本指南說明Microsoft安全性解決方案如何協助保護及保護 Amazon Web Services (AWS) 帳戶存取和環境。
下圖摘要說明 AWS 安裝如何受益於主要Microsoft安全性元件:
Microsoft Entra
集中式身分識別和存取管理
Microsoft Entra ID 是一個全面的雲端式集中式身分識別和存取管理解決方案,可協助保護 AWS 帳戶和環境。
Microsoft Entra ID 可為幾乎所有遵循常見 Web 驗證標準的應用程式或平臺提供強式 SSO 驗證,包括 AWS。 支援重要工作負載和高度敏感性資訊的 AWS 帳戶需要強式身分識別保護和訪問控制。 當您將 AWS 身分識別管理與Microsoft Entra 標識碼結合時,會增強它。
針對 Microsoft 365 或混合式雲端身分識別和存取保護使用 Microsoft Entra ID 的 AWS 組織,可以快速且輕鬆地部署 AWS 帳戶Microsoft Entra ID,通常不會產生額外費用。 Microsoft Entra ID 提供數個功能來直接與 AWS 整合:
與 AWS IAM 身分識別中心整合,以增強安全性、改善用戶體驗、集中式訪問控制,以及跨舊版、傳統和新式驗證解決方案的 SSO。
Microsoft Entra 多重要素驗證,包括與來自 Microsoft Intelligent Security Association 合作夥伴的數個第三方解決方案整合。
強式驗證和嚴格治理的強大條件式存取功能。 Microsoft Entra ID 會使用條件式存取原則和風險型評定來驗證和授權使用者存取 AWS 管理控制台和 AWS 資源。
透過即時偵測和補救具風險的登入和不尋常的用戶行為,改善對身分識別型攻擊的保護。
Privileged Identity Management (PIM) 可啟用特定資源的 Just-In-Time 布建。 您可以藉由控制自定義群組的存取權,將 PIM 擴充至任何委派的許可權,例如您為 AWS 角色建立的群組。
如需詳細資訊和詳細指示,請參閱 Microsoft AWS 的 Entra 身分識別和存取管理。
Microsoft Entra 權限管理
許可權管理是一種雲端基礎結構權利管理解決方案,可全面檢視及控制 Azure、AWS 和 Google Cloud Platform 上多重雲端基礎結構上身分識別、動作和資源的許可權。 您可以使用權限管理來:
探索所有 AWS 帳戶未使用或過度的許可權數目,以透過身分識別、許可權和資源的多維度檢視來識別風險。
透過在所有 AWS 帳戶中強制執行 最低許可權原則來補救和調整許可權 大小。
監視和警示異常活動,以協助防止濫用和惡意惡意探索許可權所造成的數據外洩。
如需詳細資訊和詳細的上線指示,請參閱 將 Amazon Web Services (AWS) 帳戶上線。
Microsoft Defender for Cloud Apps
當數個使用者或角色進行系統管理變更時, 可能會發生設定偏離 預期的安全性架構和標準。 安全性標準也可以隨著時間而變更。 安全性人員必須持續且一致地偵測新的風險、評估風險降低選項,以及更新安全性架構,以協助防止潛在的缺口。 跨多個公用雲端和私人基礎結構環境的安全性管理可能會變得繁重。
適用於雲端的 Defender Apps 為軟體即服務 (SaaS) 應用程式提供增強的保護。 它提供下列功能來協助您監視及保護雲端應用程式資料:
基本雲端存取安全性代理人功能,包括影子IT探索、雲端應用程式使用方式的可見度、針對來自雲端任何地方的應用程式型威脅增強保護,以及資訊保護和合規性評定。
SaaS 安全性狀態管理功能 ,可讓安全性小組改善組織的安全性狀態。
進階威脅防護,作為Microsoft擴充偵測和回應解決方案的一部分,可讓信號和可見性在進階攻擊的完整網路攻擊鏈結之間產生強大的關聯。
應用程式對應用程式保護,其會將核心威脅案例延伸到具有重要數據和資源許可權的 OAuth 啟用應用程式。
將 AWS 連線到 適用於雲端的 Defender Apps 可協助您保護資產,並藉由監視系統管理與登入活動來偵測潛在威脅。 您會收到可能的暴力密碼破解攻擊、惡意使用特殊許可權用戶帳戶、異常刪除 VM,以及公開的記憶體貯體通知。 適用於雲端的 Defender 應用程式可協助保護 AWS 環境免於濫用雲端資源、遭入侵的帳戶和內部威脅、數據外泄和資源設定錯誤,以及訪問控制不足。 當您使用 AWS 環境時,下列 適用於雲端的 Defender Apps 功能特別有用。
偵測雲端威脅、遭入侵的帳戶、惡意測試人員及勒索軟體。 當 AWS 中的使用者執行異常活動時,會觸發 適用於雲端的 Defender 應用程式異常偵測原則。 適用於雲端的 Defender Apps 會持續監視用戶的活動,並使用 UEBA 和機器學習來瞭解並了解使用者的典型行為,並觸發任何偏差的警示。
限制共享數據的曝光,並強制執行共同作業原則。 透過通知使用者警示、要求重新驗證或暫停使用者、將 S3 貯體私用或從 S3 貯體中移除共同作業者等動作自動化治理控制。
稽核活動。 將 AWS 稽核連線到 適用於雲端的 Defender 應用程式,以深入瞭解使用者、系統管理員和登入活動。
取得 AWS 的增強即時保護。 使用 適用於雲端的 Defender 應用程式條件式存取應用程控來封鎖並協助保護有風險的使用者下載敏感數據。
