本指南介绍 Microsoft 安全解决方案如何帮助保护 Amazon Web Services (AWS) 帐户访问和环境的安全。
此图总结了 AWS 安装如何从关键的 Microsoft 安全组件中受益:
下载此图的 PowerPoint 文件。
Microsoft Entra
集中标识和访问管理
Microsoft Entra ID 是一个全面的、基于云的集中标识和访问管理解决方案,可帮助保护 AWS 帐户和环境的安全。
Microsoft Entra ID 可为包括 AWS 在内的几乎所有遵循通用 Web 身份验证标准的应用或平台提供强大的 SSO 身份验证功能。 为关键工作负荷和高度敏感的信息提供支持的 AWS 帐户需要强大的标识保护和访问控制解决方案。 如果将 AWS 标识管理与 Microsoft Entra ID 相结合,就能增强其功能。
将 Microsoft Entra ID 用于 Microsoft 365 或混合云标识和访问保护的 AWS 组织可以快速轻松地为 AWS 帐户部署 Microsoft Entra ID,通常不会产生额外费用。 Microsoft Entra ID 提供了可与 AWS 直接集成的多种功能:
与 AWS IAM 标识中心集成,以增强安全性、改善用户体验、集中访问控制,以及跨传统、传统和新式身份验证解决方案的 SSO。
Microsoft Entra 多重身份验证,包括与 Microsoft Intelligent Security Association 合作伙伴的多个第三方解决方案集成。
用于强身份验证和严格治理的强大条件访问功能。 Microsoft Entra ID 使用条件访问策略和基于风险的评估来为用户对 AWS 管理控制台和 AWS 资源的访问进行身份验证和授权。
通过对风险登录和异常用户行为进行实时检测和补救,加强了对基于标识的攻击的防护。
Privileged Identity Management (PIM),以实现特定资源的实时预配。 可以通过控制自定义组(如为访问 AWS 角色而创建的组)的访问权限,将 PIM 扩展到任何委托的权限。
有关更详细的说明,请参阅适用于 AWS 的 Microsoft Entra 身份验证和访问控制管理。
Microsoft Entra 权限管理
权限管理是一种云基础结构权利管理解决方案,可全面了解和控制 Azure、AWS 和 Google Cloud Platform 多云基础结构中的标识、操作和资源权限。 可以使用“权限管理”来执行以下操作:
通过身份、权限和资源的多维视图,发现所有 AWS 帐户中未使用或过多的权限数量,从而识别风险。
通过在所有 AWS 帐户中执行最小权限原则来补救和调整权限。
监控异常活动并发出警报,以帮助防止滥用和恶意利用权限造成的数据泄露。
有关详细信息和详细的加入说明,请参阅加入 Amazon Web Services (AWS) 帐户。
Microsoft Defender for Cloud Apps
当多个用户或角色进行管理更改时,可能会出现配置偏离预期安全体系结构和标准的情况。 安全标准也会随着时间而改变。 安全人员必须持续不断地检测新风险、评估缓解方案并更新安全体系结构,以帮助防止潜在的漏洞。 跨多个公共云和私有基础设施环境的安全管理可能会让管理工作变得非常繁重。
Defender for Cloud Apps 可为软件即服务 (SaaS) 应用程序提供增强保护。 它提供以下功能来帮助监控和保护云应用数据:
基本的云访问安全代理功能,包括影子 IT 发现、云应用使用的可见性、针对来自云中任何地方基于应用的威胁的增强保护,以及信息保护和合规性评估。
SaaS 安全态势管理功能,使安全团队能够改善组织的安全态势。
高级威胁防护,作为 Microsoft 扩展检测和响应解决方案的一部分,可在高级攻击的整个网络攻击链中实现强大的信号相关性和可见性。
应用到应用保护,它将核心威胁场景扩展到对关键数据和资源拥有权限的启用 OAuth 的应用。
将 AWS 连接到 Defender for Cloud Apps 可通过监控管理和登录活动来帮助保护资产安全并检测潜在威胁。 你会收到可能的暴力攻击、恶意使用特权用户帐户、异常删除 VM 和被公开的存储桶的通知。 Defender for Cloud Apps 可帮助保护 AWS 环境,防止云资源被滥用、帐户泄露和内部威胁、数据泄露以及资源配置错误和访问控制不足。 在使用 AWS 环境时,以下 Defender for Cloud Apps 尤其有用。
检测云威胁、被盗用的帐户、恶意内部人员和勒索软件。 当用户在 AWS 中执行异常活动时,Defender for Cloud Apps 会触发异常情况检测策略。 Defender for Cloud Apps 可持续监控用户的活动,并使用 UEBA 和机器学习来学习和了解用户的典型行为,并对任何偏差触发警报。
限制共享数据的暴露并强制执行协作策略。 通过通知用户有关警报、要求重新身份验证或冻结用户、将 S3 存储桶设为私有或从 S3 存储桶中移除协作者等操作来自动执行治理控制。
审核活动。 将 AWS 审核连接到 Defender for Cloud Apps,以了解用户、管理员和登录活动。
为 AWS 提供增强的实时保护。 使用 Defender for Cloud Apps 条件访问应用控制来阻止并帮助保护风险用户下载敏感的 AWS 数据。
