Udostępnij przez

Architektura uwierzytelniania dla łączników platformy AWS

Po połączeniu konta platformy AWS z usługą Microsoft Defender for Cloud usługa używa uwierzytelniania federacyjnego do bezpiecznego wywoływania interfejsów API platformy AWS bez przechowywania poświadczeń długotrwałych. Dostęp tymczasowy jest udzielany za pośrednictwem usługi AWS Security Token Service (STS), przy użyciu krótkotrwałych poświadczeń, które są wymieniane w ramach relacji zaufania między chmurami.

W tym artykule wyjaśniono, jak ustanowić zaufanie i jak krótkoterminowe poświadczenia są używane do bezpiecznego uzyskiwania dostępu do zasobów platformy AWS.

Zasoby uwierzytelniania utworzone na platformie AWS

Podczas wdrażania szablon CloudFormation tworzy składniki uwierzytelniania wymagane przez usługę Defender for Cloud do ustanowienia zaufania między Microsoft Entra ID i AWS. Są to zazwyczaj następujące elementy:

  • Dostawca tożsamości OpenID Connect powiązany z aplikacją firmy Microsoft zarządzaną przez firmę Microsoft

  • Jedna lub więcej ról IAM, które Defender for Cloud może przejąć za pośrednictwem federacji tożsamości internetowej.

W zależności od włączonego planu usługi Defender dodatkowe zasoby AWS mogą być tworzone w ramach procesu onboardingu.

Model dostawcy tożsamości

Usługa Defender for Cloud uwierzytelnia się na platformie AWS za pomocą federacji OIDC z aplikacją Microsoft zarządzaną przez tę firmę. Jako usługa SaaS działa niezależnie od dostawców tożsamości zarządzanych przez klienta i nie używa tożsamości z dzierżawy Entra klienta do żądania federacyjnych poświadczeń platformy AWS.

Zasoby uwierzytelniania utworzone podczas dołączania ustanawiają relację zaufania wymaganą dla usługi Defender for Cloud w celu uzyskania krótkotrwałych poświadczeń platformy AWS za pośrednictwem federacji tożsamości internetowej.

Przepływ uwierzytelniania między chmurami

Na poniższym diagramie przedstawiono, w jaki sposób Defender for Cloud uwierzytelnia się na platformie AWS poprzez wymianę tokenów Microsoft Entra na krótkotrwałe poświadczenia platformy AWS.

Diagram przedstawiający usługę Microsoft Defender for Cloud uzyskującą token z Microsoft Entra ID, który platforma AWS weryfikuje i wymienia na tymczasowe poświadczenia zabezpieczeń.

Relacje zaufania roli

Rola IAM zdefiniowana przez szablon CloudFormation zawiera zasady zaufania, które umożliwiają usłudze Defender for Cloud przejęcie roli za pośrednictwem federacji tożsamości internetowej. Usługa AWS akceptuje tylko tokeny zgodne z tą polityką zaufania, które uniemożliwiają nieautoryzowane podmioty przyjęcie tej samej roli.

Uprawnienia przyznane usłudze Defender for Cloud są kontrolowane oddzielnie przez zasady IAM przypisane do każdej roli. Te zasady mogą być ograniczone do spełnienia wymagań dotyczących najniższych uprawnień organizacji, o ile zostaną uwzględnione minimalne uprawnienia wymagane dla wybranych planów usługi Defender.

Zrzut ekranu przedstawiający wpis dostawcy tożsamości usługi AWS CloudFormation utworzony podczas wdrażania.

Warunki weryfikacji tokenu

Zanim platforma AWS wystawia tymczasowe poświadczenia, wykonuje kilka kontroli:

  • Weryfikacja odbiorców gwarantuje, że oczekiwana aplikacja żąda dostępu.

  • Weryfikacja podpisu tokenu sprawdza, czy identyfikator Entra firmy Microsoft podpisał token.

  • Weryfikacja odcisku palca certyfikatu potwierdza, że podpisujący odpowiada zaufanemu dostawcy tożsamości.

  • Warunki na poziomie roli ograniczają, które tożsamości federacyjne mogą przyjąć rolę i uniemożliwić innym tożsamościom firmy Microsoft korzystanie z tej samej roli.

Platforma AWS udziela dostępu tylko wtedy, gdy wszystkie reguły walidacji kończą się powodzeniem.

  • Last updated on