Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Defender para Nuvem ajuda a proteger cargas de trabalho em execução no Amazon Web Services (AWS). Para avaliar os recursos da AWS e as recomendações de segurança de superfície, você deve conectar sua conta do AWS ao Defender para Nuvem. O conector coleta sinais de configuração e segurança dos serviços do AWS, permitindo que o Defender para Nuvem analise a postura, gere recomendações e alertas de superfície.
Você pode saber mais assistindo ao vídeo Novo conector AWS no Defender para Nuvem da série de vídeos Defender para Nuvem no Campo.
Importante
Se sua conta do AWS já estiver conectada ao Microsoft Sentinel, conectá-la ao Defender para Nuvem poderá exigir configuração adicional para evitar problemas de implantação ou ingestão. Siga as diretrizes em Conectar uma conta AWS conectada do Sentinel ao Defender para Nuvem.
Arquitetura de autenticação
Quando você conecta uma conta do AWS, o Microsoft Defender para Nuvem autentica-se no AWS usando credenciais federadas de confiança e de curta duração, sem armazenar segredos de longa duração.
Saiba mais sobre como a autenticação é estabelecida entre a ID do Microsoft Entra e a AWS, incluindo as funções de IAM e as relações de confiança criadas durante a integração.
Pré-requisitos
Antes de conectar sua conta do AWS, verifique se você tem:
Uma assinatura do Microsoft Azure. Se você não tiver uma, inscreva-se em uma assinatura gratuita.
Microsoft Defender para Nuvem habilitado nessa assinatura.
Acesso a uma conta AWS.
Permissão para criar recursos no Azure (Colaborador ou acima).
Requisitos adicionais se aplicam ao habilitar planos específicos do Defender. Examine os requisitos do plano do conector nativo.
Observação
O conector do AWS não está disponível nas nuvens do governo nacional (Azure Government, Microsoft Azure operado pela 21Vianet).
Requisitos do plano do conector nativo
Cada plano do Defender tem requisitos de instalação específicos.
- Defender para contêineres
- Defender para SQL
- Defender para bancos de dados de software livre (versão prévia)
- Defender para Servidores
- Defender CSPM
- Pelo menos um cluster do Amazon EKS com acesso ao servidor de API do Kubernetes. Se você não tiver um, crie um cluster EKS.
- Capacidade de criar uma fila do Amazon SQS, um fluxo de entrega do Kinesis Data Firehose e um bucket do Amazon S3 na mesma região do cluster.
Conecte sua conta AWS
Entre no portal do Azure.
Vá para Defender para Nuvem>Configurações do ambiente.
Selecione Adicionar ambiente>Amazon Web Services.
Insira os detalhes da conta do AWS, incluindo a região do Azure em que o recurso do conector será criado.
Use a lista suspensa de regiões do AWS para selecionar as regiões que o Defender para Nuvem monitora. As regiões desmarcadas não receberão chamadas de API do Defender para Nuvem.
Selecione um intervalo de verificação (4, 6, 12 ou 24 horas).
Essa seleção define o intervalo padrão para a maioria das verificações de postura. Alguns coletores de dados com intervalos fixos são executados com mais frequência, independentemente dessa configuração:
Intervalo de verificação Coletores de dados 1 hora EC2Instance, ECRImage, ECRRepository, RDSDBInstance, S3Bucket, S3BucketTags, S3Region, EKSCluster, EKSClusterName, EKSNodegroup, EKSNodegroupName, AutoScalingAutoScalingGroup 12 horas EcsClusterArn, EcsService, EcsServiceArn, EcsTaskDefinition, EcsTaskDefinitionArn, EcsTaskDefinitionTags, AwsPolicyVersion, LocalPolicyVersion, AwsEntitiesForPolicy, LocalEntitiesForPolicy, BucketEncryption, BucketPolicy, S3PublicAccessBlockConfiguration, BucketVersioning, S3LifecycleConfiguration, BucketPolicyStatus, S3ReplicationConfiguration, S3AccessControlList, S3BucketLoggingConfig, PublicAccessBlockConfiguration Selecione Avançar: selecione planos e escolha os planos do Defender que você deseja habilitar.
Examine as seleções de plano padrão, pois alguns planos podem ser habilitados automaticamente dependendo da configuração. Por exemplo, o plano Bancos de Dados estende a cobertura do Defender para SQL para AWS EC2, RDS Custom para SQL Server e bancos de dados relacionais de software livre no RDS.
Cada plano pode incorrer em encargos. Saiba mais sobre os preços do Defender para Nuvem.
