本指南介绍 Microsoft Defender for Cloud Apps 和 Microsoft Sentinel 如何帮助保护 Amazon Web Services (AWS) 帐户访问权限和环境。
使用 Microsoft Entra ID for Microsoft 365 或混合云标识和访问保护的 AWS 组织可以快速轻松地为 AWS 帐户部署 Microsoft Entra ID,通常无需额外费用。
体系结构
此图总结了 AWS 安装如何从关键的 Microsoft 安全组件中受益:
下载此体系结构的 PowerPoint 文件。
工作流
Microsoft Entra ID 通过多重身份验证和条件访问功能提供集中式单一登录 (SSO) 和强身份验证。 Microsoft Entra ID 支持基于 AWS 角色的标识和授权以访问 AWS 资源。 有关更详细的说明,请参阅适用于 AWS 的 Microsoft Entra 身份验证和访问控制管理。 Microsoft Entra 权限管理是一种云基础结构权利管理 (CIEM) 产品,可为任何 AWS 标识或资源提供全面的可见性和控制。 可以使用 Microsoft Entra 权限管理执行以下操作:
- 通过评估标识、权限和资源,从多维角度了解风险。
- 在整个多云基础结构中自动执行最小特权策略。
- 使用异常和离群值检测,防止因滥用和恶意利用权限而导致的数据泄露。
有关详细信息和详细的加入说明,请参阅加入 Amazon Web Services (AWS) 帐户。
Defender for Cloud Apps:
- 与 Microsoft Entra 条件访问功能集成以强制实施其他限制。
- 帮助在登录后监视和保护会话。
- 使用用户行为分析 (UBA) 和其他 AWS API 来监视会话和用户并支持信息保护。
Microsoft Defender for Cloud 在 Defender for Cloud 门户中显示 AWS 安全建议以及 Azure 建议。 Defender for Cloud 为基础结构即服务 (IaaS) 和平台即服务 (PaaS) 服务提供了 160 多个现成的建议。 它还支持监管标准,包括 Internet 安全中心 (CIS) 和支付卡行业 (PCI) 标准,以及 AWS 基础安全最佳做法标准。 Defender for Cloud 还为 Amazon EKS 群集、AWS EC2 实例和在 AWS EC2 上运行的 SQL 服务器提供云工作负载保护 (CWP)。
Microsoft Sentinel 与 Defender for Cloud 应用和 AWS 集成以检测和自动响应威胁。 Microsoft Sentinel 监控 AWS 环境中的错误配置、潜在恶意软件以及对 AWS 身份、设备、应用程序和数据的高级威胁。
组件
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Entra ID
用于可见性和控制的 Defender for Cloud 应用
多个用户或角色进行管理更改时,可能会导致配置偏离预期的安全体系结构和标准。 安全标准也会随着时间而改变。 安全人员必须持续不断地检测新风险、评估缓解选项并更新安全性体系结构以防止潜在的违规行为。 跨多个公共云和私有基础设施环境的安全管理可能会让管理工作变得非常繁重。
Defender for Cloud Apps 是一个云访问安全代理 (CASB) 平台,具有云安全态势管理 (CSPM) 功能。 Defender for Cloud Apps 可以连接到多个云服务和应用程序,以收集安全日志、监视用户行为并施加平台本身可能不提供的限制。
Defender for Cloud 应用提供了多种功能,可与 AWS 集成以获得直接收益:
- Defender for Cloud 应用的应用连接器使用包括 UBA 在内的多个 AWS API 来搜索 AWS 平台上的配置问题和威胁。
- AWS 访问控制可以强制实施基于应用程序、设备、IP 地址、位置、注册的 ISP 和特定用户属性的登录限制。
- AWS 的会话控制基于 Microsoft Defender 威胁情报或实时内容检查阻止潜在的恶意软件上传或下载。
- 会话控制还可以使用实时内容检查和敏感数据检测来实施防止剪切、复制、粘贴或打印操作的数据丢失防护 (DLP) 规则。
