AWS 上的零信任
利用零信任方法提升您的安全模型
什麼是 AWS 上的零信任?
零信任是一種安全模型,注重資料存取不應僅基於網路位置的理念。它會要求使用者和系統有效證明其身分和可信度,並在允許他們存取應用程式,資料和其他系統之前,強制執行精細的身分型授權規則。透過零信任,這些身分通常會在高度彈性的身分感知網路中運作,而進一步縮小接觸面、消除資料的非必要途徑,並提供直接的外部安全防護機制。
要轉移至零信任安全模型,首先應評估您的工作負載組合,並確認零信任增強的靈活性和安全性將在哪些地方提供最大的好處。然後,您將應用零信任概念 (重新思考身分、驗證和其他情境指標,例如裝置狀態和運作狀態),以就現狀實現實質而有意義的安全性改進。為協助您完成這個旅程,許多 AWS 身分和聯網服務提供核心零信任建構區塊來做為標準功能,這可套用至新的工作負載和現有工作負載。
特色資源
影片 - AWS 上的零信任之旅 (41:27)
觀看總經理兼 AWS Network Firewall & Firewall Manager Jess Szmajda 和 CISO 辦公室主任 Quint Van Deman 共同與會的 re:Inforce 2023 領導會議,了解客戶如何使用 AWS 的最新功能實作零信任安全模型。
建置 AWS 上的零信任的指導原則
情況允許時,請將身分和網路功能搭配使用
AWS 中的身分和網路控制通常可以相互補強,以協助您實現特定的安全目標。以身分為中心的控制提供非常強大、靈活且精細的存取控制。以網路為中心的控制項可讓您輕鬆建立充分認知的周邊,讓以身分為中心的控制在其中運作。理想情況下,這些控制彼此應可相互識別及互補。
從您的特定使用案例回溯運作
有許多常見的使用案例 (例如員工行動性、軟體對軟體通訊和數位轉型專案) 都可獲益於零信任提供的增強安全性。從適用於組織的每個特定使用案例回溯運作,以確認可實現實質性安全強化的最佳零信任模式、工具和方法。
根據系統和資料的價值為其套用零信任
您應將零信任概念視為現有安全控制的附加元素。根據受保護的系統和資料的組織價值來套用「零信任」概念,確保您的業務效益與努力成正比。
特色客戶案例
Avalon Healthcare Solutions (Avalon) 是實驗室洞見提供商,希望讓使用者在沒有 VPN 的情況下,透過網頁瀏覽器安全且方便地存取業務報告和健康資料。Avalon 成立於 2013 年,從一開始就在 Amazon Web Services (AWS) 上將「零信任」框架用於其企業應用程式。
Avalon Healthcare Solutions 的 AVP 企業雲端技術部門的 Eric Ellis 表示:「我們的主要技術目標之一是優化使用者體驗,同時堅定地堅持零信任原則。」「隨著新業務需求的出現,我們感到必須讓我們的企業應用程式處於網路前沿。透過 AWS Verified Access,我們的安全與技術工程師能夠在幾分鐘內為企業應用程式提供基於零信任的存取,且無需使用 VPN。Verified Access 使我們能夠在不影響嚴格的零信任政策的情況下,解決既能確保關鍵服務交付又能提升用戶體驗的重要挑戰。
進一步了解 Avalon Healthcare Solutions 如何使用 AWS Verified Access 增強安全性
Neo Financial 是一家處於技術前沿的加拿大公司,可提供高價值的服務,例如無年費、無限制現金返還和靈活信用額度的信用卡。 Neo Financial 希望轉型到一種安全模型,該模型會根據使用者憑證而非網路連線來授與資源存取。
使用 Amazon WorkSpaces 安全瀏覽器,Neo Financial 正根據使用者特定的憑證授予使用者對資源的存取,而不是依賴於網路存取,從而推進其零信任計劃。 Neo Financial 基礎設施總監 Eric Zaporzan 表示:「使用 Amazon WorkSpaces 安全瀏覽器,我們可以管理的伺服器更少,並且可以使用單一登入來管理整個企業的身份驗證,幫助我們實現零信任目標。」「所有這些因素有助於簡化支付卡產業資料安全標準 (PCI DSS) 和其他合規措施的審核。」
AWS 中適用的零信任原則
簽署 AWS API 請求
眾多 AWS 客戶每天都能自信安全地與 AWS 互動,透過各種公用和私人網路的組合進行數十億次的 AWS API 呼叫。這些已簽署的每個 API 請求每一次都會個別進行驗證和授權 (以全球每秒超過數百萬個請求的速率)。使用傳輸層安全性部落格文章 (TLS) 搭配 AWS Signature v4 簽署程序的強大加密功能,使用網路層級加密保護這些請求,而無須考量基礎網路的可信度。
AWS 服務對服務互動
個別 AWS 服務需要彼此呼叫時,將會依賴您以客戶身分使用的相同安全機制。例如,Amazon EC2 Auto Scaling 服務會使用您帳戶中的服務連結角色來接收短期認證,並代表您呼叫 Amazon Elastic Compute Cloud (Amazon EC2) API,以回應擴展需求。這些呼叫會由 AWS Identity and Access Management (IAM) 驗證和授權,就像您對 AWS 服務的呼叫一樣。以身分為中心的強大控制會構成 AWS 服務之間安全模型的基礎。
使用案例
軟體對軟體通訊
當兩個元件不需要通訊時,就不應具備通訊能力,即使兩者位於同一個網路區段內亦然。您可以藉由為元件之間的特定流程授權來完成此操作。消除非必要的通訊路徑,就會套用最低權限原則以進一步保護關鍵資料。根據系統的性質,您可以使用 Amazon VPC Lattice,透過簡化、自動化的服務對服務連線,以內嵌驗證和授權構建這些架構,使用安全群組建置動態微型周邊、透過 Amazon API Gateway 要求簽署等等。
安全的員工行動性
現代的員工需要在不影響安全性的情況下,從任何位置存取其業務應用程式。為此,您可以使用 AWS Verified Access。藉此,您無需 VPN 即可安全存取企業應用程式。輕鬆連接您現有的身分提供者 (IdP) 和裝置管理服務,並使用存取原則嚴格控制應用程式存取,同時提供順暢的使用者體驗並改善安全狀態。您也可以使用 Amazon WorkSpaces Family 或 Amazon AppStream 2.0 等服務來達成此目標,這些服務會將應用程式以加密像素的形式串流至遠端使用者,同時將資料安全保存在 Amazon VPC 和任何連線的私人網路中。
數位轉型專案
數位轉型專案通常會連接感應器、控制器和雲端式處理和洞察,且全部都在傳統企業網路以外運作。為了保護您的關鍵 IoT 基礎架構, AWS IoT 服務的系列可透過公開網路提供端對端安全性,並提供裝置驗證和授權作為標準功能。