Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive gli scenari per la migrazione dei servizi di sicurezza da Amazon Web Services (AWS) a Azure. I servizi di sicurezza fanno parte delle basi per il monitoraggio del carico di lavoro, il rilevamento delle minacce, l'identità, i segreti e la protezione di rete. Durante la migrazione, mantenere attiva la copertura della sicurezza in entrambi i cloud fino a quando non si convalida la progettazione Azure e si ritirano i controlli AWS in modo sicuro.
Questi scenari riguardano il monitoraggio della sicurezza e le operazioni SOC, il comportamento di sicurezza del cloud e la conformità, l'identità, i segreti e le chiavi, la sicurezza dei dati e la protezione della rete.
Confronto tra componenti
Per iniziare, confrontare i servizi di sicurezza e identità AWS usati dal carico di lavoro con i servizi di Azure più vicini. L'obiettivo è identificare quali servizi di Azure devono essere responsabili del monitoraggio, della gestione dell'assetto di sicurezza, delle identità, dei segreti, delle chiavi di crittografia e dell'ispezione del traffico in seguito alla migrazione.
Per i confronti tra identità e sicurezza, vedere Confrontare AWS e Azure soluzioni di gestione delle identità. Per gli ambienti AWS che richiedono ancora Microsoft copertura della sicurezza durante la transizione, vedere Microsoft soluzioni di sicurezza per AWS.
Annotazioni
Questo confronto non copre tutte le funzionalità del servizio. Convalidare il comportamento del servizio, i formati di dati, la conservazione, i controlli di accesso e i processi operativi prima di tagliare le operazioni di sicurezza di produzione.
Scenari di migrazione
Usare questa sezione come struttura di spostamento tra categorie. Selezionare prima la categoria di funzionalità di sicurezza e lo scenario di migrazione e quindi seguire il collegamento alle indicazioni dettagliate per Azure, Cloud Adoption Framework, Well-Architected Framework o Azure Centro architetture.
Eseguire l'inventario dei controlli di sicurezza di AWS correnti, quindi scegliere lo scenario corrispondente:
- Se si possiedono operazioni SOC, iniziare con Microsoft Sentinel e Microsoft Defender per il cloud.
- Se si è proprietari dell'architettura di sicurezza della piattaforma, iniziare con la gestione del comportamento e il confronto dei servizi.
- Se gestisci l'identità dei clienti per la tua applicazione, inizia con Microsoft Entra per ID esterno.
Questi servizi Azure coprono le funzionalità più adatte, non tutte le funzionalità AWS. Mantenere attiva la copertura della sicurezza in entrambi i cloud e convalidare il comportamento prima di tagliare e ritirare i controlli AWS. Esistono tre categorie distinte nella famiglia di prodotti Microsoft Entra: forza lavoro e identità della directory, identità del cliente e carico di lavoro o identità dell'applicazione, incluse le identità gestite. Microsoft Entra per ID esterno riguarda l'identità dei clienti per le app rivolte ai consumatori o alle aziende. Non sostituisce AWS IAM per l'accesso alle risorse cloud, che corrisponde all'identità del carico di lavoro. Usare il confronto tra identità collegate per scegliere il percorso di soluzione Azure appropriato per scenari di forza lavoro, applicazione e accesso alle risorse.
| Category | Sceneggiatura | Dove andare |
|---|---|---|
| Rilevamento delle minacce e SIEM/SOC | Eseguire la migrazione delle operazioni di monitoraggio della sicurezza, rilevamenti e SOC a un sistema SIEM nativo del cloud. | Microsoft Sentinel |
| Comportamento e conformità della sicurezza del cloud | Valutare il comportamento multicloud e soddisfare i requisiti di conformità alle normative. | Microsoft Defender per il cloud, gestione del comportamento |
| Vulnerabilità e protezione del carico di lavoro | Spostare la valutazione della vulnerabilità e la protezione del carico di lavoro per server e contenitori. | Microsoft Defender per server, Microsoft Defender per contenitori |
| Identità del cliente | Migrare la gestione delle identità e degli accessi dei clienti per app rivolte ai consumatori o alle aziende. | Microsoft Entra per ID esterno |
| Forza lavoro e identità di directory | Eseguire la migrazione da AWS dell'accesso degli utenti aziendali, della directory e della gestione degli accessi, e pianificare la governance delle identità e degli accessi privilegiati. | Compare AWS e soluzioni di gestione delle identità Azure |
| Carico di lavoro e identità delle risorse | Sostituire i ruoli IAM di AWS utilizzati per l'accesso dei carichi di lavoro e tra risorse. | Identità gestite per le risorse di Azure, Confrontare aws e Azure soluzioni di gestione delle identità |
| Autenticazione dell'applicazione e dell'API | Spostare l'autenticazione dell'applicazione e dell'API da Amazon Cognito all'Microsoft Identity Platform. | Confrontare aws e Azure soluzioni di gestione delle identità, eseguire la migrazione da Amazon Cognito a Microsoft Entra per ID esterno |
| Segreti e gestione delle chiavi | Sposta i segreti applicativi, le chiavi di crittografia e le chiavi protette da HSM. | Azure Key Vault, Azure Managed HSM |
| Sicurezza e classificazione dei dati | Individuare e classificare i dati sensibili tra cloud. | Microsoft Purview |
| Protezione delle applicazioni Web | Proteggere le applicazioni Web con un web application firewall. | Web application firewall di Azure su Frontdoor di Azure o gateway applicazione di Azure |
| Protezione e ispezione della rete | Esaminare e filtrare il traffico di rete. | Firewall di Azure |
Componenti del carico di lavoro correlati
I servizi di sicurezza costituiscono solo parte del carico di lavoro cloud. Esplorare altri componenti di cui è possibile eseguire la migrazione:
Per la migrazione degli scenari di sicurezza è necessario centralizzare l'identità. Confrontare i servizi di gestione delle identità AWS usati nel carico di lavoro con le controparti di Azure più vicine.