Importante
Para apresentar recomendações atualizadas, o Defender CSPM consulta várias vezes por dia as APIs de recursos da AWS. Essas chamadas à API somente leitura não incorrem em cobranças da AWS. No entanto, o CloudTrail poderá registrá-los se você habilitar o registro em log de eventos de leitura. Exportar esses dados para sistemas SIEM externos pode aumentar os custos de ingestão. Se necessário, filtre as chamadas somente leitura de:
arn:aws:iam::<accountId>:role/CspmMonitorAwsSelecione Configurar acesso e escolha:
- Acesso padrão: concede permissões necessárias para recursos atuais e futuros.
- Acesso de privilégio mínimo: concede apenas as permissões necessárias hoje. Você poderá receber notificações se for necessário acesso adicional posteriormente.
Selecione um método de implantação:
- AWS CloudFormation
- Terraform.
Observação
Ao integrar uma conta de gerenciamento, o Defender para Nuvem usa o AWS StackSets e cria automaticamente conectores para contas filho. O provisionamento automático está habilitado para contas recém-descobertas.
Observação
Se você selecionar a conta de Gerenciamento para criar um conector para uma conta de gerenciamento, a guia para integração com o Terraform não ficará visível na interface do usuário. Ainda há suporte para integração do Terraform. Para obter diretrizes, consulte Integrando seu ambiente AWS/GCP ao Microsoft Defender para Nuvem com o Terraform.
Siga as instruções na tela para implantar o modelo CloudFormation. Se você selecionar o Terraform, siga as instruções de implantação equivalentes fornecidas no portal.
Selecione Avançar: Examinar e gerar.
Selecione Criar.
O Defender para Nuvem começa a verificar os recursos da AWS. As recomendações de segurança aparecem em poucas horas.
Validar a integridade do conector
Para confirmar se o conector do AWS está operando corretamente:
Entre no portal do Azure.
Vá para Defender para Nuvem>Configurações do ambiente.
Localize a conta do AWS e examine a coluna de status de conectividade para ver se a conexão está íntegra ou tem problemas.
Selecione o valor mostrado na coluna de status conectividade para exibir mais detalhes.
A página de detalhes do Ambiente lista quaisquer problemas de configuração ou permissão detectados que afetam a conexão com a conta do AWS.
Se houver um problema, você poderá selecioná-lo para exibir uma descrição do problema e as etapas de correção recomendadas. Em alguns casos, um script de correção é fornecido para ajudar a resolver o problema.
Saiba mais sobre como solucionar problemas de conectores multinuvem.
Implante um modelo do CloudFormation na sua conta da AWS
Como parte da integração, implante o modelo de CloudFormation gerado:
- Como Stack (conta única)
- Como um StackSet (conta de gerenciamento)
Opções de implantação de modelo
URL do Amazon S3: carregue o modelo de CloudFormation baixado em seu próprio bucket S3 com suas próprias configurações de segurança. Forneça a URL S3 no assistente de implantação do AWS.
Carregar um arquivo de modelo: o AWS cria automaticamente um bucket S3 para armazenar o modelo. Essa configuração pode acionar a
S3 buckets should require requests to use Secure Socket Layerrecomendação. Você pode corrigir isso aplicando a seguinte política de bucket:
{
"Id": "ExamplePolicy",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSSLRequestsOnly",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"<S3_Bucket_ARN>",
"<S3_Bucket_ARN>/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
},
"Principal": "*"
}
]
}
Observação
Ao executar o CloudFormation StackSets ao integrar uma conta de gerenciamento da AWS, você pode encontrar a seguinte mensagem de erro: You must enable organizations access to operate a service managed stack set
Esse erro indica que você não habilitou o acesso confiável para organizações AWS.
Para corrigir essa mensagem de erro, sua página CloudFormation StackSets tem um prompt com um botão que você pode selecionar para habilitar o acesso confiável. Depois que o acesso confiável for habilitado, o CloudFormation Stack deverá ser executado novamente.
Habilitar a ingestão de log do CloudTrail do AWS (versão prévia)
A ingestão de eventos de gerenciamento do AWS CloudTrail pode aprimorar os insights de identidade e configuração adicionando contexto às avaliações CIEM, aos indicadores de risco baseados em atividade e à detecção de alterações de configuração.
Saiba mais sobre como integrar logs do AWS CloudTrail ao Microsoft Defender para Nuvem (versão prévia).
Saiba mais
Confira os seguintes blogs:
- Ignite 2021: Notícias do Microsoft Defender para Nuvem
- Gerenciamento de postura de segurança e proteção do servidor para AWS e GCP
Próximas etapas
- Atribuir acesso aos proprietários da carga de trabalho.
- Proteja todos os seus recursos com o Defender para Nuvem.
- Configure seus computadores locais e projetos GCP.
- Obtenha respostas para perguntas comuns sobre como integrar sua conta do AWS.
- Solucionar problemas com seus conectores multinuvem.