Připojení účtů AWS do programu Microsoft Defender pro Cloud

  • Článek
  • 10 min ke čtení

Poznámka

Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.

Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.

Cloudové úlohy běžně pokrývá několik cloudových platforem, ale cloudové služby zabezpečení musí provádět stejné.

Microsoft Defender pro Cloud chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).

K ochraně prostředků založených na AWS můžete připojit účet s jedním ze dvou mechanismů:

  • Prostředí klasického cloudového konektoru – jako součást prvotní nabídky pro více cloudů zavádíme tyto cloudové konektory jako způsob připojení vašich účtů AWS a GCP. Pokud jste už nakonfigurovali konektor AWS prostřednictvím prostředí Classic cloudové konektory, doporučujeme znovu připojit účet pomocí novějšího mechanismu. Po přidání účtu pomocí stránky nastavení prostředí Odeberte starý konektor, abyste se vyhnuli zobrazování duplicitních doporučení.

  • Stránka nastavení prostředí ( doporučeno) – Tato stránka Preview nabízí výrazně vylepšené a jednodušší prostředí připojování (včetně automatického zřizování). Tento mechanismus také rozšiřuje Defender pro funkce rozšířeného zabezpečení cloudu na prostředky AWS.

    • Defender pro CSPM funkce cloudu se rozšiřuje na vaše prostředky AWS. Tento plán bez agentů posuzuje vaše AWS prostředky podle doporučení zabezpečení specifických pro AWS a ty jsou zahrnuté do vašeho zabezpečeného skóre. U prostředků se taky vyhodnotí dodržování předpisů pomocí integrovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundation – osvědčené postupy zabezpečení). Defender pro stránku inventáře assetů cloudu je funkce s více cloudy, která vám pomůže spravovat prostředky AWS společně s prostředky Azure.
    • Microsoft Defender pro kontejnery rozšiřuje detekci hrozeb a pokročilou obranu programu Defender pro Kubernetes do vašich clusterů Amazon EKS.
    • Microsoft Defender pro servery přináší detekci hrozeb a pokročilou ochranu pro vaše Windows a Linux EC2 instance. Tento plán zahrnuje integrovanou licenci pro program Microsoft Defender pro koncové body, základní hodnoty zabezpečení a vyhodnocení na úrovni operačního systému, kontrolu posouzení ohrožení zabezpečení, rozhraní AAC (adaptivní řízení aplikací), sledování integrity souborů (FIM) a další.

Tento snímek obrazovky ukazuje účty AWS zobrazené v programu Defender pro řídicí panel přehleducloudu.

Čtyři projekty AWS uvedené v programu Defender pro řídicí panel přehledu cloudu

Dostupnost

Aspekt Podrobnosti
Stav vydaných verzí: Tisk.
Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Stanov Plán CSPM je zdarma.
Plán Defender for Containers je ve verzi Preview zdarma. V takovém případě se vám bude účtovat stejná cena jako v programu Defender for Kubernetes Plan pro prostředky Azure.
Pro každý počítač s AWS připojený k Azure pomocí serverů s podporou ARC Azurese vám bude účtovat cena za stejnou cenu jako v plánu Microsoft Defender for Servers pro počítače Azure. Pokud AWS EC2 nemá nasazeného agenta Azure ARC, nebudete se za tento počítač účtovat.
Požadované role a oprávnění: Vlastník pro příslušné předplatné Azure
Přispěvatel může připojit účet AWS také v případě, že vlastník poskytne hlavní informace o instančním objektu (povinné pro plán služby Defender pro servery).
Cloud Komerční cloudy
National (Azure Government, Azure Čína 21Vianet)

Požadavky

Připojení účtu AWS

Pomocí následujících kroků vytvořte cloudový konektor AWS.

  1. Z nabídky Defender pro cloudovou nabídku otevřete nastavení prostředí.

  2. Vyberte Přidat prostředí > Amazon Web Services.

    Připojení účtu AWS k předplatnému Azure.

  3. Zadejte podrobnosti účtu AWS, včetně umístění, kam budete ukládat prostředek konektoru, a vyberte Další: vybrat plány.

