Connessione gli account AWS in Microsoft Defender per Cloud

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati Azure Defender piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione. Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

I carichi di lavoro cloud si estendono in genere su più piattaforme cloud, quindi anche i servizi di sicurezza cloud devono adottare lo stesso approccio.

Microsoft Defender per cloud protegge i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP).

Per proteggere le risorse basate su AWS, è possibile connettere un account con uno dei due meccanismi seguenti:

  • Esperienza dei connettori cloud classici: nell'ambito dell'offerta multi-cloud iniziale, questi connettori cloud sono stati introdotti come modo per connettere gli account AWS e GCP. Se è già stato configurato un connettore AWS tramite l'esperienza dei connettori cloud classici, è consigliabile eliminare questi connettori (come illustrato inRimuovere i connettori classici) e connettere di nuovo l'account usando il meccanismo più recente. Se non si fa questa operazione prima di creare il nuovo connettore tramite la pagina delle impostazioni dell'ambiente, eseguire questa operazione in un secondo momento per evitare la visualizzazione di raccomandazioni duplicate.

  • Pagina Delle impostazioni dell'ambiente (in anteprima) (scelta consigliata): questa pagina di anteprima offre un'esperienza di onboarding notevolmente migliorata e più semplice (incluso il provisioning automatico). Questo meccanismo estende anche le funzionalità di sicurezza avanzate di Defender for Cloud alle risorse AWS:

    • Le funzionalità CSPM di Defender for Cloud si estendono alle risorse AWS. Questo piano senza agente valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste sono incluse nel punteggio di sicurezza. Le risorse verranno inoltre valutate per la conformità agli standard predefiniti specifici di AWS (AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices). La pagina di inventario degli asset di Defender for Cloud è una funzionalità abilitata per più cloud che consente di gestire le risorse AWS insieme alle risorse di Azure.
    • Microsoft Defender per contenitori estende il rilevamento delle minacce dei contenitori di Defender for Cloud e le difese avanzate ai cluster Amazon EKS.
    • Microsoft Defender per i server offre il rilevamento delle minacce e le difese avanzate per le istanze Windows e Linux EC2. Questo piano include la licenza integrata per Microsoft Defender per Endpoint, le baseline di sicurezza e le valutazioni a livello del sistema operativo, l'analisi della valutazione delle vulnerabilità, i controlli adattivi delle applicazioni (AAC), il monitoraggio dell'integrità dei file (FIM) e altro ancora.

Per un elenco di riferimento di tutte le raccomandazioni che Defender per Cloud può fornire per le risorse AWS, vedere Consigli sulla sicurezza per le risorse AWS - guida di riferimento.

Questo screenshot mostra gli account AWS visualizzati nel dashboardpanoramica di Defender for Cloud.

Four AWS projects listed on Defender for Cloud's overview dashboard

Disponibilità

Aspetto Dettagli
Stato della versione: Anteprima.
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Prezzi: Il piano CSPM è gratuito.
Il piano Defender for Containers è gratuito durante l'anteprima. Successivamente, verrà fatturato per AWS allo stesso prezzo delle risorse di Azure.
Per ogni computer AWS connesso ad Azure con server abilitati per Azure Arc, il piano Defender per i server viene fatturato allo stesso prezzo del piano microsoft defender per server per i computer Azure. Se aws EC2 non ha distribuito l'Azure Arc, non verrà addebitato alcun costo per il computer.
Autorizzazioni e ruoli obbligatori: Proprietario nella sottoscrizione di Azure pertinente
Collaboratore può anche connettere un account AWS se un proprietario fornisce i dettagli dell'entità servizio (obbligatorio per il piano Defender per server)
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China (21Vianet))

Prerequisiti

Connettere l'account AWS

Seguire la procedura seguente per creare il connettore cloud AWS.

Rimuovere i connettori "classici"

Se sono presenti connettori esistenti creati con l'esperienza dei connettori cloud classici, rimuoverli per primi:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente e selezionare l'opzione per tornare all'esperienza dei connettori classici.