Defender for Cloud Apps 可以单独使用,也可以作为 Microsoft 企业移动性 + 安全性 E5 的一部分使用,后者包括 Microsoft Entra ID P2。 有关定价和许可信息,请参阅“企业移动性 + 安全性”定价选项。
适用于 CSPM 和 CWP 平台 (CWPP) 的 Defender for Cloud
由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。 Defender for Cloud 可帮助保护 Azure、AWS 和 Google Cloud Platform (GCP) 中的工作负载。
Defender for Cloud 可提供与 AWS 帐户的无代理连接。 Defender for Cloud 还提供保护 AWS 资源的计划:
- Defender for Cloud 概述页面显示 CSPM 指标、警报和见解。 Defender for Cloud 根据特定于 AWS 的安全建议评估 AWS 资源,并将你的安全状况纳入安全功能分数。 资产清单使你可在一个位置查看所有受保护的 AWS 资源。 法规合规仪表板反映了你遵守特定于 AWS 的内置标准的状态。 示例包括 AWS CIS 标准、PCI 数据安全标准 (PCI-DSS) 和 AWS 基础安全最佳做法标准。
- Microsoft Defender for Servers 向受支持的 Windows 和 Linux EC2 实例提供威胁检测和高级防御功能。
- Microsoft Defender for Containers 向受支持的 Amazon EKS 群集提供威胁检测和高级防御功能。
- Microsoft Defender for SQL 为在 AWS EC2 和 AWS RDS Custom for SQL Server 上运行的 SQL 服务器提供威胁检测和高级防御功能。
用于高级威胁检测的 Microsoft Sentinel
威胁可能来自各种设备、应用程序、位置和用户类型。 DLP 要求在上传或下载期间检查内容,因为事后审查可能为时已晚。 AWS 不具备以下本机功能;设备和应用程序管理、基于风险的条件访问、基于会话的控制或内联 UBA。
无论资源位于多云、本地还是混合环境中,安全解决方案都能降低复杂性并提供全面保护,这一点至关重要。 Defender for Cloud 提供 CSPM 和 CWP。 Defender for Cloud 可识别 AWS 中的配置弱点,以帮助加强整体安全状况。 它还有助于为 AWS EC2 中的 Amazon EKS Linux 群集、AWS EC2 实例和 SQL 服务器提供威胁防护。
Microsoft Sentinel 是一种安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案,可集中和协调威胁检测和响应自动化,实现新式安全操作。 Microsoft Sentinel 可以监视 AWS 帐户以比较多个防火墙、网络设备和服务器之间的事件。 Microsoft Sentinel 将监视数据与威胁情报、分析规则和机器学习相结合,以发现和响应高级攻击技术。
可以将 AWS 和 Defender for Cloud Apps 与 Microsoft Sentinel 相连接。 然后,可以查看 Defender for Cloud Apps 警报,并运行使用多个 Defender 威胁情报源的其他威胁检查。 Microsoft Sentinel 可以启动 Defender for Cloud Apps 外部的协调响应。 Microsoft Sentinel 还可以与 IT 服务管理 (ITSM) 解决方案集成,并出于合规目的长期保留数据。
方案详细信息
Microsoft 提供了多种安全解决方案,可帮助保护 AWS 帐户和环境。
其他 Microsoft 安全组件可与 Microsoft Entra ID 集成,为 AWS 帐户提供额外的安全性:
- Defender for Cloud Apps 通过会话保护和用户行为监视来支持 Microsoft Entra ID。
- Defender for Cloud 为 AWS 工作负载提供威胁防护。 它还有助于主动增强 AWS 环境的安全性,并使用无代理方法连接到这些环境。
- Microsoft Sentinel 与 Microsoft Entra ID 和 Defender for Cloud Apps 集成,以检测并自动响应针对 AWS 环境的威胁。
