Conectar contas da AWS ao Microsoft Defender for Cloud

As cargas de trabalho geralmente abrangem várias plataformas de nuvem. Os serviços de segurança na nuvem devem fazer o mesmo. O Microsoft Defender for Cloud ajuda a proteger cargas de trabalho na Amazon Web Services (AWS), mas você precisa configurar a conexão entre elas e o Defender for Cloud.

A captura de tela a seguir mostra as contas da AWS exibidas no painel de visão geral do Defender for Cloud.

Captura de tela que mostra quatro projetos da AWS listados no painel de visão geral no Defender for Cloud.

Você pode saber mais assistindo ao vídeo Novo conector da AWS no Defender for Cloud da série de vídeos Defender for Cloud in the Field .

Processo de autenticação da AWS

A autenticação federada é usada entre o Microsoft Defender for Cloud e a AWS. Todos os recursos relacionados à autenticação são criados como parte da implantação do modelo do CloudFormation, incluindo:

  • Um provedor de identidade (OpenID connect)

  • Funções de Gerenciamento de Identidade e Acesso (IAM) com uma entidade federada (conectada aos provedores de identidade).

A arquitetura do processo de autenticação entre nuvens é a seguinte:

Diagrama mostrando a arquitetura do processo de autenticação entre nuvens.

O serviço Microsoft Defender for Cloud CSPM adquire um token Microsoft Entra com um tempo de vida útil de validade de 1 hora que é assinado pelo ID do Microsoft Entra usando o algoritmo RS256.

O token Microsoft Entra é trocado com credenciais de vida curta da AWS e o serviço CSPM do Defender for Cloud assume a função do IAM CSPM (assumida com a identidade da web).

Como o princípio da função é uma identidade federada, conforme definido em uma política de relacionamento de confiança, o provedor de identidade da AWS valida o token do Microsoft Entra em relação ao ID do Microsoft Entra por meio de um processo que inclui:

  • Validação de audiência

  • validação de assinatura digital de token

  • impressão digital do certificado

A função Microsoft Defender for Cloud CSPM é assumida somente após as condições de validação definidas na relação de confiança terem sido atendidas. As condições definidas para o nível de função são usadas para validação na AWS e permitem que apenas o aplicativo Microsoft Defender for Cloud CSPM (público validado) acesse a função específica (e não qualquer outro token da Microsoft).

Depois que o token Microsoft Entra é validado pelo provedor de identidade da AWS, o AWS STS troca o token com credenciais de vida curta da AWS que o serviço CSPM usa para verificar a conta da AWS.

Pré-requisitos

Para concluir os procedimentos neste artigo, você precisa:

Nota

O conector da AWS não está disponível nas nuvens governamentais nacionais (Azure Government, Microsoft Azure operado pela 21Vianet).

Requisitos do plano de conector nativo

Cada plano tem seus próprios requisitos para o conector nativo.

Defender para Contentores

Se você escolher o plano Microsoft Defender for Containers, precisará:

  • Pelo menos um cluster do Amazon EKS com permissão para acessar o servidor de API do EKS Kubernetes. Se você precisar criar um novo cluster EKS, siga as instruções em Conceitos básicos do Amazon EKS – eksctl.
  • A capacidade de recursos para criar uma nova fila do Amazon SQS, Kinesis Data Firehose fluxo de entrega e bucket do Amazon S3 na região do cluster.

Defender para SQL

Se você escolher o plano Microsoft Defender for SQL, precisará:

  • Microsoft Defender para SQL ativado na sua subscrição. Saiba como proteger as suas bases de dados.
  • Uma conta da AWS ativa, com instâncias do EC2 executando o SQL Server ou o RDS Custom for SQL Server.
  • Azure Arc para servidores instalados em suas instâncias do EC2 ou RDS Custom para SQL Server.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias atuais e futuras do EC2. Para habilitar o provisionamento automático do Azure Arc, você precisa da permissão Proprietário na assinatura relevante do Azure.

O AWS Systems Manager (SSM) usa o agente do SSM para lidar com o provisionamento automático. Algumas imagens de máquina da Amazon já têm o Agente do SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente do SSM, instale-o usando estas instruções da Amazon: Instale o Agente do SSM para um ambiente híbrido e multicloud (Windows).