    Krok 1 Průvodce přidáním účtu AWS: zadejte podrobnosti účtu.

  4. Na kartě vybrat plány můžete zvolit, který Defender má povolit možnosti cloudu pro tento účet AWS.

    Poznámka

    Každá schopnost má své vlastní požadavky na oprávnění a může se vám účtovat poplatky.

    Na kartě vybrat plány můžete zvolit, který Defender má povolit možnosti cloudu pro tento účet AWS.

    Důležité

    Pro současné zobrazení aktuálního stavu vašich doporučení plánuje plán CSPM dotazování rozhraní API prostředků AWS několikrát denně. Tato volání rozhraní API jen pro čtení neúčtují žádné poplatky, ale jsou registrována v CloudTrail, pokud jste povolili záznam pro události čtení. Jak je vysvětleno v dokumentaci k AWS, neúčtují se žádné další poplatky za uchování jednoho záznamu. Pokud exportujete data mimo AWS (například na externí SIEM), může se zvýšit objem volání i na zvýšení nákladů na ingestování. V takových případech doporučujeme odfiltrovat volání jen pro čtení od programu Defender pro uživatele cloudu nebo role ARN: ARN: AWS: IAM:: [accountId]: role/CspmMonitorAws (Toto je výchozí název role, potvrďte název role nakonfigurovaný ve vašem účtu).

    • Pro rozšíření programu Defender pro pokrytí serverů na AWS EC2 nastavte plán serverů na zapnuto a upravte konfiguraci podle potřeby.

    • V případě programu Defender pro Kubernetes chránit vaše clustery EKS AWS, by se měla nainstalovat Kubernetes s povoleným rozšířením Azure ARC a program Defender. Nastavte plán kontejnerů na zapnuto a podle doporučení programu Defender pro Cloud použijte k nasazení rozšíření (a v případě potřeby ARC), jak je vysvětleno v tématu ochrana Amazon elastických Kubernetes Service clusterů.

  5. Dokončete nastavení:

    1. Vyberte Další: Konfigurace přístupu.
    2. Stáhněte si šablonu CloudFormation.
    3. Pomocí stažené šablony CloudFormation vytvořte zásobník v AWS podle pokynů na obrazovce.
    4. Vyberte Další: zkontrolovat a vygenerovat.
    5. Vyberte Vytvořit.

Defender pro Cloud okamžitě začne kontrolovat vaše prostředky AWS a v průběhu pár hodin se vám budou zobrazovat doporučení týkající se zabezpečení.

Dostupnost

Aspekt Podrobnosti
Stav vydaných verzí: Všeobecná dostupnost (GA)
Stanov Vyžaduje program Microsoft Defender pro servery
Požadované role a oprávnění: Vlastník pro příslušné předplatné Azure
Přispěvatel může připojit účet AWS také v případě, že vlastník poskytne hlavní informace o instančním objektu.
Cloud Komerční cloudy
National (Azure Government, Azure Čína 21Vianet)

Připojení účtu AWS

Pomocí následujících kroků vytvořte cloudový konektor AWS.

Krok 1. Nastavení centra zabezpečení AWS:

  1. Chcete-li zobrazit doporučení zabezpečení pro více oblastí, opakujte následující kroky pro všechny příslušné oblasti.

    Důležité

    Pokud používáte účet pro správu AWS, opakujte následující tři kroky a nakonfigurujte účet pro správu a všechny připojené členské účty ve všech příslušných oblastech.

    1. Povolte AWS config.
    2. Povolte Centrum zabezpečení AWS.
    3. Ověřte, že data jsou předávána do centra zabezpečení. Při prvním povolení centra zabezpečení může trvat několik hodin, než budou data k dispozici.

