Defender for Cloud应用如何帮助保护 Amazon Web Services (AWS) 环境
注意
我们重命名了Microsoft Cloud App Security。 现在称为Microsoft Defender for Cloud Apps。 在接下来的几周内,我们将更新此处和相关页面中的屏幕截图和说明。 有关更改的详细信息,请参阅 此公告。 若要了解有关 Microsoft 安全服务最近重命名的详细信息,请参阅 Microsoft Ignite Security 博客。
Microsoft Defender for Cloud Apps现在是Microsoft 365 Defender的一部分。 Microsoft 365 Defender门户允许安全管理员在一个位置执行其安全任务。 这将简化工作流,并添加其他Microsoft 365 Defender服务的功能。 Microsoft 365 Defender是监视和管理 Microsoft 标识、数据、设备、应用和基础结构安全性的家。 有关这些更改的详细信息,请参阅Microsoft 365 Defender中的Microsoft Defender for Cloud Apps。
Amazon Web Services 是一个 IaaS 提供商,使组织能够在云中托管和管理其整个工作负荷。 除了利用云中的基础结构的好处外,组织最关键的资产也可能暴露在威胁中。 公开的资产包括具有潜在敏感信息的存储实例、运行某些最关键应用程序、端口和虚拟专用网络的计算资源,这些实例支持访问组织。
将 AWS 连接到 Defender for Cloud Apps 有助于保护资产,并通过监视管理和登录活动、通知可能的暴力攻击、恶意使用特权用户帐户、异常删除 VM 以及公开的存储存储桶来检测潜在威胁。
主要威胁
- 滥用云资源
- 已泄露的帐户和内部威胁
- 数据泄露
- 资源配置错误和访问控制不足
Defender for Cloud应用如何帮助保护环境
使用内置策略和策略模板控制 AWS
可以使用以下内置策略模板来检测和通知潜在威胁:
| 类型 | 名称 |
|---|---|
| 活动策略模板 | 管理员控制台登录失败 CloudTrail 配置更改 EC2 实例配置更改 IAM 策略更改 从风险性 IP 地址登录 ACL) 更改 (网络访问控制列表 网络网关更改 S3 配置更改 安全组配置更改 虚拟专用网络更改 |
| 内置异常情况检测策略 | 来自匿名 IP 地址的活动 来自不常用国家/地区的活动 来自可疑 IP 地址的活动 不可能旅行 由终止的用户 (执行的活动需要 idP) Azure Active Directory 多次失败的登录尝试 异常管理活动 (预览版) 的异常多个存储删除活动 多个删除 VM 活动 (预览版) 的异常多个 VM 创建活动 云资源 (预览版) 的异常区域 |
| 文件策略模板 | S3 存储桶可公开访问 |
有关创建策略的详细信息,请参阅 创建策略。
自动执行治理控制
除了监视潜在威胁之外,还可以应用并自动执行以下 AWS 治理操作来修正检测到的威胁:
| 类型 | 操作 |
|---|---|
| 用户管理 | - 通过 Azure AD) 通知用户警报 ( - 要求用户通过 Azure AD) 再次登录 ( - 通过 Azure AD) 暂停用户 ( |
| 数据治理 | - 将 S3 存储桶设置为专用 - 删除 S3 存储桶的协作者 |
有关从应用修正威胁的详细信息,请参阅 管理连接的应用。
安全建议
Defender for Cloud应用基于 AWS 安全中心 (CIS) AWS 基准,概述了所有 AWS 帐户的 AWS 平台配置符合性。
应持续查看安全建议,以评估和评估平台安全状况的当前状态,并确定重要的配置差距。 然后,应创建一个计划来缓解 AWS 平台中的问题。
有关详细信息, AWS 安全建议。
实时保护 AWS
查看有关 阻止和保护敏感数据下载到非托管或有风险设备的最佳做法。