如需如何將 AWS 環境連線至 適用於雲端的 Defender Apps 的詳細資訊,請參閱保護您的 Amazon Web Services 環境。
適用於雲端的 Microsoft Defender
適用於雲端的 Defender 是雲端原生應用程式保護平臺,由安全性措施和做法所組成,旨在保護雲端式應用程式免於各種網路威脅和弱點。 適用於雲端的 Defender 提供下列功能:
開發安全性作業解決方案,可跨多雲端和多管線環境將程式代碼層級的安全性管理統一
雲端安全性狀態管理 (CSPM) 解決方案,可呈現您可以採取的動作,以協助防止缺口
雲端工作負載保護平臺 (CWPP) 可為伺服器、容器、記憶體、資料庫和其他工作負載提供保護
適用於雲端的 Defender 原生 AWS 支援提供數個優點:
AWS 資源的基礎 CSPM
適用於 AWS 資源的 Defender CSPM
Amazon EKS 叢集的 CWPP 支援
AWS EC2 實例的 CWPP 支援
在 AWS EC2 上執行的 SQL Server 支援 CWPP 支援,以及 SQL Server 的 RDS 自定義
基本 CPSM 和 Defender CSPM 都是完全無代理程式。 基礎 CSPM 提供如何最好地強化 AWS 資源並補救錯誤設定的建議。 適用於雲端的 Defender 免費提供基本多重雲端 CSPM 功能。
Defender CSPM 提供進階狀態管理功能,例如 攻擊路徑分析、 雲端安全性總管、進階威脅搜捕和安全性 治理功能。 它也提供工具,以各種基準檢驗、法規標準,以及組織、產業或區域所需的任何自定義安全策略來評估 您的安全性合規性 。
AWS EC2 實例的 CWPP 支援提供在現有和新電腦上自動布建必要條件、弱點評估、適用於端點的 Microsoft Defender 整合式授權、檔案完整性監視等功能。
Amazon EKS 叢集的 CWPP 支援提供功能,例如探索未受保護的叢集、控制平面和工作負載層級的進階威脅偵測、Kubernetes 數據平面建議(透過 Azure 原則 延伸模組),等等。
在 AWS EC2 和 AWS RDS 自定義 SQL Server 上執行的 SQL Server 支援 CWPP 支援提供進階威脅防護、弱點評估掃描等功能。
安全性標準支持根據因特網安全性中心(CIS)和支付卡產業(PCI)標準,以及 AWS 基礎安全性最佳做法標準等法規合規性標準來評估 AWS 中的資源和工作負載。
如需保護 AWS 中工作負載的詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中聯機 AWS 帳戶和指派法規合規性標準。
Microsoft Sentinel
Microsoft Sentinel 是可調整的雲端原生安全性資訊和事件管理 (SIEM) 系統,可為 SIEM 和安全性協調流程、自動化和回應提供智慧且全面的解決方案。 Microsoft Sentinel 提供網路威脅偵測、調查、回應和主動搜捕。 它提供您企業內部的鳥眼檢視。
您可以使用 AWS 連接器,將 AWS 服務記錄提取到 sentinel Microsoft。 這些連接器的運作方式是將Microsoft Sentinel 存取權授與 AWS 資源記錄。 設定連接器會建立 AWS 與Microsoft Sentinel 之間的信任關係。 您可以在 AWS 上建立此關聯性,方法是建立角色,以授與Microsoft Sentinel 存取 AWS 記錄的許可權。
連接器可以從 S3 貯體提取記錄,從下列 AWS 服務擷取記錄:
| 服務 | 資料來源 |
|---|---|
| Amazon Virtual Private Cloud (IMF) | VPC 流量記錄。 |
| Amazon GuardDuty | GuardDuty 結果 |
| AWS CloudTrail | 管理和數據事件 |
| AWS CloudWatch | CloudWatch 記錄 |
如需如何在 Microsoft Sentinel 中安裝和設定 AWS 連接器的詳細資訊,請參閱 將 sentinel Microsoft Sentinel 連線到 Amazon Web Services 以內嵌 AWS 服務記錄數據。
建議
使用Microsoft安全性解決方案和基本 AWS 安全性建議來保護 AWS 帳戶。
基本 AWS 帳戶安全性
如需 AWS 帳戶和資源基本安全性衛生的相關信息,請檢閱 AWS 安全性指引,以了解 保護 AWS 帳戶和資源的最佳作法。
透過 AWS 管理主控台主動檢查所有資料傳輸,以降低上傳和下載惡意程式碼和其他惡意內容的風險。 您直接上傳或下載至 AWS 平臺內資源的內容,例如網頁伺服器或資料庫,可能需要額外的保護。
定期輪替金鑰來提供存取金鑰的安全性。 避免將它們內嵌在程序代碼中。 盡可能使用 IAM 角色,而不是長期存取金鑰。
使用安全組和網路 ACL 來控制資源的輸入和輸出流量。 實作以隔離資源。
使用 AWS 金鑰管理服務 加密待用和傳輸中的敏感數據。
保護系統管理員和開發人員用來存取 AWS 管理主控台的裝置。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- 拉瓦尼亞·默錫 |主要雲端解決方案架構師
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。