Krok 2. Nastavení ověřování pro Defender pro Cloud v AWS

Existují dva způsoby, jak službě Defender for Cloud umožnit ověřování v AWS:

  • Vytvoření role IAM pro Defender for Cloud (doporučeno) – nejbezpečnější metoda
  • Uživatel AWS pro Defender for Cloud – méně bezpečná možnost, pokud nemáte povolenou službu IAM

Vytvoření role IAM pro Defender for Cloud

  1. V konzole Amazon Web Services vyberte v části Zabezpečení, Identita & dodržování předpisů možnost IAM. Služby AWS.

  2. Vyberte Role a Vytvořit roli.

  3. Vyberte Another AWS account (Jiný účet AWS).

  4. Zadejte následující podrobnosti:

    • ID účtu – zadejte ID účtu Microsoft (158177204117), jak je znázorněno na stránce konektoru AWS v Defenderu for Cloud.
    • Vyžadovat externí ID – mělo by být vybrané
    • Externí ID – zadejte ID předplatného, jak je znázorněno na stránce konektoru AWS v Defenderu for Cloud.

  5. Vyberte Další.

  6. V části Attach permission policies (Připojit zásady oprávnění) vyberte následující zásady spravované službou AWS:

    • SecurityAudit ( arn:aws:iam::aws:policy/SecurityAudit )
    • AmazonSSMAutomationRole ( arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole )
    • AWSSecurityHubReadOnlyAccess ( arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess )

  7. Volitelně přidejte značky. Přidání značek uživateli nemá vliv na připojení.

  8. Vyberte Další.

  9. V seznamu Role zvolte roli, kterou jste vytvořili.

  10. Uložte název prostředku Amazon (ARN) pro pozdější použití.

Vytvoření uživatele AWS pro Defender for Cloud

  1. Otevřete kartu Uživatelé a vyberte Přidat uživatele.

  2. V kroku Podrobnosti zadejte uživatelské jméno pro Defender for Cloud a ujistěte se, že jako Typ přístupu AWS vyberete Programový přístup.

  3. Vyberte Další oprávnění.

  4. Vyberte Připojit existující zásady přímo a použijte následující zásady:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess

  5. Vyberte Další: Značky. Volitelně přidejte značky. Přidání značek uživateli nemá vliv na připojení.

  6. Vyberte Review (Zkontrolovat).

  7. Uložte si automaticky vygenerované ID přístupového klíče a soubor CSV s tajným přístupový klíčem pro pozdější použití.

  8. Zkontrolujte souhrn a vyberte Vytvořit uživatele.

Krok 3. Konfigurace agenta SSM

Pro automatizaci úloh napříč prostředky AWS se vyžaduje AWS Systems Manager. Pokud vaše instance EC2 nemají agenta SSM, postupujte podle příslušných pokynů od Amazonu:

Krok 4: Dokončení Azure Arc požadavků

  1. Ujistěte se, že jsou zaregistrovaní příslušní poskytovatelé prostředků Azure:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration

  2. Vytvořte objekt služby pro onboarding ve velkém měřítku. Jako vlastník předplatného, které chcete použít pro onboarding, vytvořte instanční objekt pro onboarding Azure Arc, jak je popsáno v tématu Vytvoření instančního objektu pro onboarding ve velkém měřítku.

Krok 5. Připojení Z AWS do Defenderu for Cloud

  1. V nabídce služby Defender for Cloud otevřete Nastavení prostředí a vyberte možnost pro přepnutí zpět na klasické prostředí konektorů.

    Přepnutí zpět na klasické prostředí cloudových konektorů v Defenderu for Cloud

  2. Vyberte Add AWS account (Přidat účet AWS). Tlačítko Přidat účet AWS na stránce multi cloudových konektorů služby Defender for Cloud

  3. Nakonfigurujte možnosti na kartě Ověřování AWS:

    1. Zadejte Zobrazovaný název konektoru.
    2. Ověřte správnost předplatného. Jedná se o předplatné, které bude zahrnovat konektor a doporučení pro AWS Security Hub.
    3. V závislosti na možnosti ověřování jste zvolili v kroku 2. Nastavení ověřování pro Defender for Cloud v AWS:

      • Vyberte Předpokládat roli a vložte ARN z tématu Vytvoření role IAM pro Defender for Cloud.

        Vložením souboru ARN do příslušného pole průvodce připojením AWS v Azure Portal.

        NEBO

      • Vyberte Credentials (Přihlašovací údaje) a vložte přístupový klíč a tajný klíč ze souboru .csv, který jste uložili v části Vytvoření uživatele AWS pro Defender for Cloud.

  4. Vyberte Další.

  5. Nakonfigurujte možnosti na kartě Azure Arc Konfigurace:

    Defender for Cloud zjistí instance EC2 v připojeném účtu AWS a pomocí SSM je připojí k Azure Arc.

    Tip

    Seznam podporovaných operačních systémů najdete v části Jaké operační systémy pro instance EC2 se podporují? v nejčastějších dotazech.

    1. Vyberte skupinu prostředků a oblast Azure, do které se zjištěné AWS EC2 ve vybraném předplatném začtou.

    2. Zadejte ID a tajný kód klienta objektu služby pro Azure Arc, jak je popsáno v tématu Vytvoření objektu služby pro onboarding ve velkém měřítku.

    3. Pokud se počítač připojuje k internetu přes proxy server, zadejte IP adresu proxy server nebo název a číslo portu, které počítač používá ke komunikaci s proxy server. Zadejte hodnotu ve formátu . http://<proxyURL>:<proxyport>

    4. Vyberte Zkontrolovat a vytvořit.

      Kontrola souhrnných informací

      Oddíly Značky zobrazí seznam všech značek Azure, které se automaticky vytvoří pro každou onboardované EC2, s vlastními relevantními podrobnostmi, které je v Azure snadno rozpozná.

      Další informace o značkách Azure najdete v části Použití značek k uspořádání prostředků Azure a hierarchie správy.

Krok 6. Confirmation (Potvrzení)

Po úspěšném vytvoření konektoru a správné konfiguraci služby AWS Security Hub:

  • Defender for Cloud vyhledá v prostředí instance EC2 AWS, onboarding je do služby Azure Arc, umožní instalaci agenta Log Analytics a poskytování doporučení k ochraně před hrozbami a zabezpečení.
  • Služba Defender for Cloud vyhledává nové instance EC2 AWS každých 6 hodin a podle konfigurace je onboarduje.
  • Standard CIS AWS se zobrazí na řídicím panelu dodržování právních předpisů služby Defender for Cloud.
  • Pokud jsou zásady služby Security Hub povolené, zobrazí se doporučení na portálu Defender for Cloud a řídicím panelu dodržování právních předpisů 5 až 10 minut po dokončení onboardování.

Zdroje informací a doporučení AWS na stránce s doporučeními služby Defender for Cloud

Monitorování prostředků AWS

Jak vidíte na předchozím snímku obrazovky, na stránce doporučení zabezpečení služby Defender for Cloud se zobrazí vaše prostředky AWS. Pomocí filtru prostředí můžete využívat funkce služby Defender for Cloud pro více cloudů: zobrazit doporučení pro prostředky Azure, AWS a GCP společně.

Pokud chcete zobrazit všechna aktivní doporučení pro vaše prostředky podle typu prostředku, použijte stránku inventáře prostředků služby Defender for Cloud a vyfiltrujte typ prostředku AWS, který vás zajímá:

Filtr typů prostředků na stránce inventáře prostředků zobrazující možnosti AWS

Nejčastější dotazy – AWS v Defenderu for Cloud

Jaké operační systémy pro instance EC2 se podporují?

Podporovaný operační systém pro automatické onboarding do Azure Arc pro AWS Machines

  • Ubuntu 16.04 – Agent SSM je ve výchozím nastavení předinstalovaný
  • Ubuntu 18.04 – Agent SSM je ve výchozím nastavení předinstalovaný
  • Windows serveru – Agent SSM je ve výchozím nastavení předinstalovaný
  • CentOS Linux 7 – SSM byste měli nainstalovat ručně nebo onboardovat samostatně.
  • SUSE Linux Enterprise Server (SLES) 15 (x64) – SSM by se měl nainstalovat ručně nebo samostatně
  • Red Hat Enterprise Linux (RHEL) 7 (x64) – SSM byste měli nainstalovat ručně nebo samostatně.

Další kroky

Připojení účtu AWS je součástí prostředí pro více cloudů, které je k dispozici v programu Microsoft Defender for Cloud. Související informace najdete na následující stránce: