Bu kılavuzda, Microsoft güvenlik çözümlerinin Amazon Web Services (AWS) hesabı erişiminin ve ortamlarının güvenliğini sağlamaya ve korumaya nasıl yardımcı olabileceği açıklanmaktadır.
Bu diyagramda AWS yüklemelerinin önemli Microsoft güvenlik bileşenlerinden nasıl yararlanabileceği özetlenmiştir:
Bu diyagramın PowerPoint dosyasını indirin.
Microsoft Entra
Merkezi kimlik ve erişim yönetimi
Microsoft Entra ID, AWS hesaplarının ve ortamlarının güvenliğini sağlamaya ve korumaya yardımcı olabilecek kapsamlı, bulut tabanlı bir merkezi kimlik ve erişim yönetimi çözümüdür.
Microsoft Entra ID, AWS de dahil olmak üzere yaygın web kimlik doğrulaması standartlarına uygun hemen her uygulama veya platform için güçlü SSO kimlik doğrulaması sağlar. Kritik iş yüklerini ve son derece hassas bilgileri destekleyen AWS hesaplarının güçlü kimlik koruması ve erişim denetimine ihtiyacı vardır. AWS kimlik yönetimi, Microsoft Entra Id ile birleştirdiğinizde geliştirilmiştir.
Microsoft 365 veya hibrit bulut kimliği ve erişim koruması için Microsoft Entra Id kullanan AWS kuruluşları, aws hesapları için Microsoft Entra Id'yi genellikle ek maliyetler olmadan hızlı ve kolay bir şekilde dağıtabilir. Microsoft Entra ID, AWS ile doğrudan tümleştirme için çeşitli özellikler sağlar:
Eski, geleneksel ve modern kimlik doğrulama çözümleri arasında gelişmiş güvenlik, gelişmiş kullanıcı deneyimi, merkezi erişim denetimi ve SSO için AWS IAM Kimlik Merkezi ile tümleştirme.
Microsoft Intelligent Security Association iş ortaklarının çeşitli üçüncü taraf çözümleriyle tümleştirme de dahil olmak üzere Microsoft Entra çok faktörlü kimlik doğrulaması.
Güçlü kimlik doğrulaması ve sıkı idare için güçlü Koşullu Erişim özellikleri. Microsoft Entra ID, AWS Yönetim Konsolu ve AWS kaynaklarına kullanıcı erişimini doğrulamak ve yetkilendirmek için Koşullu Erişim ilkelerini ve risk tabanlı değerlendirmeleri kullanır.
Gerçek zamanlı algılama ve riskli oturum açma işlemleri ile olağan dışı kullanıcı davranışlarını düzeltme yoluyla kimlik tabanlı saldırılara karşı geliştirilmiş koruma.
Belirli kaynakların tam zamanında sağlanmasını etkinleştirmek için Privileged Identity Management (PIM). AWS rollerine erişim için oluşturduğunuz gruplar gibi özel gruplara erişimi denetleyerek PIM'i herhangi bir temsilci iznine genişletebilirsiniz.
Daha fazla bilgi ve ayrıntılı yönergeler için bkz . AWS için Microsoft Entra kimlik ve erişim yönetimi.
Microsoft Entra İzin Yönetimi
İzin Yönetimi, Azure, AWS ve Google Cloud Platform'daki çoklu bulut altyapısında kimlikler, eylemler ve kaynaklar üzerinde kapsamlı görünürlük ve denetim sağlayan bir bulut altyapısı yetkilendirme yönetimi çözümüdür. İzin Yönetimi'ni kullanarak:
Kimliklerin, izinlerin ve kaynakların çok boyutlu bir görünümü aracılığıyla riskleri belirlemek için tüm AWS hesaplarında kullanılmayan veya aşırı izinlerin sayısını keşfedin.
Tüm AWS hesaplarında en az ayrıcalık ilkesini uygulayarak izinleri düzeltin ve doğru boyutlandırın.
İzinlerin kötüye kullanılması ve kötü amaçlı kötüye kullanılmasından kaynaklanan veri ihlallerini önlemeye yardımcı olmak için anormal etkinlikleri izleyin ve uyarın.