Certifique-se de que seu Agente do SSM tenha a política gerenciada AmazonSSMManagedInstanceCore. Ele habilita a funcionalidade principal para o serviço AWS Systems Manager.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

  • Microsoft Defender para Ponto Final
  • Uma solução de avaliação de vulnerabilidade (TVM ou Qualys)
  • O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Verifique se o espaço de trabalho selecionado do Log Analytics tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura . Todas as suas contas da AWS e projetos do Google Cloud Platform (GCP) sob a mesma assinatura herdam as configurações de assinatura para o agente do Log Analytics e o agente do Azure Monitor.

Saiba mais sobre o monitoramento de componentes do Defender for Cloud.

Defender para bancos de dados de código aberto (Visualização)

Se você escolher o plano Defender para bancos de dados relacionais de código aberto, você precisa:

Disponibilidade da região: todas as regiões públicas da AWS (exceto Tel Aviv, Milão, Jacarta, Espanha e Bahrein).

Defender para Servidores

Se você escolher o plano Microsoft Defender for Servers, precisará:

  • Microsoft Defender for Servers ativado na sua subscrição. Saiba como ativar planos em Ativar recursos de segurança avançados.
  • Uma conta ativa da AWS, com instâncias do EC2.
  • Azure Arc para servidores instalados em suas instâncias do EC2.

Recomendamos que você use o processo de provisionamento automático para instalar o Azure Arc em todas as suas instâncias atuais e futuras do EC2. Para habilitar o provisionamento automático do Azure Arc, você precisa da permissão Proprietário na assinatura relevante do Azure.

O AWS Systems Manager provisiona automaticamente usando o Agente do SSM. Algumas imagens de máquina da Amazon já têm o Agente do SSM pré-instalado. Se suas instâncias do EC2 não tiverem o Agente do SSM, instale-o usando uma das seguintes instruções da Amazon:

Certifique-se de que seu agente do SSM tenha a política gerenciada AmazonSSMManagedInstanceCore, que permite a funcionalidade principal para o serviço AWS Systems Manager.

Você deve ter o Agente do SSM para provisionamento automático do Arc agent em máquinas EC2. Se o SSM não existir ou for removido do EC2, o provisionamento do Arc não poderá prosseguir.

Nota

Como parte do modelo CloudFormation que é executado durante o processo de integração, um processo de automação é criado e acionado a cada 30 dias, em todos os EC2s que existiam durante a execução inicial do CloudFormation. O objetivo dessa verificação agendada é garantir que todos os EC2s relevantes tenham um perfil do IAM com a política do IAM necessária que permita ao Defender for Cloud acessar, gerenciar e fornecer os recursos de segurança relevantes (incluindo o provisionamento do agente Arc). A verificação não se aplica aos EC2s que foram criados após a execução do CloudFormation.

Se você quiser instalar manualmente o Azure Arc em suas instâncias atuais e futuras do EC2, use as instâncias do EC2 devem estar conectadas à recomendação do Azure Arc para identificar instâncias que não têm o Azure Arc instalado.

Habilite estas outras extensões nas máquinas conectadas ao Azure Arc:

  • Microsoft Defender para Ponto Final
  • Uma solução de avaliação de vulnerabilidade (TVM ou Qualys)
  • O agente do Log Analytics em máquinas conectadas ao Azure Arc ou o agente do Azure Monitor

Verifique se o espaço de trabalho selecionado do Log Analytics tem uma solução de segurança instalada. O agente do Log Analytics e o agente do Azure Monitor estão atualmente configurados no nível da assinatura . Todas as suas contas da AWS e projetos GCP sob a mesma assinatura herdam as configurações de assinatura para o agente do Log Analytics e o agente do Azure Monitor.

Saiba mais sobre o monitoramento de componentes do Defender for Cloud.