有关如何将 AWS 环境连接到 Defender for Cloud Apps 的详细信息,请参阅保护 Amazon Web Services 环境。
Microsoft Defender for Cloud
Defender for Cloud 是一个云原生应用程序保护平台,由各种安全措施和实践组成,旨在保护基于云的应用程序免受各种网络威胁和漏洞的侵害。 Defender for Cloud 提供以下功能:
开发安全运营解决方案,可在多云和多管道环境中统一代码级安全管理
云安全态势管理 (CSPM) 解决方案,可显示采取的行动,帮助防止外泄
云工作负载保护平台 (CWPP),可为服务器、容器、存储、数据库和其他工作负荷提供保护
Defender for Cloud 原生 AWS 支持具备多种优势:
适用于 AWS 资源的基础 CSPM
适用于 AWS 资源的 Defender CSPM
适用于 Amazon EKS 群集的 CWPP 支持
适用于 AWS EC2 实例的 CWPP 支持
为在 AWS EC2 上运行的 SQL Server 提供 CWPP 支持,并为 SQL Server 自定义 RDS
基础 CPSM 和 Defender CSPM 都是完全无代理的。 基础 CSPM 就如何以最佳方式强化 AWS 资源和修复错误配置提出了建议。 Defender for Cloud 免费提供基础多云 CSPM 功能。
Defender CSPM 提供高级态势管理功能,如攻击路径分析、云安全资源管理器、高级威胁搜寻和安全治理功能。 它还提供了各种工具,用于评估安全合规性是否符合各种基准、监管标准以及组织、行业或地区所需的任何自定义安全策略。
适用于 AWS EC2 实例的 CWPP 支持提供了多种功能,如在现有和新机器上自动设置先决条件、漏洞评估、Microsoft Defender for Endpoint 的集成许可证、文件完整性监控以及更多。
适用于 Amazon EKS 群集的 CWPP 支持,可提供发现未受保护的群集、控制平面和工作负荷级别的高级威胁检测、Kubernetes 数据平面建议(通过 Azure 策略扩展)以及更多。
适用于在 AWS EC2 和 AWS RDS Custom for SQL Server 上运行的 SQL Server 的 CWPP 支持,提供高级威胁保护、漏洞评估扫描以及更多。
安全标准支持根据互联网安全中心(CIS)和支付卡行业(PCI)标准等监管合规标准以及 AWS 基础安全最佳做法标准评估 AWS 中的资源和工作负荷。
有关在 AWS 中保护工作负荷的详细信息,请参阅连接 AWS 帐户以及在 Microsoft Defender for Cloud 中指定法规合规性标准。
Microsoft Sentinel
Microsoft Sentinel 是一个可缩放的云原生安全信息和事件管理 (SIEM) 系统,它为 SIEM 和安全业务流程、自动化和响应提供了一个智能而全面的解决方案。 Microsoft Sentinel 提供网络威胁检测、调查、响应和主动搜寻功能。 它能让你概览整个企业。
可以使用 AWS 连接器将 AWS 服务日志提取到 Microsoft Sentinel 中。 这些连接器通过授予 Microsoft Sentinel 访问你的 AWS 资源日志来运行。 设置连接器会在 AWS 和 Microsoft Sentinel 之间建立信任关系。 在 AWS 上创建这种关系的方法是创建一个允许 Microsoft Sentinel 访问 AWS 日志的角色。
连接器可以从 S3 存储桶中提取以下 AWS 服务引入日志:
| 服务 | 数据源 |
|---|---|
| Amazon Virtual Private Cloud (VPC) | VPC 流日志 |
| Amazon GuardDuty | GuardDuty 调查结果 |
| AWS CloudTrail | 管理和数据事件 |
| AWS CloudWatch | CloudWatch 日志 |
有关如何在 Microsoft Sentinel 中安装和配置 AWS 连接器的详细信息,请参阅将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS 服务日志数据。
建议
使用 Microsoft 安全解决方案和 AWS 基本安全建议来保护 AWS 帐户。
基本 AWS 帐户安全性
有关 AWS 帐户和资源的基本安全卫生信息,请查看保护 AWS 帐户和资源的最佳做法中的 AWS 安全指南。
通过 AWS 管理控制台主动检查所有数据传输,降低上传和下载恶意软件及其他恶意内容的风险。 直接上传或下载到 AWS 平台中的资源(例如 Web 服务器或数据库)的内容可能需要额外的保护。
定期轮换密钥,确保访问密钥的安全。 避免将其嵌入代码中。 尽可能使用 IAM 角色而不是长期访问密钥。
使用安全组和网络 ACL 控制资源的入站和出站流量。 实现 VPC 以隔离资源。
使用 AWS 密钥管理服务对静态和传输中的敏感数据进行加密。
保护管理员和开发人员用于访问 AWS 管理控制台的设备。
作者
本文由 Microsoft 维护, 最初由以下参与者撰写。
主要作者:
- Lavanya Murthy | 首席云解决方案架构师
要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。