这些 Microsoft 安全解决方案是可扩展的,并提供多级保护。 你可以实施这些解决方案中的一个或多个以及其他类型的保护,以获得全面的安全体系结构,从而帮助保护当前和未来的 AWS 部署。
可能的用例
本文提供了 AWS 的标识架构师、管理员和安全分析师,并提供有关部署多个 Microsoft 安全解决方案的详细指南。
建议
开发安全解决方案时,请记住以下几点。
安全建议
以下原则和准则对于任何云安全解决方案都很重要:
- 确保组织可以监控、检测和自动保护用户和程序对云环境的访问。
- 持续查看当前帐户,以确保标识和权限治理和控制。
- 遵循最小特权和零信任原则。 确保用户只能从受信任的设备和已知位置访问所需的特定资源。 减少每个管理员和开发人员的权限,仅为他们提供正在履行的角色所需的权限。 定期评审。
- 持续监视平台配置更改,尤其是当它们提供特权升级或攻击持久性的机会时。
- 主动检查和控制内容,防止未经授权的数据外泄。
- 利用你可能已经拥有的解决方案,例如 Microsoft Entra ID P2,无需额外费用即可提高安全性。
基本 AWS 帐户安全性
若要确保 AWS 帐户和资源的基本安全性,请执行以下操作:
- 在有关保护 AWS 帐户和资源最佳做法中查看 AWS 安全指南。
- 通过 AWS 管理控制台主动检查所有数据传输,降低上传和下载恶意软件和其他恶意内容的风险。 直接上传或下载到 AWS 平台中的资源(例如 Web 服务器或数据库)的内容可能需要额外的保护。
- 请考虑保护对其他资源的访问,包括:
- 在 AWS 帐户中创建的资源。
- 特定的工作负载平台,例如 Windows Server、Linux Server 或容器。
- 管理员和开发人员用于访问 AWS 管理控制台的设备。
部署此方案
执行以下部分中的步骤实现安全解决方案。
规划和准备
要准备部署 Azure 安全解决方案,请查看并记录当前的 AWS 和 Microsoft Entra 帐户信息。 如果你部署了多个 AWS 帐户,请为每个帐户重复这些步骤。
在 AWS 计费管理控制台中,记录以下 AWS 帐户的当前信息:
- “AWS 帐户 ID”,这是唯一标识符
- “帐户名”或根用户
- “付款方式”,无论是分配给信用卡还是公司计费协议
- 有权访问 AWS 帐户信息的“备用联系人”
- 安全更新和记录以供紧急访问的“安全性问题”
- 为遵守数据安全策略而启用或禁用的“AWS 区域”
在 Azure 门户中,查看 Microsoft Entra 租户:
- 评估租户信息以查看租户是否拥有 Microsoft Entra ID P1 或 P2 许可证。 P2 许可证提供高级 Microsoft Entra 标识管理功能。
- 评估企业应用程序以查看是否有任何现有应用程序使用 AWS 应用程序类型,如主页 URL 列中的
http://aws.amazon.com/所示。
部署 Defender for Cloud 应用
部署新式标识和访问管理所需的集中管理和强身份验证后,即可实现 Defender for Cloud Apps 以执行以下操作:
- 收集安全数据并为 AWS 帐户执行威胁检测。
- 实施高级控制以降低风险并防止数据丢失。
部署 Defender for Cloud Apps:
- 为 AWS 添加一个 Defender for Cloud 应用的应用连接器。
- 为 AWS 活动配置 Defender for Cloud 应用监视策略。
- 为 AWS SSO 创建企业应用程序。
- 在 Defender for Cloud Apps 中创建条件访问应用控制应用程序。
- 为 AWS 活动配置 Microsoft Entra 会话策略。
- 为 AWS 测试 Defender for Cloud 应用策略。
添加 AWS 应用连接器
在 Defender for Cloud 应用门户中,展开“调查”,然后选择“已连接的应用”。
在“应用连接器”页上,选择“加号 (+)”,然后从列表中选择“Amazon Web Services”。
为连接器使用唯一名称。 在名称中包含公司标识符和特定 AWS 帐户,例如“Contoso-AWS-Account1”。
按照将 AWS 连接到 Microsoft Defender for Cloud Apps 中的说明创建适当的 AWS 标识和访问管理 (IAM) 用户。
- 为受限权限定义策略。
- 创建服务帐户以代表 Defender for Cloud 应用服务使用这些权限。
- 向应用连接器提供凭据。
建立初始连接所需的时间取决于 AWS 帐户日志大小。 连接完成后,你会看到连接确认:
为 AWS 活动配置 Defender for Cloud 应用监视策略
打开应用连接器后,Defender for Cloud Apps 会在策略配置生成器中显示新模板和选项。 可以直接从模板创建策略并根据需要对其进行修改。 也可以在不使用模板的情况下开发策略。
使用模板实现策略:
在 Defender for Cloud Apps 左侧导航窗口中,展开“控制”,然后选择“模板”。
搜索 aws 并查看适用于 AWS 的可用策略模板。
若要使用模板,请选择模板项右侧的“加号 (+)”。
每种策略类型都有不同的选项。 查看配置设置并保存策略。 对每个模板重复此步骤。
若要使用文件策略,请确保在 Defender for Cloud Apps 设置中打开文件监视设置:
当 Defender for Cloud 应用检测到警报时,会在 Defender for Cloud应用门户的“警报”页上显示警报:
为 AWS SSO 创建企业应用程序
按照教程:Microsoft Entra 单一登录 (SSO) 与 AWS 单一登录集成中的说明,为 AWS SSO 创建企业应用程序。 以下是该过程的摘要:
- 从库中添加 AWS SSO。
- 配置并测试 AWS SSO 的 Microsoft Entra SSO:
- 配置 Microsoft Entra SSO。
- 配置 AWS SSO。
- 创建 AWS SSO 测试用户。
- 测试 SSO。
在 Defender for Cloud Apps 中创建条件访问应用控制应用程序
转到 Defender for Cloud Apps 门户,选择“调查”,然后选择“已连接的应用”。
选择“条件访问应用控制应用”,然后选择“添加”。
在“搜索应用”框中,输入“Amazon Web Services”,然后选择应用程序。 选择“启动向导”。
选择“手动填充数据”。 输入以下屏幕截图中显示的“断言使用者服务 URL”值,然后选择“下一步”。
在下一页,忽略“外部配置”步骤。 选择下一步。
选择“手动填写数据”,然后按照以下步骤输入数据:
- 在“单一登录服务 URL”下,输入为 AWS 创建的企业应用程序的“登录 URL”值。
- 在“上传标识提供者的 SAML 证书”下,选择“浏览”。
- 找到你创建的企业应用程序的证书。
- 将证书下载到本地设备,然后将其上传到向导。
- 选择下一步。
在下一页,忽略“外部配置”步骤。 选择下一步。
在下一页,忽略“外部配置”步骤。 选择“完成”。
在下一页,忽略“验证设置”步骤。 选择关闭。
为 AWS 活动配置 Microsoft Entra 会话策略
会话策略是 Microsoft Entra 条件访问策略和 Defender for Cloud Apps 反向代理功能的强大组合。 这些策略可提供实时可疑行为监视和控制。
在 Microsoft Entra ID 中,使用以下设置创建新的条件访问策略:
- 在“名称”下,输入“AWS 控制台 – 会话控制”。
- 在“用户和组”下,选择前面创建的两个角色组:
- AWS-Account1-Administrators
- AWS-Account1-Developers
- 在“云应用或操作”下,选择前面创建的企业应用程序,例如“Contoso-AWS-Account 1”。
- 在“会话”下,选择“使用条件访问应用控制”。
在“启用策略”下,选择“开” 。
选择创建。
创建 Microsoft Entra 条件访问策略后,设置 Defender for Cloud Apps 会话策略以控制 AWS 会话期间的用户行为。
在 Defender for Cloud 门户中,展开“控制”,然后选择“策略”。
在“策略”页上,选择“创建策略”,然后从列表中选择“会话策略”。
在“创建会话策略”页的“策略模板”下,选择“阻止上传潜在恶意软件(基于 Microsoft 威胁情报)”。
在“符合以下所有条件的活动”下,修改活动筛选器以包括“应用”、“等于”和“Amazon Web Services”。 删除默认设备选择。
检查其他设置,然后选择“创建”。
为 AWS 测试 Defender for Cloud 应用策略
定期测试所有策略,以确保策略仍然有效且相关。 以下是一些推荐的测试:
IAM 策略更改:每次尝试修改 AWS IAM 中的设置时,都会触发此策略。 例如,当你按照本部署部分后面的过程创建新的 IAM 策略和帐户时,会看到一条警报。