    Switching back to the classic cloud connectors experience in Defender for Cloud. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Per ogni connettore, selezionare "..." alla fine della riga e selezionare Elimina.

  3. In AWS eliminare il ruolo ARN o le credenziali create per l'integrazione.

Creare un nuovo connettore

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare Aggiungi ambienteAmazon Web Services.

    Connecting an AWS account to an Azure subscription.

  3. Immettere i dettagli dell'account AWS, inclusa la posizione in cui si archivierà la risorsa connettore, e selezionare Avanti: Seleziona piani.

    Step 1 of the add AWS account wizard: Enter the account details.

  4. La scheda Seleziona piani consente di scegliere le funzionalità di Defender for Cloud da abilitare per questo account AWS.

    Nota

    Ogni funzionalità ha i propri requisiti per le autorizzazioni e potrebbe richiedere addebiti.

    The select plans tab is where you choose which Defender for Cloud capabilities to enable for this AWS account.

    Importante

    Per presentare lo stato corrente delle raccomandazioni, il piano CSPM esegue una query sulle API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano addebiti, ma vengono registrate in CloudTrail se è stato abilitato un percorso per gli eventi di lettura. Come illustrato nella documentazione di AWS,non sono disponibili costi aggiuntivi per il mantenimento di un percorso. Se si esportano i dati da AWS(ad esempio, in un SIEM esterno), anche questo aumento del volume di chiamate potrebbe aumentare i costi di inserimento. In questi casi, è consigliabile filtrare le chiamate di sola lettura dall'utente o dal ruolo Defender for Cloud ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws (questo è il nome del ruolo predefinito e confermare il nome del ruolo configurato nell'account).

    • Per estendere la copertura di Defender for Servers a AWS EC2, impostare Piano server su On e modificare la configurazione in base alle esigenze.

    • Perché Defender per Kubernetes protegga i cluster AWS EKS, Azure Arc kubernetes e l'estensione Defender devono essere installati. Impostare il piano contenitori su One usare la raccomandazione dedicata Defender for Cloud per distribuire l'estensione (e Arc, se necessario), come illustrato in Proteggere i cluster del servizio Amazon Elastic Kubernetes.

  5. Completare la configurazione:

    1. Selezionare Avanti: Configurare l'accesso.
    2. Scaricare il modello CloudFormation.
    3. Usando il modello CloudFormation scaricato, creare lo stack in AWS come indicato sullo schermo.
    4. Selezionare Avanti: Rivedi e genera.
    5. Selezionare Crea.

Defender for Cloud inizierà immediatamente l'analisi delle risorse AWS e verranno visualizzati i consigli sulla sicurezza entro poche ore. Per un elenco di riferimento di tutte le raccomandazioni che Defender per Cloud può fornire per le risorse AWS, vedere Consigli sulla sicurezza per le risorse AWS - guida di riferimento.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per i server
Autorizzazioni e ruoli obbligatori: Proprietario nella sottoscrizione di Azure pertinente
Anche un utente con il ruolo Collaboratore può connettere un account AWS se un proprietario fornisce i dettagli dell'entità servizio
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China (21Vianet))

Connettere l'account AWS

Seguire la procedura seguente per creare il connettore cloud AWS.

Passaggio 1. Configurare AWS Security Hub:

  1. Per visualizzare le raccomandazioni sulla sicurezza per più aree, ripetere la procedura seguente per ogni area rilevante.

    Importante

    Se si usa un account di gestione AWS, ripetere i tre passaggi seguenti per configurare l'account di gestione e tutti gli account membro connessi in tutte le aree rilevanti

    1. Abilitare AWS Config.
    2. Abilitare AWS Security Hub.
    3. Verificare che i dati siano in flusso nell'hub di sicurezza. Quando si abilita l'hub di sicurezza per la prima volta, possono essere necessarie diverse ore prima che i dati diventino disponibili.