Nota

Como o agente do Log Analytics (também conhecido como MMA) está programado para se aposentar em agosto de 2024, todos os recursos e recursos de segurança do Defender for Servers que atualmente dependem dele, incluindo os descritos nesta página, estarão disponíveis por meio da integração do Microsoft Defender for Endpoint ou da verificação sem agente, antes da data de aposentadoria. Para obter mais informações sobre o roteiro para cada um dos recursos que dependem atualmente do Log Analytics Agent, consulte este anúncio.

O Defender for Servers atribui tags aos recursos do Azure ARC sobre suas instâncias do EC2 para gerenciar o processo de provisionamento automático. Você deve ter essas tags atribuídas corretamente aos seus recursos para que o Defender for Cloud possa gerenciá-las: AccountId, Cloud, InstanceIde MDFCSecurityConnector.

GPSC do Defender

Se você escolher o plano Microsoft Defender CSPM, você precisa:

  • uma assinatura do Microsoft Azure. Se não tiver uma subscrição do Azure, pode inscrever-se numa subscrição gratuita.
  • Você deve habilitar o Microsoft Defender for Cloud em sua assinatura do Azure.
  • Conecte suas máquinas que não sejam do Azure, contas da AWS.
  • Para ter acesso a todos os recursos disponíveis do plano CSPM, o plano deve ser habilitado pelo Proprietário da Assinatura.
  • Para habilitar os recursos do CIEM (Cloud Infrastructure Entitlement Management), a conta do Entra ID usada para o processo de integração deve ter a função de diretório Application Administrator ou Cloud Application Administrator para seu locatário (ou direitos de administrador equivalentes para criar registros de aplicativos). Este requisito só é necessário durante o processo de integração.

Saiba mais sobre como ativar o Defender CSPM.

Ligar a conta AWS

Para conectar sua AWS ao Defender for Cloud usando um conector nativo:

  1. Inicie sessão no portal do Azure.

  2. Vá para as configurações do Defender for Cloud>Environment.

  3. Selecione Adicionar ambiente>Amazon Web Services.

    Captura de tela que mostra a conexão de uma conta da AWS a uma assinatura do Azure.

  4. Insira os detalhes da conta da AWS, incluindo o local onde você armazena o recurso do conector.

    Captura de tela que mostra a guia para inserir detalhes da conta de uma conta da AWS.

    A lista suspensa de regiões da AWS permite que você selecione as regiões para as quais o Defender for Cloud faz chamadas de API. Cada região desmarcada da lista suspensa implica que o Defender for Cloud não fará chamadas de API para essas regiões.

  5. Selecione um intervalo de varredura entre 1 a 24 horas.

    Alguns coletores de dados são executados com intervalos de verificação fixos e não são afetados por configurações de intervalo personalizadas. A tabela a seguir mostra os intervalos de verificação fixos para cada coletor de dados excluído:

    Nome do coletor de dados Intervalo de varredura
    EC2Instância
    ECRImage
    ECRRepositório
    RDSDBInstance
    S3Bucket
    S3BucketTags
    S3Região
    EKSCluster
    EKSClusterName
    EKSNodegroup
    EKSNodegroupName
    AutoScalingAutoScalingGroup
    Uma hora
    EcsClusterArn
    EcsService
    EcsServiceArn
    EcsTaskDefinition
    EcsTaskDefinitionArn
    EcsTaskDefinitionTags
    AwsPolicyVersion
    LocalPolicyVersion
    AwsEntitiesForPolicy
    LocalEntitiesForPolicy
    BucketEncryption
    BucketPolicy
    S3PublicAccessBlockConfiguration
    BucketVersioning
    S3LifecycleConfiguration
    BucketPolicyStatus
    S3ReplicationConfiguration
    S3AccessControlList
    S3BucketLoggingConfig
    PublicAccessBlockConfiguration
    12 horas

Nota

(Opcional) Selecione Conta de gerenciamento para criar um conector para uma conta de gerenciamento. Os conectores são então criados para cada conta de membro descoberta na conta de gerenciamento fornecida. O provisionamento automático também está habilitado para todas as contas recém-integradas.

(Opcional) Use o menu suspenso Regiões da AWS para selecionar regiões específicas da AWS a serem verificadas. Todas as regiões são selecionadas por padrão.