Daha fazla bilgi ve ayrıntılı ekleme yönergeleri için bkz . Amazon Web Services (AWS) hesabını ekleme.
Microsoft Defender for Cloud Apps
Birkaç kullanıcı veya rol yönetim değişiklikleri yaparken, yapılandırma hedeflenen güvenlik mimarisinden ve standartlardan uzaklaşabilir. Güvenlik standartları da zaman içinde değişebilir. Güvenlik personeli yeni riskleri sürekli ve tutarlı bir şekilde algılamalı, risk azaltma seçeneklerini değerlendirmeli ve olası ihlalleri önlemeye yardımcı olmak için güvenlik mimarisini güncelleştirmelidir. Birden çok genel bulut ve özel altyapı ortamı arasında güvenlik yönetimi zahmetli hale gelebilir.
Bulut için Defender Uygulamaları, hizmet olarak yazılım (SaaS) uygulamaları için gelişmiş koruma sağlar. Bulut uygulama verilerinizi izlemenize ve korumanıza yardımcı olmak için aşağıdaki özellikleri sağlar:
Gölge BT bulma, bulut uygulaması kullanımına görünürlük, bulutun herhangi bir yerinden uygulama tabanlı tehditlere karşı gelişmiş koruma ve bilgi koruması ve uyumluluk değerlendirmeleri dahil olmak üzere temel Bulut Erişimi Güvenlik Aracısı işlevselliği.
Güvenlik ekiplerinin kuruluşun güvenlik duruşunu geliştirmesini sağlayan SaaS Güvenlik Duruş Yönetimi özellikleri .
Gelişmiş tehdit koruması, gelişmiş saldırıların tam siber saldırı zincirinde sinyal ve görünürlük için güçlü bağıntı sağlayan Microsoft genişletilmiş algılama ve yanıt çözümünün bir parçası olarak.
Uygulamadan uygulamaya koruma, temel tehdit senaryolarını kritik veriler ve kaynaklar üzerinde izinleri ve ayrıcalıkları olan OAuth özellikli uygulamalara genişletir.
AWS'yi Bulut için Defender Uygulamalarına bağlamak, yönetim ve oturum açma etkinliklerini izleyerek varlıklarınızın güvenliğini sağlamanıza ve olası tehditleri algılamanıza yardımcı olur. Olası deneme yanılma saldırıları, ayrıcalıklı kullanıcı hesaplarının kötü amaçlı kullanımı, VM'lerin olağan dışı silme işlemleri ve genel kullanıma sunulan depolama demetleri hakkında bildirimler alırsınız. Bulut için Defender Uygulamaları AWS ortamlarını bulut kaynaklarının kötüye kullanımına, güvenliği aşılmış hesaplara ve şirket içi tehditlere, veri sızıntısına ve kaynak yanlış yapılandırmasına ve yetersiz erişim denetimine karşı korumaya yardımcı olur. Aşağıdaki Bulut için Defender Uygulamaları özellikleri özellikle AWS ortamlarıyla çalışırken kullanışlıdır.
Bulut tehditlerini, güvenliği aşılmış hesapları, kötü amaçlı insider'ları ve fidye yazılımlarını algılama. Bulut için Defender Uygulamalar anomali algılama ilkeleri, AWS'de kullanıcılar tarafından gerçekleştirilen olağan dışı etkinlikler olduğunda tetiklenir. Bulut için Defender Uygulamaları, kullanıcılarınızın etkinliklerini sürekli izler ve kullanıcılarınızın tipik davranışlarını öğrenmek ve anlamak ve herhangi bir sapmada uyarı tetiklemek için UEBA ve makine öğrenmesini kullanır.
Paylaşılan verilerin açığa çıkarma durumunu sınırlayın ve işbirliği ilkelerini zorunlu kılın. Kullanıcıları uyarılar hakkında bilgilendirme, yeniden kimlik doğrulaması gerektirme veya kullanıcıları askıya alma, S3 demetlerini özel hale getirme veya S3 demetinden ortak çalışanları kaldırma gibi eylemler aracılığıyla idare denetimlerini otomatikleştirin.
