Conexión de cuentas de AWS a Microsoft Defender for Cloud

  • Artículo
  • Tiempo de lectura: 17 minutos

Las cargas de trabajo de nube abarcan normalmente varias plataformas de nube, por lo que los servicios de seguridad de la nube deben hacer lo mismo. Microsoft Defender for Cloud protege las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).

Para proteger los recursos basados en AWS, puede conectar una cuenta de AWS de una de las siguientes maneras:

Para obtener una lista de referencia de todas las recomendaciones que Defender for Cloud puede proporcionar para los recursos de AWS, consulte Recomendaciones de seguridad para recursos de AWS: guía de referencia.

En esta captura de pantalla se muestran las cuentas de AWS que aparecen en el panel de información general de Defender for Cloud.

Cuatro proyectos de AWS enumerados en el panel de información general de Defender for Cloud

Para obtener más información, vea este vídeo en la serie de vídeos del ámbito de Defender for Cloud:

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: El plan CSPM es gratuito.
El plan Defender para SQL se factura al mismo precio que para los recursos de Azure.
El plan Defender para contenedores es gratuito mientras dure la versión preliminar. Después, se facturará para AWS al mismo precio que para los recursos de Azure.
Para cada una de las máquinas de AWS conectadas a Azure mediante servidores habilitados para Azure Arc, el plan Defender para servidores se facturará al mismo precio que el plan Microsoft Defender para servidores para las máquinas de Azure. Si una instancia de AWS EC2 no tiene implementado Azure Arc, no se le cobrará por esa máquina.
Roles y permisos necesarios: Permiso Colaborador para la suscripción de Azure correspondiente.
Administrador en la cuenta de AWS.
Nubes: Nubes comerciales
Nacionales (Azure Government, Azure China 21Vianet)

Prerrequisitos

El conector en la nube nativo requiere lo siguiente:

  • Acceso a una cuenta de AWS.

  • Para habilitar el plan Defender para contenedores, necesitará:

    • Al menos un clúster de Amazon EKS con permiso para acceder al servidor de API de EKS K8s. Si necesita crear un nuevo clúster de EKS, siga las instrucciones de Introducción a Amazon EKS: eksctl.
    • La capacidad de recursos para crear una nueva cola de SQS, un flujo de entrega de Kinesis Fire Hose y un cubo S3 en la región del clúster.

  • Para habilitar el plan Defender para SQL, necesitará lo siguiente:

    • Microsoft Defender para SQL habilitado en la suscripción. Obtenga información sobre cómo habilitar la protección en todas las bases de datos.

    • Una cuenta de AWS activa, con instancias EC2 que ejecuten SQL Server o RDS Custom para SQL Server.

    • Azure Arc para servidores instalado en las instancias de EC2 o RDS Custom para SQL Server.

      • (Recomendado). Use el proceso de aprovisionamiento automático para instalar Azure Arc en todas las instancias de EC2 existentes y futuras.

        El proceso de aprovisionamiento automático está administrado por AWS Systems Manager (SSM) mediante el agente de SSM. Algunas imágenes de máquina de Amazon (AMI) ya tienen preinstalado el agente de SSM. Si ya tiene el agente de SSM preinstalado, las AMI se muestran en AMI con el agente de SSM preinstalado. Si las instancias de EC2 no tienen el agente de SSM, deberá instalarlo mediante cualquiera de las siguientes instrucciones pertinentes de Amazon:

      Nota

      Para habilitar el aprovisionamiento automático de Azure Arc, necesitará un permiso de Propietario en la suscripción de Azure correspondiente.

    • Se deben habilitar extensiones adicionales en las máquinas conectadas a Arc.

    • El agente de Log Analytics (LA) en máquinas de Arc y asegúrese de que el área de trabajo seleccionada tenga instalada la solución de seguridad. El agente de LA está configurado actualmente en el nivel de suscripción. Todas las cuentas de AWS multinube y los proyectos de GCP en la misma suscripción heredarán la configuración de la suscripción.

      Aprenda a configurar el aprovisionamiento automático en su suscripción.

  • Para habilitar el plan Defender para servidores, necesitará:

    • Microsoft Defender para servidores está habilitado en la suscripción. Obtenga información sobre cómo habilitar planes en Habilitación de las características de seguridad mejoradas.

    • Una cuenta de AWS activa, con instancias de EC2.

    • Azure Arc para servidores instalado en las instancias de EC2.

      Nota

      Para habilitar el aprovisionamiento automático de Azure Arc, necesitará un permiso de propietario en la suscripción de Azure correspondiente.

    • Se deben habilitar extensiones adicionales en las máquinas conectadas a Arc.

      • Microsoft Defender para punto de conexión

      • Solución VA (TVM/Qualys)

      • Agente de Log Analytics (LA) en máquinas de Arc. Asegúrese de que el área de trabajo seleccionada tenga instalada la solución de seguridad.

        El agente de LA está configurado actualmente en el nivel de suscripción, de modo que todas las cuentas y proyectos multinube (tanto de AWS como de GCP) de la misma suscripción heredarán la configuración de la suscripción en lo relativo al agente de LA.

      Aprenda a configurar el aprovisionamiento automático en su suscripción.

      Nota

      Defender para servidores asigna etiquetas a los recursos de AWS para administrar el proceso de aprovisionamiento automático. Debe tener estas etiquetas asignadas correctamente a los recursos para que Defender for Cloud pueda administrarlos: AccountId, Cloud, InstanceId y MDFCSecurityConnector.

Conexión de una cuenta de AWS

Para conectarse a la cuenta de AWS en Defender for Cloud con un conector nativo:

  1. Si tiene conectores clásicos, elimínelos.

    El uso de los conectores clásicos y nativos puede generar recomendaciones duplicadas.

  2. Inicie sesión en Azure Portal.

  3. Vaya a Defender for CloudConfiguración del entorno.

  4. Seleccione Agregar entorno>Amazon Web Services.

    Conexión de una cuenta de AWS a una suscripción de Azure.

  5. Escriba los detalles de la cuenta de AWS, incluida la ubicación donde almacenará el recurso del conector.

    Paso 1 del asistente para agregar cuentas de AWS: escriba los detalles de la cuenta.

    (Opcional) Seleccione Cuenta de administración para crear un conector a una cuenta de administración. Los conectores se crearán para cada cuenta de miembro detectada en la cuenta de administración proporcionada. El aprovisionamiento automático se habilitará para todas las cuentas recién incorporadas.

  6. Seleccione Siguiente: Seleccionar planes.

    Nota:

    Cada plan tiene sus propios requisitos de permisos y puede incurrir en cargos.

    La pestaña Select Plans (Seleccionar planes) es donde puede elegir qué funcionalidades de Defender for Cloud habilitar para esta cuenta de AWS.

    Importante

    Para presentar el estado actual de las recomendaciones, el plan CSPM consulta las API de recursos de AWS varias veces al día. Estas llamadas API de solo lectura no conllevan ningún cargo, pero se registran en CloudTrail si ha habilitado un registro para eventos de lectura. Como se explica en la documentación de AWS, no hay ningún cargo adicional por mantener una pista. Si exporta los datos fuera de AWS (por ejemplo, a un SIEM externo), este mayor volumen de llamadas también podría aumentar los costos de ingesta. En esos casos, se recomienda filtrar las llamadas de solo lectura del usuario de Defender for Cloud o del ARN de rol: arn:aws:iam::[accountId]:role/CspmMonitorAws (este es el nombre de rol predeterminado, confirme el nombre de rol configurado en su cuenta).

  7. De manera predeterminada, el plan Servidores está establecido en Activado. Esto es necesario para ampliar la cobertura de Defender para servidores a la instancia de AWS EC2.

    • (Opcional) Seleccione Configurar para editar la configuración según sea necesario.

  8. De manera predeterminada, el plan Contenedores está establecido en Activado. Esto es necesario para que Defender para contenedores proteja los clústeres de AWS EKS. Asegúrese de cumplir los requisitos de red para el plan Defender para contenedores.