Passaggio 2. Configurare l'autenticazione per Defender for Cloud in AWS

Esistono due modi per consentire a Defender for Cloud di eseguire l'autenticazione in AWS:

  • Creare un ruolo IAM per Defender for Cloud (scelta consigliata): il metodo più sicuro
  • Utente AWS per Defender for Cloud: opzione meno sicura se IAM non è abilitato

Creare un ruolo IAM per Defender for Cloud

  1. Nella console Amazon Web Services, in Sicurezza, Conformità identitàselezionare IAM. AWS services.

  2. Selezionare Roles (Ruoli) e Create role (Crea ruolo).

  3. Selezionare Another AWS account (Un altro account AWS).

  4. Immettere i dettagli seguenti:

    • ID account: immettere l'ID account Microsoft (158177204117) come illustrato nella pagina del connettore AWS in Defender for Cloud.
    • Require External ID (Richiedi ID esterno): questa opzione deve essere selezionata.
    • ID esterno: immettere l'ID sottoscrizione come illustrato nella pagina del connettore AWS in Defender for Cloud
  5. Selezionare Avanti.

  6. Nella sezione Collega criteri di autorizzazione selezionare i criteri gestiti di AWS seguenti:

    • SecurityAudit ( arn:aws:iam::aws:policy/SecurityAudit )
    • AmazonSSMAutomationRole ( arn:aws:iam::aws:policy/service-role/AmazonSSMAutomationRole )
    • AWSSecurityHubReadOnlyAccess ( arn:aws:iam::aws:policy/AWSSecurityHubReadOnlyAccess )
  7. Aggiungere tag, se necessario. L'aggiunta di tag all'utente non influisce sulla connessione.

  8. Selezionare Avanti.

  9. Nell'elenco di ruoli scegliere il ruolo creato

  10. Salvare il valore ARN (Amazon Resource Name) per un momento successivo.

Creare un utente AWS per Defender for Cloud

  1. Aprire la scheda Users (Utenti) e selezionare Add user (Aggiungi utente).

  2. Nel passaggio Dettagli immettere un nome utente per Defender for Cloud e assicurarsi di selezionare Accesso a livello di codice per Tipo di accesso AWS.

  3. Selezionare Next Permissions (Autorizzazioni successive).

  4. Selezionare Attach existing policies directly (Collega direttamente i criteri esistenti) e applicare i criteri seguenti:

    • SecurityAudit
    • AmazonSSMAutomationRole
    • AWSSecurityHubReadOnlyAccess
  5. Selezionare Avanti: Tag. Aggiungere tag, se necessario. L'aggiunta di tag all'utente non influisce sulla connessione.

  6. Selezionare Review (Verifica).

  7. Salvare il file CSV generato con Access key ID (ID chiave di accesso) e Secret access key (Chiave di accesso segreta) per un momento successivo.

  8. Esaminare il riepilogo e selezionare Crea utente.

Passaggio 3. Configurare SSM Agent

AWS Systems Manager è necessario per l'automazione di attività nelle risorse di AWS. Se le istanze di EC2 non includono SSM Agent, seguire le istruzioni rilevanti fornite da Amazon:

Passaggio 4. Completare i prerequisiti di Azure Arc

  1. Assicurarsi che siano registrati i provider di risorse di Azure appropriati:

    • Microsoft.HybridCompute
    • Microsoft.GuestConfiguration
  2. Creare un'entità servizio per l'onboarding su larga scala. Come Proprietario della sottoscrizione da usare per l'onboarding, creare un'entità servizio per l'onboarding di Azure Arc, come illustrato in Creare un'entità servizio per l'onboarding su larga scala.

Passaggio 5. Connessione da AWS a Defender per cloud

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente e selezionare l'opzione per tornare all'esperienza dei connettori classici.

    Switching back to the classic cloud connectors experience in Defender for Cloud.

  2. Selezionare Aggiungi un account AWS. Add AWS account button on Defender for Cloud's multi-cloud connectors page

  3. Configurare le opzioni disponibili nella scheda Autenticazione AWS:

    1. Immettere un Nome visualizzato per il connettore.
    2. Verificare che la sottoscrizione sia corretta. È la sottoscrizione che includerà le raccomandazioni del connettore e dell'hub di sicurezza AWS.
    3. A seconda dell'opzione di autenticazione, è stato scelto nel passaggio 2. Configurare l'autenticazione per Defender for Cloud in AWS:
      • Selezionare Assume Role (Assume Role) e incollare l'ARN da Create an IAM role for Defender for Cloud (Crea un ruolo IAM per Defender per cloud).