Denetim etkinlikleri. Kullanıcı, yönetici ve oturum açma etkinlikleriyle ilgili görünürlük elde etmek için AWS denetimini Bulut için Defender uygulamalara bağlayın.
AWS için gelişmiş gerçek zamanlı koruma elde edin. Hassas AWS verilerinin riskli kullanıcılar tarafından indirilmelerini engellemek ve korumaya yardımcı olmak için Bulut için Defender Uygulamalar Koşullu Erişim uygulama denetimini kullanın.
AWS ortamlarını Bulut için Defender Uygulamalarına bağlama hakkında daha fazla bilgi için bkz. Amazon Web Services ortamınızı koruma.
Bulut için Microsoft Defender
Bulut için Defender, bulut tabanlı uygulamaları çeşitli siber tehditlere ve güvenlik açıklarına karşı korumak için tasarlanmış güvenlik önlemleri ve uygulamalarından oluşan bir Buluta Özel Uygulama Koruma Platformudur. Bulut için Defender aşağıdaki özellikleri sağlar:
Çoklu bulut ve birden çok işlem hattı ortamlarında güvenlik yönetimini kod düzeyinde bir hale getiren bir geliştirme güvenlik operasyonları çözümü
İhlalleri önlemeye yardımcı olmak için gerçekleştirebileceğiniz eylemleri ortaya çıkaran bir bulut güvenliği duruş yönetimi (CSPM) çözümü
Sunucular, kapsayıcılar, depolama, veritabanları ve diğer iş yükleri için koruma sağlayan bir bulut iş yükü koruma platformu (CWPP)
Bulut için Defender yerel AWS desteği çeşitli avantajlar sağlar:
AWS kaynakları için temel CSPM
AWS kaynakları için Defender CSPM
Amazon EKS kümeleri için CWPP desteği
AWS EC2 örnekleri için CWPP desteği
AWS EC2 üzerinde çalışan SQL sunucuları için CWPP desteği ve SQL Server için RDS Özel
Temel CPSM ve Defender CSPM tamamen aracısızdır. Temel CSPM, AWS kaynaklarınızı en iyi şekilde sağlamlaştırmaya ve yanlış yapılandırmaları düzeltmeye yönelik öneriler sağlar. Bulut için Defender, temel çoklu bulut CSPM özelliklerini ücretsiz olarak sunar.
Defender CSPM, saldırı yolu analizi, bulut güvenlik gezgini, gelişmiş tehdit avcılığı ve güvenlik idaresi özellikleri gibi gelişmiş duruş yönetimi özellikleri sağlar. Ayrıca, güvenlik uyumluluğunuzu çeşitli kıyaslamalarla, mevzuat standartlarıyla ve kuruluşunuzda, sektörünüzde veya bölgenizde gerekli olan özel güvenlik ilkeleriyle değerlendirmek için araçlar sağlar.
AWS EC2 örnekleri için CWPP desteği mevcut ve yeni makinelerde önkoşulların otomatik olarak sağlanması, güvenlik açığı değerlendirmesi, Uç Nokta için Microsoft Defender için tümleşik lisans, dosya bütünlüğü izleme ve daha fazlası gibi özellikler sağlar.
Amazon EKS kümeleri için CWPP desteği korumasız kümeleri bulma, denetim düzlemi ve iş yükü düzeyi için gelişmiş tehdit algılama, Kubernetes veri düzlemi önerileri (Azure İlkesi uzantısı aracılığıyla) ve daha fazlası gibi özellikler sağlar.
AWS EC2 ve SQL Server için AWS RDS Custom üzerinde çalışan SQL sunucuları için CWPP desteği gelişmiş tehdit koruması, güvenlik açığı değerlendirme taraması ve daha fazlası gibi özellikler sağlar.
Güvenlik standartları, AWS'deki kaynakları ve iş yüklerini İnternet Güvenliği Merkezi (CIS) ve Ödeme Kartı Sektörü (PCI) standartları gibi mevzuat uyumluluğu standartlarına ve AWS Temel Güvenlik En İyi Yöntemleri standardına göre değerlendirmek için destek sağlar.
AWS'de iş yüklerini koruma hakkında daha fazla bilgi için bkz. AWS hesabınızı bağlama ve Bulut için Microsoft Defender mevzuat uyumluluğu standartları atama.
Microsoft Sentinel
Microsoft Sentinel, SIEM ve güvenlik düzenlemesi, otomasyonu ve yanıtı için akıllı ve kapsamlı bir çözüm sağlayan ölçeklenebilir bir bulutta yerel güvenlik bilgileri ve olay yönetimi (SIEM) sistemidir. Microsoft Sentinel siber tehdit algılama, araştırma, yanıt ve proaktif avcılık sağlar. Kuruluşunuz genelinde kuş bakışı bir görünüm sağlar.
AWS bağlayıcılarını kullanarak AWS hizmet günlüklerini Microsoft Sentinel'e çekebilirsiniz. Bu bağlayıcılar, Microsoft Sentinel'e AWS kaynak günlüklerinize erişim vererek çalışır. Bağlayıcıyı ayarlamak AWS ile Microsoft Sentinel arasında bir güven ilişkisi oluşturur. Bu ilişkiyi AWS'de oluşturmak için Microsoft Sentinel'e AWS günlüklerinize erişme izni veren bir rol oluşturursunuz.
Bağlayıcı, S3 demetinden çekerek aşağıdaki AWS hizmetlerinden günlük alabilir:
| Hizmet | Data source |
|---|---|
| Amazon Virtual Private Cloud (VPC) | VPC Akış Günlükleri |
| Amazon GuardDuty | GuardDuty bulguları |
| AWS CloudTrail | Yönetim ve veri olayları |
| AWS CloudWatch | CloudWatch Günlükleri |
Microsoft Sentinel'de AWS bağlayıcısını yükleme ve yapılandırma hakkında daha fazla bilgi için bkz . AWS hizmet günlüğü verilerini almak için Microsoft Sentinel'i Amazon Web Services'e bağlama.
Öneriler
AWS hesaplarını korumak için Microsoft güvenlik çözümlerini ve temel AWS güvenlik önerilerini kullanın.
Temel AWS hesabı güvenliği
AWS hesapları ve kaynakları için temel güvenlik hijyeni hakkında bilgi için AWS hesaplarının ve kaynaklarının güvenliğini sağlamaya yönelik en iyi yöntemler makalesinde AWS güvenlik kılavuzunu gözden geçirin.
AWS Yönetim Konsolu aracılığıyla tüm veri aktarımlarını etkin bir şekilde inceleyerek kötü amaçlı yazılımları ve diğer kötü amaçlı içerikleri karşıya yükleme ve indirme riskini azaltın. Doğrudan AWS platformundaki web sunucuları veya veritabanları gibi kaynaklara yüklediğiniz veya indirdiğiniz içerik ek koruma gerektirebilir.
Anahtarları düzenli aralıklarla döndürerek erişim anahtarları için güvenlik sağlayın. Bunları koda eklemekten kaçının. Mümkün olduğunca uzun süreli erişim anahtarları yerine IAM rollerini kullanın.
Kaynaklarınıza gelen ve giden trafiği denetlemek için güvenlik gruplarını ve ağ ACL'lerini kullanın. Kaynakları yalıtmak için VPC'yi uygulayın.
AWS Anahtar Yönetim Merkezi kullanarak bekleyen ve aktarımdaki hassas verileri şifreleyin.
Yöneticilerin ve geliştiricilerin AWS Yönetim Konsolu'na erişmek için kullandığı cihazları koruyun.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunan tarafından yazılmıştır.
Asıl yazar:
- Lavanya Murthy | Ana Bulut Çözümü Mimarı
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
- AWS yönetim ve oturum açma etkinliklerini izleme ve koruma
- AWS'de iş yüklerini koruma
- AWS hizmet günlüğü verilerini almak için Microsoft Sentinel'i Amazon Web Services'e bağlama