    Nota

    Kubernetes habilitado para Azure Arc, la extensión de Arc de Defender y la extensión de Arc de Azure Policy deben estar instalados. Use las recomendaciones dedicadas de Defender for Cloud para implementar las extensiones (y Arc, si es necesario), como se explica en Protección de clústeres de Amazon Elastic Kubernetes Service.

    • (Opcional) Seleccione Configurar para editar la configuración según sea necesario. Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Obtenga más información sobre la disponibilidad de características.

  9. De manera predeterminada, el plan Bases de datos está establecido en Activado. Esto es necesario para ampliar la cobertura de Defender para SQL a la instancia de AWS EC2 y RDS Custom para SQL Server.

    • (Opcional) Seleccione Configurar para editar la configuración según sea necesario. Se recomienda dejarlo establecido en la configuración predeterminada.

  10. Seleccione Siguiente: Configurar acceso.

  11. Descargue la plantilla de CloudFormation.

  12. Con la plantilla de CloudFormation descargada, cree la pila en AWS tal como se indica en la pantalla. Si va a incorporar una cuenta de administración, deberá ejecutar la plantilla de CloudFormation como Stack y como StackSet. Los conectores se crearán para las cuentas de miembro hasta 24 horas después de la incorporación.

  13. Seleccione Next: Review and generate (Siguiente: Revisar y crear).

  14. Seleccione Crear.

Defender for Cloud comenzará de inmediato a examinar los recursos de AWS, y en unas horas se mostrarán recomendaciones de seguridad. Para obtener una lista de referencia de todas las recomendaciones que Defender for Cloud puede proporcionar para los recursos de AWS, consulte Recomendaciones de seguridad para recursos de AWS: guía de referencia.

Eliminación de conectores "clásicos"

Si tiene conectores existentes creados con conectores en la nube clásicos, quítelos primero:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Defender for CloudConfiguración del entorno.

  3. Seleccione la opción para volver a la experiencia de conectores clásicos.

    Volver a la experiencia de conectores clásicos en la nube en Defender for Cloud.

  4. Para cada conector, seleccione el botón de tres puntos ... situado al final de la fila y seleccione Eliminar.

  5. En AWS, elimine el ARN de rol o las credenciales creadas para la integración.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general (GA)
Precios: Requiere el Plan 2 de Microsoft Defender para servidores.
Roles y permisos necesarios: Propietario en la suscripción de Azure en cuestión
Un colaborador también puede conectar una cuenta de AWS si un propietario proporciona los detalles de la entidad de servicio.
Nubes: Nubes comerciales
Nacional (Azure Government, Azure China 21Vianet)

Conexión de una cuenta de AWS

Siga los pasos que se indican a continuación para crear su conector de nube de AWS.

Paso 1. Configuración de AWS Security Hub:

  1. Para ver recomendaciones de seguridad para varias regiones, repita los pasos siguientes para cada región pertinente.

    Importante

    Si utiliza una cuenta de administración de AWS, repita los tres pasos siguientes para configurar la cuenta de administración y todas las cuentas miembros conectadas de todas las regiones pertinentes.

    1. Habilite AWS Config (Configuración de AWS).
    2. Habilite AWS Security Hub.
    3. Compruebe que los datos fluyan al centro de seguridad. La primera vez que se habilita Security Hub, los datos pueden tardar varias horas en estar disponibles.

Paso 2. Configuración de la autenticación para Defender for Cloud en AWS

Hay dos maneras de que Defender for Cloud se autentique en AWS:

  • Crear un rol IAM para Defender for Cloud (recomendado): este es el método más seguro.
  • Usuario de AWS para Defender for Cloud: es una opción menos segura si IAM no está habilitado.

Creación de un rol de IAM para Defender for Cloud

  1. En la consola de Amazon Web Services, en Security, Identity & Compliance (Seguridad, identidad y cumplimiento), seleccione IAM. Servicios de AWS.

