你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure 和 Amazon Web Services (AWS) 的多云安全和标识
虽然不是有意实施的战略意图,但许多组织实际上实施了多云战略。 在多云环境中,确保一致的安全和标识体验至关重要,这是为了避免开发者和业务计划遇到更多摩擦,以及避免利用安全漏洞的网络攻击带来更多组织风险。
推动跨云安全和标识一致性的因素应包括:
- 多云标识集成
- 强身份验证和显式信任验证
- 云平台安全(多云)
- Microsoft Defender for Cloud
- Privileged Identity Management (Azure)
- 一致的端到端标识管理
多云标识集成
使用 Azure 和 AWS 云平台的客户将受益于使用 Microsoft Entra ID 和单一登录 (SSO) 服务在这两个云之间合并标识服务。 此模型提供一个合并的标识平面,通过该平面可以一致地评估和治理对两个云中的服务的访问。
这种方法允许在 AWS 的身份和访问管理 (IAM) 服务中启用 Microsoft Entra ID 中丰富的基于角色的访问控制,使用规则将 Microsoft Entra ID 中的 user.userprincipalname
和 user.assignrole
属性与 IAM 权限相关联。 此方法可减少需要跨两个云维护的唯一标识用户和管理员,包括根据 AWS 采用的帐户设计合并标识。 AWS IAM 解决方案提供 Microsoft Entra ID,并明确将其标识为客户的联合与身份验证源。
此集成的完整演练可在教程:Microsoft Entra 单一登录 (SSO) 与 Amazon Web Services (AWS) 集成中找到。
强身份验证和显式信任验证
由于许多客户继续支持 Active Directory 服务的混合标识模型,因此对安全工程团队来说,实现强身份验证解决方案并阻止主要与本地和旧版 Microsoft 技术关联的旧式身份验证方法变得越来越重要。
多重身份验证与条件访问策略的组合可为组织的最终用户增强常见身份验证方案的安全。 虽然多重身份验证本身提供增强的安全级别来确认身份验证,但可以通过使用条件访问控制阻止旧式身份验证,将其他控制应用于 Azure 和 AWS 云环境。 只有通过将多重身份验证与条件访问策略相结合,才能实现仅使用新式身份验证客户端的强身份验证。
云平台安全(多云)
在多云环境中建立通用标识后,可以使用 Microsoft Defender for Cloud Apps 的云平台安全 (CPS) 服务来发现、监视、评估和保护这些服务。 使用 Cloud Discovery 仪表板,安全运营人员可以跨 AWS 和 Azure 云平台查看正在使用的应用和资源。 对服务进行评审并批准使用后,可以在 Microsoft Entra ID 中将服务作为企业应用程序进行管理,以启用安全断言标记语言 (SAML) 和基于密码的关联单一登录模式,为用户提供便利。
CPS 还提供以下功能:使用专为供应商推荐的安全和配置控制来评估连接的云平台的配置错误和符合性。 此设计使组织能够维护所有云平台服务及其符合性状态的单个合并视图。
CPS 还提供访问和会话控制策略,以在数据外泄或恶意文件入侵这些平台时,保护环境免受有风险的终结点或用户的影响。
Microsoft Defender for Cloud
Microsoft Defender for Cloud 跨混合云工作负载和多云工作负载(包括 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载)提供统一的安全管理和威胁防护。 借助 Defender for Cloud,可以查找和修复安全漏洞、应用访问和应用程序控制来阻止恶意活动、使用分析和智能检测威胁,以及在受到攻击时迅速做出响应。
要在 Microsoft Defender for Cloud 中保护基于 AWS 的资源,可以使用经典云连接器体验或“环境设置”页面(预览版)连接帐户,建议使用后者。
Privileged Identity Management (Azure)
要限制和控制 Microsoft Entra ID 中最高特权帐户的访问权限,可以启用 Privileged Identity Management (PIM),为 Azure 服务提供即时访问。 部署后,可以通过 PIM 使用分配模型来控制和限制角色的访问权限,消除这些特权帐户的持久性访问权限,并提供对拥有这些帐户类型的用户的额外发现和监视。
与 Microsoft Sentinel 结合使用时,可以建立工作簿和剧本以进行监视,并在遭到入侵的帐户出现横向移动时向安全运营中心人员发出警报。
一致的端到端标识管理
确保所有流程包含所有云以及本地系统的端到端视图,并确保安全和标识人员已接受有关这些流程的培训。
跨 Microsoft Entra ID、AWS 帐户和本地服务使用单个标识可实现此端到端策略,并为特权帐户和非特权帐户提供更高的安全性和保护。 客户当前希望减轻在多云策略中维护多个标识的负担,他们采用 Microsoft Entra ID,以便对其环境中标识的异常和滥用提供一致且强大的控制、审核和检测。
随着整个 Microsoft Entra 生态系统中新功能的不断增长,有助于你将标识用作多云环境中的常见控制平面,从而提前预知风险。
后续步骤
- Microsoft Entra B2B:用于从合作伙伴管理的标识访问你的企业应用程序。
- Azure Active Directory B2C:该服务针对面向消费者的应用程序提供单一登录和用户管理支持。
- Microsoft Entra 域服务:托管的域控制器服务,可实现与 Active Directory 兼容的域加入和用户管理功能。
- Microsoft Azure 安全入门
- Azure 标识管理和访问控制安全最佳实践