Dela via


Säkerhet och identitet för flera moln med Azure och Amazon Web Services (AWS)

Många organisationer befinner sig med en de facto-strategi för flera moln, även om det inte var deras avsiktliga strategiska avsikt. I en miljö med flera moln är det viktigt att säkerställa konsekventa säkerhets- och identitetsupplevelser för att undvika ökad friktion för utvecklare, affärsinitiativ och ökad organisationsrisk från cyberattacker som utnyttjar säkerhetsluckor.

Att skapa säkerhets- och identitetskonsekvens mellan moln bör omfatta:

  • Integrering av flera molnidentiteter
  • Stark autentisering och explicit förtroendeverifiering
  • Cloud Platform Security (multicloud)
  • Microsoft Defender for Cloud
  • Privilege Identity Management (Azure)
  • Konsekvent identitetshantering från slutpunkt till slutpunkt

Integrering av flera molnidentiteter

Kunder som använder både Azure- och AWS-molnplattformar drar nytta av att konsolidera identitetstjänster mellan dessa två moln med hjälp av Microsoft Entra ID - och SSO-tjänster (Enkel inloggning). Den här modellen möjliggör ett konsoliderat identitetsplan genom vilket åtkomst till tjänster i båda molnen konsekvent kan nås och styras.

Med den här metoden kan de omfattande rollbaserade åtkomstkontrollerna i Microsoft Entra-ID aktiveras i IAM-tjänsterna (IAM) i AWS med hjälp av regler för att associera attributen user.userprincipalname och user.assignrole från Microsoft Entra-ID:t till IAM-behörigheter. Den här metoden minskar antalet unika identiteter som användare och administratörer måste underhålla i båda molnen, inklusive en konsolidering av identiteten per kontodesign som AWS använder. AWS IAM-lösningen möjliggör och identifierar specifikt Microsoft Entra-ID som federations- och autentiseringskälla för sina kunder.

En fullständig genomgång av den här integreringen finns i Självstudie: Microsoft Entra-integrering med enkel inloggning (SSO) med Amazon Web Services (AWS).

Stark autentisering och explicit förtroendeverifiering

Eftersom många kunder fortsätter att stödja en hybrididentitetsmodell för Active Directory-tjänster blir det allt viktigare för säkerhetstekniker att implementera starka autentiseringslösningar och blockera äldre autentiseringsmetoder som främst är associerade med lokala och äldre Microsoft-tekniker.

En kombination av multifaktorautentisering och principer för villkorsstyrd åtkomst möjliggör förbättrad säkerhet för vanliga autentiseringsscenarier för slutanvändare i din organisation. Även om multifaktorautentisering i sig ger en ökad säkerhetsnivå för att bekräfta autentiseringar, kan ytterligare kontroller användas med hjälp av kontroller för villkorlig åtkomst för att blockera äldre autentisering i både Azure- och AWS-molnmiljöer. Stark autentisering med endast moderna autentiseringsklienter är bara möjligt med kombinationen av multifaktorautentisering och principer för villkorsstyrd åtkomst.

Cloud Platform Security (multicloud)

När en gemensam identitet har upprättats i din multimolnmiljö kan tjänsten Cloud Platform Security (CPS) för Microsoft Defender för molnet Apps användas för att identifiera, övervaka, utvärdera och skydda dessa tjänster. Med hjälp av Cloud Discovery-instrumentpanelen kan säkerhetspersonal granska de appar och resurser som används på AWS- och Azure-molnplattformar. När tjänsterna har granskats och sanktionerats för användning kan tjänsterna sedan hanteras som företagsprogram i Microsoft Entra-ID för att aktivera SAML (Security Assertion Markup Language), lösenordsbaserat och länkat läge för enkel inloggning för att underlätta för användarna.

CPS ger också möjlighet att utvärdera de molnplattformar som är anslutna för felkonfigurationer och efterlevnad med hjälp av leverantörsspecifika rekommenderade säkerhets- och konfigurationskontroller. Den här designen gör det möjligt för organisationer att upprätthålla en enda konsoliderad vy över alla molnplattformstjänster och deras efterlevnadsstatus.

CPS tillhandahåller också åtkomst- och sessionskontrollprinciper för att förhindra och skydda din miljö från riskfyllda slutpunkter eller användare när dataexfiltrering eller skadliga filer introduceras på dessa plattformar.

Microsoft Defender for Cloud

Microsoft Defender för molnet ger enhetlig säkerhetshantering och skydd mot hot i dina hybrid- och multimolnarbetsbelastningar, inklusive arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP). Defender för molnet hjälper dig att hitta och åtgärda säkerhetsrisker, tillämpa åtkomst- och programkontroller för att blockera skadlig aktivitet, identifiera hot med hjälp av analys och intelligens och svara snabbt när de attackeras.

För att skydda dina AWS-baserade resurser på Microsoft Defender för molnet kan du ansluta ett konto med antingen den klassiska molnanslutningsupplevelsen eller sidan Miljöinställningar (i förhandsversion), vilket rekommenderas.

Privileged Identity Management (Azure)

För att begränsa och kontrollera åtkomsten för dina högst privilegierade konton i Microsoft Entra-ID kan Privileged Identity Management (PIM) aktiveras för att ge just-in-time-åtkomst till Azure-tjänster. När PIM har distribuerats kan det användas för att styra och begränsa åtkomsten med hjälp av tilldelningsmodellen för roller, eliminera beständig åtkomst för dessa privilegierade konton och tillhandahålla ytterligare identifiering och övervakning av användare med dessa kontotyper.

I kombination med Microsoft Sentinel kan arbetsböcker och spelböcker upprättas för att övervaka och skapa aviseringar till personalen på säkerhetscentret när det finns lateral förflyttning av konton som har komprometterats.

Konsekvent identitetshantering från slutpunkt till slutpunkt

Se till att alla processer innehåller en heltäckande vy över alla moln samt lokala system och att säkerhets- och identitetspersonal utbildas i dessa processer.

Med hjälp av en enda identitet i Microsoft Entra-ID möjliggör AWS-konton och lokala tjänster den här strategin från slutpunkt till slutpunkt och ger bättre säkerhet och skydd av konton för privilegierade och icke-privilegierade konton. Kunder som för närvarande vill minska ansvaret för att underhålla flera identiteter i sin strategi för flera moln använder Microsoft Entra-ID för att ge konsekvent och stark kontroll, granskning och identifiering av avvikelser och missbruk av identiteter i sin miljö.

Fortsatt tillväxt av nya funktioner i Microsoft Entra-ekosystemet hjälper dig att ligga steget före hot mot din miljö som ett resultat av att använda identiteter som ett vanligt kontrollplan i dina miljöer med flera moln.

Nästa steg