  2. Seleccione Roles (Roles) y Create role (Crear rol).

  3. Seleccione Another AWS account (Otra cuenta de AWS).

  4. Escriba la siguiente información:

    • Account ID (Id. de cuenta): escriba el identificador de la cuenta Microsoft (158177204117) que aparece en la página del conector de AWS en Defender for Cloud.
    • Require External ID (Requerir id. externo): esta opción debe estar seleccionada.
    • External ID (Id. externo): escriba el identificador de la suscripción que se muestra en la página del conector de AWS en Defender for Cloud.

  5. Seleccione Next (Siguiente).

  6. En la sección Attach permission policies (Asociar directivas de permisos), seleccione las siguientes directivas administradas por AWS:

    • SecurityAudit (arn:aws:iam::aws:policy/SecurityAudit)
    • AmazonSSMAutomationRole (arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole)
    • AWSSecurityHubReadOnlyAccess (arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess)

  7. Tiene la opción de agregar etiquetas. La acción de agregar etiquetas al usuario no afecta a la conexión.

  8. Seleccione Next (Siguiente).

  9. En la lista de roles, seleccione el rol que ha creado.

  10. Guarde el nombre del recurso de Amazon (ARN) para más adelante.

Creación de un usuario de AWS para Defender for Cloud

  1. Abra la pestaña Users (Usuarios) y seleccione Add user (Agregar usuario).

  2. En el paso Details (Detalles), escriba un nombre de usuario para Defender for Cloud y asegúrese de seleccionar Programmatic access (Acceso mediante programación) en el tipo de acceso de AWS.

  3. Seleccione Next Permissions (Siguientes permisos).

  4. Seleccione Attach existing policies directly (Asociar directivas existentes directamente):

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess

  5. Seleccione Siguiente: Etiquetas. Tiene la opción de agregar etiquetas. La acción de agregar etiquetas al usuario no afecta a la conexión.

  6. Seleccione Review (Revisar).

  7. Guarde el archivo CSV de Access key ID (Id. de clave de acceso) y Secret access key (Clave de acceso secreta) generado automáticamente para más adelante.

  8. Revise el resumen y luego seleccione Crear usuario.

Paso 3. Configuración del agente SSM

Para automatizar las tareas entre los recursos de AWS, se requiere el administrador de sistemas de AWS. Si las instancias de EC2 no tienen el agente SSM, siga las instrucciones pertinentes desde Amazon:

Paso 4. Cumplimiento de los requisitos previos de Azure Arc

  1. Asegúrese de que están registrados los proveedores de recursos de Azure adecuados:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration

  2. Cree una entidad de servicio para la incorporación a gran escala. Como propietario de la suscripción que desea usar para la incorporación, cree una entidad de servicio para la incorporación de Azure Arc, como se describe en Creación de una entidad de servicio para la incorporación a gran escala.

Paso 5. Conexión de AWS a Defender for Cloud

  1. En el menú de Defender for Cloud, abra Configuración del entorno y seleccione la opción para volver a la experiencia de conectores clásicos.

    Volver a la experiencia de conectores clásicos en la nube en Defender for Cloud.

  2. Seleccione Add AWS account (Agregar cuenta de AWS). Botón Agregar cuenta de AWS de la página de conectores de nube múltiple de Defender for Cloud

  3. Configure las opciones en la pestaña AWS authentication (Autenticación de AWS):

    1. Escriba un nombre para mostrar para el conector.
    2. Confirme que la suscripción es correcta. Se trata de la suscripción que incluirá las recomendaciones del conector y de AWS Security Hub.
    3. En función de la opción de autenticación que haya elegido en el Paso 2. Configuración de la autenticación para Defender for Cloud en AWS:

  4. Seleccione Next (Siguiente).

  5. Configure las opciones de la pestaña Configuración de Azure Arc:

    Defender for Cloud detecta las instancias de EC2 en la cuenta de AWS conectada y usa SSM para incorporarlas a Azure Arc.

    Sugerencia

    Para ver la lista de sistemas operativos compatibles, consulte la sección ¿Qué sistemas operativos son compatibles con las instancias de EC2? en las preguntas frecuentes.

    1. Seleccione el grupo de recursos y la región de Azure a los que se incorporarán las instancias de AWS EC2 detectadas en la suscripción seleccionada.