Selecione os planos Defender

Nesta seção do assistente, você seleciona os planos do Defender for Cloud que deseja habilitar.

  1. Selecione Avançar : Selecione planos.

    A guia Selecionar planos é onde você escolhe quais recursos do Defender for Cloud habilitar para essa conta da AWS. Cada plano tem seus próprios requisitos de permissões e pode incorrer em encargos.

    Captura de tela que mostra a guia para selecionar planos para uma conta da AWS.

    Importante

    Para apresentar o status atual de suas recomendações, o plano Microsoft Defender Cloud Security Posture Management consulta as APIs de recursos da AWS várias vezes ao dia. Essas chamadas de API somente leitura não incorrem em cobranças, mas são registradas no CloudTrail se você tiver ativado uma trilha para eventos de leitura.

    Conforme explicado na documentação da AWS, não há cobranças adicionais para manter uma trilha. Se você estiver exportando os dados para fora da AWS (por exemplo, para um sistema SIEM externo), esse aumento no volume de chamadas também pode aumentar os custos de ingestão. Nesses casos, recomendamos filtrar as chamadas somente leitura do usuário do Defender for Cloud ou da função ARN: arn:aws:iam::[accountId]:role/CspmMonitorAws. (Este é o nome da função padrão. Confirme o nome da função configurado na sua conta.)

  2. Por padrão, o plano Servidores é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender for Servers para o AWS EC2. Certifique-se de que cumpriu os requisitos de rede para o Azure Arc.

    Opcionalmente, selecione Configurar para editar a configuração conforme necessário.

    Nota

    Os respetivos servidores Azure Arc para instâncias EC2 ou máquinas virtuais GCP que não existem mais (e os respetivos servidores Azure Arc com status de Desconectado ou Expirado) são removidos após 7 dias. Esse processo remove entidades irrelevantes do Azure Arc para garantir que apenas os servidores Azure Arc relacionados a instâncias existentes sejam exibidos.

  3. Por padrão, o plano Contêineres é definido como Ativado. Essa configuração é necessária para que o Defender for Containers proteja seus clusters do AWS EKS. Certifique-se de que cumpriu os requisitos de rede para o plano Defender for Containers.

    Nota

    O Kubernetes habilitado para Azure Arc, as extensões do Azure Arc para o sensor Defender e a Política do Azure para Kubernetes devem ser instaladas. Use as recomendações dedicadas do Defender for Cloud para implantar as extensões (e o Azure Arc, se necessário), conforme explicado em Proteger clusters do Amazon Elastic Kubernetes Service.

    Opcionalmente, selecione Configurar para editar a configuração conforme necessário. Se você optar por desativar essa configuração, o recurso Deteção de ameaças (plano de controle) também será desativado. Saiba mais sobre a disponibilidade de recursos.

  4. Por padrão, o plano Bancos de dados é definido como Ativado. Essa configuração é necessária para estender a cobertura do Defender for SQL para AWS EC2 e RDS Custom para SQL Server e bancos de dados relacionais de código aberto no RDS.

    (Opcional) Selecione Configurar para editar a configuração conforme necessário. Recomendamos que você o deixe definido para a configuração padrão.

  5. Selecione Configurar acesso e selecione o seguinte:

    a. Selecione um tipo de implantação:

    • Acesso padrão: permite que o Defender for Cloud analise seus recursos e inclua automaticamente recursos futuros.
    • Acesso com privilégios mínimos: concede ao Defender for Cloud acesso apenas às permissões atuais necessárias para os planos selecionados. Se você selecionar as permissões menos privilegiadas, receberá notificações sobre quaisquer novas funções e permissões necessárias para obter funcionalidade completa para a integridade do conector.

    b. Selecione um método de implantação: AWS CloudFormation ou Terraform.

    Captura de tela que mostra opções de implantação e instruções para configurar o acesso.

    Nota

    Se você selecionar Conta de gerenciamento para criar um conector para uma conta de gerenciamento, a guia para integrar com o Terraform não estará visível na interface do usuário, mas você ainda poderá integrar usando o Terraform, semelhante ao que é abordado em Integrando seu ambiente AWS/GCP ao Microsoft Defender for Cloud com Terraform - Microsoft Community Hub.

  6. Siga as instruções na tela para o método de implantação selecionado para concluir as dependências necessárias na AWS. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e StackSet. Os conectores são criados para as contas de membros até 24 horas após a integração.

  7. Selecione Seguinte: rever e gerar.

  8. Selecione Criar.

O Defender for Cloud começa imediatamente a verificar seus recursos da AWS. As recomendações de segurança aparecem dentro de algumas horas.

Implante um modelo do CloudFormation em sua conta da AWS

Como parte da conexão de uma conta da AWS ao Microsoft Defender for Cloud, você implanta um modelo do CloudFormation na conta da AWS. Este modelo cria todos os recursos necessários para a conexão.

Implante o modelo CloudFormation usando Stack (ou StackSet se você tiver uma conta de gerenciamento). Quando você estiver implantando o modelo, o assistente de criação de pilha oferece as seguintes opções.

Captura de tela que mostra o assistente de criação de pilha com opções para fontes de modelo.

  • URL do Amazon S3: faça upload do modelo do CloudFormation baixado para seu próprio bucket do S3 com suas próprias configurações de segurança. Insira o URL para o bucket do S3 no assistente de implantação da AWS.

  • Faça upload de um arquivo de modelo: a AWS cria automaticamente um bucket do S3 no qual o modelo do CloudFormation é salvo. A automação para o bucket do S3 tem um erro de configuração de segurança que faz com que a S3 buckets should require requests to use Secure Socket Layer recomendação apareça. Você pode corrigir essa recomendação aplicando a seguinte política:

    { 
      "Id": "ExamplePolicy", 
      "Version": "2012-10-17", 
      "Statement": [ 
        { 
          "Sid": "AllowSSLRequestsOnly", 
          "Action": "s3:*", 
          "Effect": "Deny", 
          "Resource": [ 
            "<S3_Bucket ARN>", 
            "<S3_Bucket ARN>/*" 
          ], 
          "Condition": { 
            "Bool": { 
              "aws:SecureTransport": "false" 
            } 
          }, 
          "Principal": "*" 
        } 
      ] 
    } 
    

    Nota

    Ao executar o CloudFormation StackSets ao integrar uma conta de gerenciamento da AWS, você pode encontrar a seguinte mensagem de erro: You must enable organizations access to operate a service managed stack set

    Esse erro indica que você não habilitou o acesso confiável para o AWS Organizations.

    Para corrigir essa mensagem de erro, sua página CloudFormation StackSets tem um prompt com um botão que você pode selecionar para habilitar o acesso confiável. Depois que o acesso confiável estiver habilitado, o CloudFormation Stack deve ser executado novamente.

Monitore seus recursos da AWS

A página de recomendações de segurança no Defender for Cloud exibe seus recursos da AWS. Você pode usar o filtro de ambientes para desfrutar de recursos multicloud no Defender for Cloud.

Para visualizar todas as recomendações ativas para seus recursos por tipo de recurso, use a página de inventário de ativos no Defender for Cloud e filtre para o tipo de recurso da AWS em que você está interessado.

Captura de tela das opções da AWS no filtro de tipo de recurso da página de inventário de ativos.

Integração com o Microsoft Defender XDR

Quando você ativa o Defender for Cloud, seus alertas de segurança são integrados automaticamente ao Portal do Microsoft Defender. Não são necessárias mais medidas.

A integração entre o Microsoft Defender for Cloud e o Microsoft Defender XDR traz seus ambientes de nuvem para o Microsoft Defender XDR. Com os alertas e correlações de nuvem do Defender for Cloud integrados ao Microsoft Defender XDR, as equipes SOC agora podem acessar todas as informações de segurança a partir de uma única interface.

Saiba mais sobre os alertas do Defender for Cloud no Microsoft Defender XDR.

Mais informações

Confira os seguintes blogs:

Clean up resources (Limpar recursos)

Não há necessidade de limpar quaisquer recursos para este artigo.

Próximos passos

Conectar sua conta da AWS faz parte da experiência multicloud disponível no Microsoft Defender for Cloud: