连接 AWS 帐户

  • 11 分钟

将 AWS 帐户载入 Microsoft Defender for Cloud,集成了 AWS 安全中心和 Defender for Cloud。 这样 Defender for Cloud 便可同时在这两个云环境中提供可见性和保护,从而能够:

  • 自动代理预配(Defender for Cloud 使用 Azure Arc 将 Log Analytics 代理部署到 AWS 实例)

  • 策略管理

  • 漏洞管理

  • 嵌入的终结点检测和响应 (EDR)

  • 检测安全配置错误

  • 集中通过一个视图显示 Defender for Cloud 建议和 AWS 安全中心的发现结果

  • 将 AWS 资源整合到 Defender for Cloud 的安全功能分数计算中

  • AWS 资源的合规性评估

在下面的屏幕截图中,可以看到安全中心“概述”仪表板中显示了 AWS 帐户。

Screenshot of the A W S account overview settings.

按照以下步骤创建 AWS 云连接器。

设置 AWS 安全中心:

若要查看针对多个区域的安全建议,请针对每个相关区域重复以下步骤。 如果使用的是 AWS 主帐户,请重复以下三个步骤,在所有相关区域中配置主帐户和所有连接的成员帐户

  1. 启用 AWS Config。

  2. 启用 AWS 安全中心。

  3. 验证是否有数据流向安全中心。

首次启用安全中心时,可能需要几个小时才能获得数据。

在 AWS 中设置安全中心身份验证

Defender for Cloud 可以通过两种方法向 AWS 进行身份验证:

  • 为 Defender for Cloud 创建 IAM 角色 - 此方法最安全,建议使用

  • Defender for Cloud 的 AWS 用户 - 安全性相对较低的选项(如果不启用 IAM)

为 Defender for Cloud 创建 IAM 角色:

在 Amazon Web Services 控制台中,在“安全性、标识与符合性”下选择“IAM”。

  1. 选择“角色”和“创建角色”。

  2. 选择“另一个 AWS 帐户”。

  3. 输入以下详细信息:

    • 帐户 ID - 输入安全中心的 AWS 连接器页中显示的 Microsoft 帐户 ID (158177204117)。

    • 需要外部 ID - 应选择

    • 外部 ID - 输入安全中心的 AWS 连接器页中显示的订阅 ID

  4. 选择“下一页”。

  5. 在“附加权限策略”部分中,选择以下策略:

    • SecurityAudit

    • AmazonSSMAutomationRole

    • AWSSecurityHubReadOnlyAccess

  6. 选择性地添加标记。 将标记添加到用户不会影响连接。

  7. 选择“下一步” 。

  8. 在“角色”列表中,选择创建的角色

  9. 保存 Amazon 资源名称 (ARN) 待稍后使用。

配置 SSM 代理

跨 AWS 资源自动执行任务需要使用 AWS Systems Manager。 如果 EC2 实例没有 SSM 代理,请按照 Amazon 的相关说明进行操作:

完成 Azure Arc 先决条件

确保注册适当的 Azure 资源提供程序:

  • Microsoft.HybridCompute

  • Microsoft.GuestConfiguration

为大规模加入创建服务主体。 在你要用于完成加入过程的订阅上,以所有者身份按照为大规模加入创建服务主体中的说明创建一个服务主体用于 Azure Arc 加入过程。

将 AWS 连接到 Defender for Cloud

在 Defender for Cloud 的菜单中,选择“安全解决方案”,然后选择“多云连接器”。

选择“添加 AWS 帐户”。

在“AWS 身份验证”选项卡中配置选项:

  1. 在“显示名称”中输入连接器的显示名称。

  2. 确认订阅是正确的。 这是将要包含连接器和 AWS 安全中心建议的订阅。

  3. 根据之前在“步骤 2:在 AWS 中设置安全中心身份验证”中 选择的身份验证选项:

    • 选择“担任角色”,然后粘贴“为安全中心创建 IAM 角色”中的 ARN。 将 ARN 文件粘贴到 Azure 门户中 AWS 连接向导的相关字段中

    • 选择“凭据”,并在其中粘贴为安全中心创建 AWS 用户中保存的 .csv 文件中的访问密钥和机密密钥。

  4. 选择“下一页”。

  5. 在“Azure Arc 配置”选项卡中配置选项:

    • Defender for Cloud 在连接的 AWS 帐户中发现 EC2 实例,并使用 SSM 将其加入 Azure Arc。

    • 选择要在所选订阅中将所发现的 AWS EC2 加入到其中的资源组和 Azure 区域。

    • 在“服务主体 ID”和“服务主体客户端机密”中输入 Azure Arc 的相应信息,如此处的创建服务主体以用于大规模载入中所述

    • 如果计算机通过代理服务器连接到 Internet,请指定代理服务器 IP 地址或名称,以及供计算机用来与代理服务器通信的端口号。 以 http://<proxyURL>:<proxyport> 格式输入值

  6. 选择“查看 + 创建” 。

  7. 查看摘要信息

  8. “标记”部分会列出将自动为每个载入的 EC2 创建的所有 Azure 标记及其相关详细信息,以便于在 Azure 中轻松识别它。

确认

成功创建连接器并正确配置 AWS 安全中心后:

  • Defender for Cloud 扫描 AWS EC2 实例的环境,将其加入 Azure Arc,使其能够安装 Log Analytics 代理并提供威胁防护和安全建议。

  • ASC 服务每隔 6 小时扫描一次新的 AWS EC2 实例,并根据配置将其加入。

  • Defender for Cloud 的法规合规性仪表板中会显示 AWS CIS 标准。

  • 如果启用了安全中心策略,加入过程完成 5-10 分钟后,Defender for Cloud 门户和合规性仪表板中会显示建议。