        Pasting the ARN file in the relevant field of the AWS connection wizard in the Azure portal.

        OR

      • Selezionare Credenziali e incollare la chiave di accesso e la chiave privata dal file .csv salvato in Creare un utente AWS per Defender for Cloud.

  4. Selezionare Avanti.

  5. Configurare le opzioni disponibili nella scheda Configurazione di Azure Arc:

    Defender for Cloud individua le istanze EC2 nell'account AWS connesso e usa SSM per eseguire l'onboard Azure Arc.

    Suggerimento

    Per l'elenco dei sistemi operativi supportati, vedere Quali sistemi operativi sono supportati per le istanze di EC2? nelle domande frequenti.

    1. Selezionare il Gruppo di risorse e l'Area di Azure in cui verrà eseguito l'onboarding delle istanze individuate di AWS EC2 nella sottoscrizione selezionata.

    2. Immettere l'ID entità servizio e il Segreto client entità servizio per Azure Arc come illustrato in Creare un'entità servizio per l'onboarding su larga scala

    3. Se il computer si connette a Internet tramite un server proxy, specificare l'indirizzo IP del server proxy o il nome e il numero di porta usati dal computer per comunicare con il server proxy. Immettere il valore nel formato http://<proxyURL>:<proxyport>

    4. Selezionare Rivedi e crea.

      Verificare le informazioni di riepilogo

      Nella sezione Tag saranno elencati tutti i tag di Azure creati automaticamente per ogni istanza di EC2 sottoposta a onboarding, con i rispettivi dettagli rilevanti per facilitarne il riconoscimento in Azure.

      Per altre informazioni sui tag di Azure, vedere Usare i tag per organizzare le risorse di Azure e la gerarchia di gestione.

Passaggio 6. Conferma

Quando il connettore viene creato correttamente e AWS Security Hub è stato configurato correttamente:

  • Defender for Cloud analizza l'ambiente per le istanze di AWS EC2, effettuando l'onboarding delle istanze in Azure Arc, consentendo di installare l'agente di Log Analytics e fornendo raccomandazioni sulla protezione dalle minacce e sulla sicurezza.
  • Il servizio Defender for Cloud esegue l'analisi delle nuove istanze di AWS EC2 ogni 6 ore e le esegue l'onboarder in base alla configurazione.
  • Lo standard CIS aws verrà visualizzato nel dashboard di conformità alle normative di Defender for Cloud.
  • Se i criteri dell'hub di sicurezza sono abilitati, le raccomandazioni verranno visualizzate nel portale di Defender per cloud e il dashboard di conformità alle normative 5-10 minuti dopo il completamento dell'onboard.

AWS resources and recommendations in Defender for Cloud's recommendations page

Monitoraggio delle risorse di AWS

Come si può vedere nello screenshot precedente, la pagina raccomandazioni sulla sicurezza di Defender for Cloud visualizza le risorse AWS. È possibile usare il filtro ambienti per usufruire delle funzionalità multi-cloud di Defender for Cloud: visualizzare le raccomandazioni per le risorse azure, AWS e GCP insieme.

Per visualizzare tutte le raccomandazioni attive per le risorse in base al tipo di risorsa, usare la pagina inventario asset di Defender for Cloud e filtrare in base al tipo di risorsa AWS a cui si è interessati:

Asset inventory page's resource type filter showing the AWS options

Domande frequenti - AWS in Defender for Cloud

Quali sistemi operativi sono supportati per le istanze di EC2?

Per un elenco delle API con l'agente SSM preinstallato, vedere questa pagina nelladocumentazione di AWS .

Per altri sistemi operativi, l'agente SSM deve essere installato manualmente seguendo le istruzioni seguenti:

Passaggi successivi

La connessione dell'account AWS fa parte dell'esperienza multi-cloud disponibile in Microsoft Defender per cloud. Per informazioni correlate, vedere la pagina seguente: