Confianza cero en AWS

Mejore su modelo de seguridad con un enfoque de confianza cero

¿Qué es Confianza cero?

Confianza cero es un modelo de seguridad centrado en la idea de que el acceso a los datos no debe realizarse únicamente en función de la ubicación de la red. Requiere que los usuarios y los sistemas demuestren fehacientemente su identidad y fiabilidad. Aplica reglas de autorización detalladas basadas en la identidad antes de permitirles acceder a las aplicaciones, los datos y otros sistemas. Con Confianza cero, estas identidades suelen operar dentro de redes altamente flexibles con reconocimiento de identidad que reducen aún más el área de superficie, eliminan las vías innecesarias de acceso a los datos y proporcionan barreras de protección externas sencillas. 

La transición a un modelo de seguridad Confianza cero comienza con la evaluación de su cartera de cargas de trabajo y la determinación de dónde la flexibilidad y la seguridad mejoradas de Confianza cero proporcionarían los mayores beneficios. Luego, tiene que aplicar los conceptos de Confianza cero (redefinición de la identidad, la autenticación y otros indicadores de contexto, como el estado del dispositivo) para realizar mejoras de seguridad reales y significativas con respecto al status quo. Para ayudar en esta transición, varios servicios de identidad y redes de AWS ofrecen componentes básicos de confianza cero, como características estándar que se pueden aplicar tanto a las cargas de trabajo nuevas como a las existentes. 

Confianza cero en AWS: Steve Schmidt, VP de Security Engineering y CISO, AWS (11:12)

Día 1 y las esferas de Amazon

Libro electrónico: Zero Trust: Charting a Path to Stronger Security

A medida que las organizaciones y los riesgos cibernéticos evolucionan, los modelos de seguridad deben mantenerse al día. Obtenga más información sobre Confianza cero y cómo puede utilizar este enfoque para crear una estrategia de seguridad de varios niveles que se adapte al entorno moderno.

Descargue el libro electrónico »

Video: Journeys to Zero Trust on AWS (41:27)

Vea esta sesión de liderazgo de re:Inforce 2023 con Jess Szmajda, General Manager, AWS Network Firewall y Firewall Manager, y Quint Van Deman, Principal, oficina del CISO, para aprender cómo los clientes pueden utilizar las capacidades más recientes de AWS para implementar un modelo de seguridad Confianza cero.

Vea el video »

Blog: Zero Trust architectures: An AWS Perspective

Blog: Zero Trust architectures: An AWS Perspective

Lea acerca de los principios rectores de AWS para el enfoque Confianza cero, explore los casos de uso comunes y descubra cómo los servicios de AWS pueden ser de ayuda para crear su arquitectura de Confianza cero hoy mismo.

Lea el blog »

Video: Achieving Zero Trust with AWS application networking (58:55)

Vea este video para obtener información sobre los servicios de redes de aplicaciones de AWS, que le permiten configurar un modelo de seguridad que establece la confianza mediante la autenticación y la supervisión continuas del acceso.

Vea el video »

Principios rectores para desarrollar Confianza cero en AWS

Siempre que sea posible, utilice las capacidades de identidad y red juntas

Los controles de identidad y red de AWS a menudo pueden complementarse y potenciarse mutuamente para que así pueda cumplir sus objetivos de seguridad específicos. Los controles centrados en la identidad ofrecen controles de acceso muy sólidos, flexibles y detallados. Los controles centrados en la red le permiten establecer fácilmente perímetros bien definidos dentro de los cuales pueden operar los controles centrados en la identidad. Idealmente, estos controles deberían ser consciente de la existencia de otros controles y complementarse entre sí.

Use los casos de uso específicos como punto de partida

Hay varios casos de uso comunes, como la movilidad de la fuerza laboral, las comunicaciones de software a software y los proyectos de transformación digital, que pueden beneficiarse de la seguridad mejorada que ofrece el enfoque Confianza cero. Es importante usar cada uno de los casos de uso específicos que se aplican a su organización como punto de partida para determinar los patrones, las herramientas y los enfoques óptimos del enfoque Confianza cero que logren avances en seguridad significativos.

Aplique Confianza cero a sus sistemas y datos de acuerdo con su valor

Debe pensar en los conceptos del enfoque Confianza cero como un complemento de los controles de seguridad existentes. Al aplicar los conceptos de Confianza cero de acuerdo con el valor organizacional del sistema y los datos que se protegen, puede garantizar que los beneficios para su empresa estén a la altura del esfuerzo realizado.

logotipo de avalon
Avalon Healthcare Solutions

Avalon Healthcare Solutions (Avalon), un proveedor de datos de laboratorio, quería ofrecer a sus usuarios un acceso seguro y cómodo a los informes empresariales y a los datos de salud a través de un navegador web, sin una VPN. Fundada en 2013, Avalon ha utilizado un marco de confianza cero en Amazon Web Services (AWS) para sus aplicaciones corporativas desde el principio.

“Uno de nuestros principales objetivos técnicos es optimizar la experiencia del usuario y, al mismo tiempo, mantener firmemente los principios de confianza cero”, afirma Eric Ellis, vicepresidente adjunto de Tecnología en la Nube Empresarial en Avalon Healthcare Solutions. “A medida que surgieron nuevos requisitos empresariales, nos hemos sentido obligados a colocar nuestras aplicaciones corporativas en la periferia de la red. Con el Acceso verificado de AWS, nuestros ingenieros técnicos y de seguridad pudieron proporcionar acceso basado en confianza cero a las aplicaciones corporativas en cuestión de minutos, sin utilizar VPN. El acceso verificado nos permitió abordar el desafío crucial de alinear la prestación de servicios esenciales con la mejora de la experiencia del usuario, todo ello sin comprometer nuestras estrictas políticas de confianza cero.” 