    2. Escriba el identificador de la entidad de servicio y el secreto de cliente de la entidad de servicio de Azure Arc, como se describe en Creación de una entidad de servicio para la incorporación a escala

    3. Si la máquina se conecta a Internet mediante un servidor proxy, especifique la dirección IP del servidor proxy o el nombre y el número de puerto que usará la máquina para comunicarse con él. Escriba el valor con el formato http://<proxyURL>:<proxyport>.

    4. Seleccione Revisar + crear.

      Revisión de la información de resumen

      En las secciones de etiquetas se enumeran todas las etiquetas de Azure que se crearán automáticamente para cada instancia de EC2 incorporada con sus propios detalles pertinentes para reconocerla fácilmente en Azure.

      Más información sobre las etiquetas de Azure en Uso de etiquetas para organizar los recursos de Azure y la jerarquía de administración.

Paso 6. Confirmación

Cuando el conector se ha creado correctamente y AWS Security Hub se ha configurado adecuadamente:

  • Defender for Cloud examina el entorno en busca de instancias de AWS EC2 y las incorpora a Azure Arc, lo que permite instalar el agente de Log Analytics y proporcionar recomendaciones de seguridad y protección contra amenazas.
  • El servicio Defender for Cloud busca nuevas instancias de AWS EC2 cada seis horas y las incorpora de acuerdo con la configuración.
  • El estándar CIS de AWS se mostrará en el panel de cumplimiento de normativas de Defender for Cloud.
  • Si está habilitada la directiva del centro de seguridad, las recomendaciones aparecerán en el portal de Defender for Cloud y en el panel de cumplimiento normativo entre 5 y 10 minutos después de que finalice la incorporación.

Recursos y recomendaciones de AWS en la página de recomendaciones de Defender for Cloud

Supervisión de los recursos de AWS

Como puede ver en la captura de pantalla anterior, la página de recomendaciones de seguridad de Defender for Cloud muestra los recursos de AWS. Puede usar el filtro de entornos para disfrutar de las funcionalidades de varias nubes de Defender for Cloud: consulte las recomendaciones para los recursos de Azure, AWS y GCP juntos.

Para ver todas las recomendaciones activas de los recursos por tipo de recurso, use la página de inventario de recursos de Defender for Cloud y filtre por el tipo de recurso de AWS que le interesa:

Filtro de tipo de recurso de la página de inventario de recursos que muestra las opciones de AWS

Preguntas frecuentes: AWS en Defender for Cloud

¿Qué sistemas operativos son compatibles con las instancias de EC2?

Para obtener una lista de las API con el agente de SSM preinstalado, consulte esta página en la documentación de AWS.

Para otros sistemas operativos, el agente de SSM debe instalarse manualmente con las instrucciones siguientes:

En el caso del plan CSPM, ¿qué permisos de IAM se necesitan para detectar recursos de AWS?

Se necesitan los siguientes permisos de IAM para detectar recursos de AWS:

DataCollector Permisos de AWS
API Gateway apigateway:GET
Auto Scaling de aplicaciones application-autoscaling:Describe*
Ajuste de escala automático autoscaling-plans:Describe*
autoscaling:Describe*
Administrador de certificados acm-pca:Describe*
acm-pca:List*
acm:Describe* <br>acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch Logs logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Servicio Config config:Describe*
config:List*
DMS: Database Migration Service dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB: Elastic Load Balancing (v1/2) elasticloadbalancing:Describe*
Búsqueda elástica es:Describe*
es:List*
EMR: Elastic MapReduce elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDute guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
LAMDBA lambda:GetPolicy
lambda:List*
Firewall de red network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
RedShift redshift:Describe*
S3 y S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Secret Manager secretsmanager:Describe*
secretsmanager:List*
Simple Notification Service: SNS sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Saber más

Para obtener más información, puede consultar los siguientes blogs:

Pasos siguientes

La conexión de la cuenta de AWS forma parte de la experiencia multinube disponible en Microsoft Defender for Cloud. Para información relacionada, consulte la página siguiente: