Partilhar via

Arquitetura de autenticação para conectores AWS

Quando liga uma conta AWS ao Microsoft Defender for Cloud, o serviço utiliza autenticação federada para chamar as APIs AWS de forma segura sem armazenar credenciais duradouras. O acesso temporário é concedido através do AWS Security Token Service (STS), utilizando credenciais de curta duração trocadas através de uma relação de confiança entre cloud.

Este artigo explica como essa confiança é estabelecida e como credenciais de curta duração são usadas para aceder de forma segura aos recursos AWS.

Recursos de autenticação criados na AWS

Durante a integração, o modelo CloudFormation cria os componentes de autenticação que o Defender for Cloud necessita para estabelecer confiança entre o Microsoft Entra ID e a AWS. Estes incluem:

  • Um fornecedor de identidade OpenID Connect vinculado a uma aplicação Microsoft Entra gerida pela Microsoft

  • Um ou mais papéis IAM que o Defender for Cloud pode assumir através da federação de identidades web

Dependendo do plano Defender que habilitar, recursos AWS adicionais podem ser criados como parte do processo de integração.

Modelo de fornecedor de identidade

O Defender for Cloud autentica-se na AWS usando federação OIDC com uma aplicação Microsoft Entra gerida pela Microsoft. Como serviço SaaS, opera de forma independente dos fornecedores de identidade geridos pelo cliente e não utiliza identidades do tenant Entra do cliente para solicitar credenciais AWS federadas.

Os recursos de autenticação criados durante a integração estabelecem a relação de confiança necessária para que o Defender for Cloud obtenha credenciais AWS de curta duração através da federação de identidades web.

Fluxo de autenticação entre nuvens

O diagrama seguinte mostra como o Defender for Cloud se autentica na AWS, trocando tokens Microsoft Entra por credenciais AWS de curta duração.

Diagrama mostrando o Microsoft Defender for Cloud a obter um token do Microsoft Entra ID, que a AWS valida e troca por credenciais de segurança temporárias.

Relações de confiança de funções

O papel IAM definido pelo modelo CloudFormation inclui uma política de confiança que permite ao Defender for Cloud assumir o papel através da federação de identidades web. A AWS só aceita tokens que satisfaçam esta política de confiança, que impede que entidades não autorizadas assumam o mesmo papel.

As permissões concedidas ao Defender for Cloud são controladas separadamente pelas políticas IAM associadas a cada função. Estas políticas podem ser ajustadas para cumprir os requisitos de privilégio mínimo da sua organização, desde que estejam incluídas as permissões mínimas exigidas para os planos Defender selecionados.

Captura de ecrã da entrada do fornecedor de identidade AWS CloudFormation criada durante a integração.

Condições de validação de tokens

Antes de a AWS emitir credenciais temporárias, realiza várias verificações:

  • A validação de audiência assegura que a aplicação esperada está a pedir acesso.

  • A validação da assinatura do token verifica que o ID Microsoft Entra assinou o token.

  • A validação da impressão digital do certificado confirma que o signatário corresponde ao fornecedor de identidade de confiança.

  • As condições ao nível do papel restringem quais as identidades federadas que podem assumir o papel e impedem que outras identidades da Microsoft utilizem o mesmo papel.

A AWS concede acesso apenas quando todas as regras de validação têm sucesso.

  • Last updated on