасности (SAML), на основе пароля и связанный режим единого входа для удобства пользователей.

CPS также позволяет оценивать подключенные облачные платформы на предмет неправильной конфигурации и соответствия требованиям. Для этого используются рекомендованные поставщиком средства контроля безопасности и конфигурации. В этом случае организации могут поддерживать единое консолидированное представление всех служб облачных платформ и их состояние соответствия требованиям.

CPS также предоставляет политики контроля доступа и сеансов для защиты среды от представляющих риск конечных точек или пользователей в случае кражи данных или внедрения вредоносных файлов на эти платформы.

Microsoft Defender для облака

Microsoft Defender для облака обеспечивает унифицированное управление безопасностью и защиту от угроз в гибридных и многооблачных рабочих нагрузках, включая рабочие нагрузки в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Defender для облака помогает находить и исправлять уязвимости системы безопасности, применять средства управления доступом и приложениями для блокировки вредоносных действий, обнаруживать угрозы с помощью аналитики и интеллектуальных средств и быстро реагировать на атаки.

Чтобы защитить ресурсы на основе AWS в Microsoft Defender для облака, можно подключить учетную запись с помощью классического интерфейса облачных соединителей или на странице "Параметры среды" (предварительная версия), что является рекомендуемым вариантом.

Privileged Identity Management (Azure)

Чтобы ограничить и контролировать доступ для учетных записей с высоким уровнем привилегий в идентификаторе Microsoft Entra ID, можно включить управление привилегированными пользователями (PIM), чтобы обеспечить JIT-доступ к службам Azure. После развертывания PIM можно использовать для контроля и ограничения доступа с помощью модели назначения ролей, блокировки постоянного доступа для этих привилегированных учетных записей и дополнительного обнаружения и мониторинга пользователей с этими типами учетных записей.

Книги и сборники схем можно использовать вместе с Microsoft Sentinel для мониторинга и вывода оповещений для специалистов центра информационной безопасности при обнаружении случаев бокового движения скомпрометированных учетных записей

Согласованное комплексное управление удостоверениями

Все процессы должны содержать полное представление всех облачных и локальных систем, а персонал, отвечающий за безопасность и идентификацию, должен быть подготовлен для работы с этими процессами.

Использование единого удостоверения в идентификаторе Microsoft Entra, учетных записей AWS и локальных служб позволяет использовать эту сквозную стратегию и обеспечивает более высокую безопасность и защиту учетных записей для привилегированных и не привилегированных учетных записей. Клиенты, которые в настоящее время хотят уменьшить бремя поддержания нескольких удостоверений в своей стратегии в многооблачной стратегии, примите идентификатор Microsoft Entra для обеспечения согласованного и строгого контроля, аудита и обнаружения аномалий и злоупотреблений удостоверениями в своей среде.

Продолжающийся рост новых возможностей в экосистеме Microsoft Entra помогает оставаться перед угрозами вашей среды в результате использования удостоверений в качестве общего уровня управления в средах с несколькими облаками.

Следующие шаги