Obtenga más información sobre cómo Avalon Healthcare Solutions mejoró su seguridad con el Acceso verificado de AWS


logotipo de neo Financial enlazado al caso práctico
Neo Financial

Neo Financial, una empresa canadiense, está a la vanguardia de la tecnología y ofrece servicios de gran valor, como tarjetas de crédito sin comisiones anuales, devoluciones de efectivo ilimitadas y límites de crédito flexibles. Neo Financial quería avanzar hacia un modelo de seguridad que otorgara acceso a los recursos en función de las credenciales de los usuarios, en lugar de la conexión de red. 

Con Amazon WorkSpaces Secure Browser, Neo Financial avanza en su iniciativa de confianza cero al conceder a los usuarios acceso a los recursos en función de las credenciales específicas de los usuarios, en lugar de depender del acceso a la red. “Con Amazon WorkSpaces Secure Browser, tenemos menos servidores que gestionar y podemos usar el inicio de sesión único para gestionar la autenticación en toda nuestra empresa, lo que nos ayuda a alcanzar nuestros objetivos de confianza cero”, afirma Eric Zaporzan, director de Infraestructura en Neo Financial. “Todos estos factores ayudan a simplificar las auditorías de la Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) y otras medidas de conformidad.” 

Obtenga más información sobre cómo Neo Financial implementó el acceso basado en confianza cero con Amazon WorkSpaces Secure Browser


Principios de confianza cero en acción en AWS

Firma de solicitudes a la API de AWS

Todos los días, todos y cada uno de los clientes de AWS interactúan con confianza y seguridad con AWS. Realizan miles de millones de llamadas a las API de AWS a través de un conjunto diverso de redes públicas y privadas. Cada una de estas solicitudes a la API firmadas se autentica y autoriza de forma individual cada vez a un ritmo de mil millones de solicitudes por segundo en todo el mundo. El uso del cifrado de red mediante la seguridad de la capa de transporte (TLS), junto con las potentes capacidades criptográficas del proceso de firma de AWS Signature versión 4 que protegen estas solicitudes sin tener en cuenta la fiabilidad de la red subyacente.

Interacciones entre servicios de AWS

Cuando los servicios individuales de AWS necesitan llamarse entre sí, se basan en los mismos mecanismos de seguridad que el usuario utiliza como cliente. Por ejemplo, el servicio Amazon EC2 Auto Scaling utiliza un rol vinculado a un servicio en su cuenta para recibir credenciales a corto plazo y llamar a las API de Amazon Elastic Compute Cloud (Amazon EC2) en su nombre en respuesta a sus necesidades de escalamiento. AWS Identity and Access Management (IAM) autoriza estas llamadas, al igual que sus llamadas a los servicios de AWS. Los controles sólidos centrados en la identidad forman la base del modelo de seguridad entre los servicios de AWS.

Confianza cero para IoT

AWS IoT proporciona los componentes fundamentales de Confianza cero a un dominio tecnológico en el que anteriormente la mensajería de red no autenticada y sin cifrar a través de Internet abierta era la norma. Todo el tráfico entre sus dispositivos IoT conectados y los servicios de AWS IoT se envía a través de la seguridad de la capa de transporte (TLS) mediante una autenticación de dispositivos moderna, que incluye una TLS mutua basada en certificados. Además, AWS agregó compatibilidad con TLS a FreeRTOS, lo que incorporó los componentes fundamentales clave del enfoque Confianza cero a toda una clase de microcontroladores y sistemas integrados.

Lea el blog »

Casos de uso

Comunicaciones de software a software

Cuando dos componentes no necesitan comunicarse, no deberían poder hacerlo, incluso cuando residan en el mismo segmento de red. Para ello, puede autorizar flujos específicos entre los componentes. Al eliminar las vías de comunicación innecesarias, está aplicando los principios de privilegios mínimos para proteger mejor los datos críticos. Según la naturaleza de los sistemas, puede crear estas arquitecturas mediante una conectividad de servicio a servicio simplificada y automatizada con autenticación y autorización integradas mediante Amazon VPC Lattice, microperímetros dinámicos creados a partir de grupos de seguridad , firma de solicitudes a través de Amazon API Gateway y más. 

Movilidad segura de la fuerza laboral

La fuerza laboral moderna necesita acceder a sus aplicaciones empresariales desde cualquier lugar sin comprometer la seguridad. Puede lograrlo con Acceso verificado de AWS. Esto le permite proporcionar un acceso seguro a las aplicaciones corporativas sin necesidad de usar una VPN. Conecte fácilmente su proveedor de identidades (IdP) existente y el servicio de administración de dispositivos y utilice políticas de acceso para controlar estrictamente el acceso a las aplicaciones, al tiempo que ofrece una experiencia de usuario perfecta y mejora la postura de seguridad. También puede lograrlo con servicios como Amazon WorkSpaces Family o Amazon AppStream 2.0, que transmiten aplicaciones en forma de píxeles cifrados a usuarios remotos y, al mismo tiempo, mantienen los datos de forma segura en su VPC de Amazon y en cualquier red privada conectada.

Proyectos de transformación digital

Los proyectos de transformación digital suelen conectar sensores, controladores y procesamiento e información basados en la nube, y todos funcionan completamente fuera de la red empresarial tradicional. Para mantener protegida su infraestructura de IoT crítica, la familia de servicios de AWS IoT puede proporcionar seguridad de extremo a extremo en redes abiertas, con la autenticación y autorización de dispositivos ofrecidas como características estándar.

Más información acerca de AWS Identity

Administre el acceso a cargas de trabajo y aplicaciones de manera segura

Lea más 
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Comience a crear en la consola

Comience a crear en la consola de administración de AWS.

Iniciar sesión