控制台登录失败:任何登录测试帐户失败的尝试都会触发此策略。 警报详细信息显示该尝试来自 Azure 区域数据中心之一。
S3 存储桶活动策略:尝试创建新的 AWS S3 存储帐户并将其设置为公开可用时,会触发此策略。
恶意软件检测策略:如果将恶意软件检测配置为会话策略,则可以按照以下步骤对其进行测试:
- 从欧洲计算机反病毒研究所 (EICAR) 下载安全测试文件。
- 尝试将该文件上传到 AWS S3 存储帐户。
该策略会立即阻止上传尝试,并在 Defender for Cloud Apps 门户中显示警报。
部署 Defender for Cloud
可以使用本机云连接器将 AWS 帐户连接到 Defender for Cloud。 该连接器可提供到 AWS 帐户的无代理连接。 可以使用此连接收集 CSPM 建议。 通过使用 Defender for Cloud 计划,你可以使用 CWP 保护 AWS 资源。
若要保护基于 AWS 的资源,请执行以下步骤,后面的部分将详细介绍这些步骤:
- 连接 AWS 帐户。
- 监视 AWS。
连接到你的 AWS 帐户
若要使用本机连接器将 AWS 帐户连接到 Defender for Cloud,请执行以下步骤:
查看连接 AWS 帐户的先决条件。 请确保在继续操作之前满足这些条件。
如果有任何经典连接器,请按照删除经典连接器中的步骤将其删除。 同时使用经典连接器和本机连接器可能会生成重复的建议。
登录到 Azure 门户。
选择“Microsoft Defender for Cloud”,然后选择“环境设置”。
选择“添加环境”>“Amazon Web Services” 。
输入 AWS 帐户的详细信息,包括连接器资源的存储位置。 或者,选择“管理帐户”创建管理帐户的连接器。 将为每个在提供的管理帐户下发现的成员帐户创建连接器。 将为所有新加入的帐户打开自动预配。
然后选择“下一步: 选择计划”。
默认情况下,服务器计划处于打开状态。 此设置是将 Defender for Servers 覆盖范围扩展到 AWS EC2 所必需的。 请确保你已满足 Azure Arc 的网络要求。(可选)若要编辑配置,请选择“配置”。
默认情况下,容器计划处于打开状态。 此设置是使 Defender for Containers 保护 AWS EKS 群集所必需的。 确保已满足 Defender for Containers 计划的网络要求。 (可选)若要编辑配置,请选择“配置”。 如果禁用此配置,则会禁用控制平面的威胁检测功能。 若要查看功能列表,请参阅 Defender for Containers 功能可用性。
默认情况下,数据库计划处于打开状态。 此设置是将 Defender for SQL 覆盖范围扩展到 AWS EC2 和 RDS Custom for SQL Server 所必需的。 (可选)若要编辑配置,请选择“配置”。 建议使用默认配置。
选择“下一步: 配置访问权限”。
下载 CloudFormation 模板。
按照屏幕上的说明使用下载的 CloudFormation 模板在 AWS 中创建堆栈。 如果已加入管理帐户,则需要以 Stack 和 StackSet 的形式运行 CloudFormation 模板。 将在加入后 24 小时内为成员帐户创建连接器。
选择“下一步: 审阅并生成”。
选择“创建” 。
Defender for Cloud 立即开始扫描 AWS 资源。 在几个小时内,你会看到安全建议。 有关 Defender for Cloud 可为 AWS 资源提供的所有建议的列表,请参阅 AWS 资源的安全建议 - 参考指南。
监视 AWS 资源
Defender for Cloud 的安全建议页显示你的 AWS 资源。 可以使用环境筛选器来利用 Defender for Cloud 的多云功能,例如,同时查看 Azure、AWS 和 GCP 资源的建议。
若要按资源类型查看资源的所有活动建议,请使用 Defender for Cloud 的资产清单页。 设置筛选器以显示你感兴趣的 AWS 资源类型。
部署 Microsoft Sentinel
如果将 AWS 帐户和 Defender for Cloud Apps 连接到 Microsoft Sentinel,则可以使用跨多个防火墙、网络设备和服务器比较事件的监视功能。
启用 Microsoft Sentinel AWS 连接器
为 AWS 启用 Microsoft Sentinel 连接器后,你可以监视 AWS 事件和数据引入。
与 Defender for Cloud 应用配置一样,此连接需要配置 AWS IAM 以提供凭据和权限。
在 AWS IAM 中,按照连接 Microsoft Sentinel 到 AWS CloudTrail 中的步骤进行操作。
要在 Azure 门户中完成配置,请在“Microsoft Sentinel”>“数据连接器”下面,选择“Amazon Web Services”连接器。
选择“打开连接器页面”。
在“配置”下的“要添加的角色”字段中输入 AWS IAM 配置中的“角色 ARN”值,然后选择“添加”。
选择“后续步骤”,然后选择要监视的“AWS 网络活动”和“AWS 用户活动”。
在“相关分析模板”下,选择要启用的 AWS 分析模板旁边的“创建规则”。
设置每个规则,然后选择“创建”。
下表显示了可用于检查 AWS 实体行为和威胁指标的规则模板。 规则名称描述了它们的用途,潜在的数据源列出了每个规则可以使用的数据源。
| 分析模板名称 | 数据源 |
|---|---|
| 已知 IRIDIUM IP | DNS, Azure Monitor, Cisco ASA, Palo Alto Networks, Microsoft Entra ID, Azure 活动, AWS |
| 已经创建且随后附加到角色、用户或组的完整管理员策略 | AWS |
| 登录 AzureAD 失败但随后成功登录 AWS 控制台 | Microsoft Entra ID, AWS |
| 登录 AzureAD 控制台失败但随后成功登录 AzureAD | Microsoft Entra ID, AWS |
| 为用户禁用多重身份验证 | Microsoft Entra ID, AWS |
| AWS 安全组入口和出口设置的更改 | AWS |
| 监控 AWS 凭证滥用或劫持 | AWS |
| 对 AWS Elastic 负载均衡器安全组的更改 | AWS |
| 对 Amazon VPC 设置的更改 | AWS |
| 在过去 24 小时内观察到新的用户代理 | Microsoft 365、Azure Monitor 和 AWS |
| 在没有多重身份验证的情况下登录到 AWS 管理控制台 | AWS |
| 对面向 Internet 的 AWS RDS 数据库实例的更改 | AWS |
| 对 AWS CloudTrail 日志的更改 | AWS |
| Defender 威胁情报将 IP 实体映射到 AWS CloudTrail | Defender 威胁情报平台,AWS |
已启用的模板在连接器详细信息页上具有“使用中”指示器。
监视 AWS 事件
Microsoft Sentinel 会基于已打开的分析和检测创建事件。 每个事件都可以包括一个或多个事件,这减少了检测和响应潜在威胁所需的调查总数。
Microsoft Sentinel 显示 Defender for Cloud Apps 生成的事件(如果已连接)以及 Microsoft Sentinel 创建的事件。 “产品名称”列显示事件源。
检查数据引入
通过定期查看连接器详细信息来检查数据是否持续引入 Microsoft Sentinel。 下图显示了一个新的连接。
如果连接器停止引入数据并且折线图值下降,请检查用于连接到 AWS 帐户的凭据。 另请检查 AWS CloudTrail 是否仍可收集事件。
作者
本文由 Microsoft 维护, 最初由以下参与者撰写。
主要作者:
- Lavanya Murthy | 高级云解决方案架构师
若要查看非公开领英个人资料,请登录领英。
后续步骤
- 有关 AWS 的安全指南,请参阅保护 AWS 帐户和资源的最佳做法。
- 有关最新的 Microsoft 安全信息,请参阅 Microsoft 安全性。
- 有关如何实现和管理 Microsoft Entra ID 的完整详细信息,请参阅使用 Microsoft Entra ID 保护 Azure 环境。
- 有关 AWS 资产威胁和相应保护措施的概述,请参阅 Defender for Cloud Apps 如何帮助保护 Amazon Web Services (AWS) 环境。
- 有关连接器以及如何建立连接的信息,请参阅以下资源:
相关资源
- 有关 Azure 和 AWS 功能的深入覆盖范围和比较,请参阅面向于 AWS 专业人员的 Azure 内容集。
- 有关为 AWS 部署 Microsoft Entra 身份验证和访问控制解决方案的指南,请参阅适用于 AWS 的 Microsoft Entra 身份验证和访问控制管理。