AWS 上的零信任
使用零信任方法发展您的安全模型
AWS 上的零信任是什么?
零信任是一种安全模型,其核心理念是不应仅根据网络位置访问数据。其要求用户和系统以有力的证据证明自己的身份和可信度,并强制执行基于身份的精细授权规则,才能允许它们访问应用程序、数据和其他系统。借助零信任,这些身份通常会在高度灵活的身份感知网络中运行,从而进一步减少区域面,消除不必要的数据路径,并提供直接的外部安全防护机制。
迁移到零信任安全模型首先要评估您的工作负载组合,并确定增强零信任的灵活性和安全性将在哪些方面带来最大的好处。然后,运用零信任概念,即重新思考身份、身份验证和其他环境指标(例如设备状态和运行状况),以便在现状的基础上做出切合实际的、有意义的安全改进。为了帮助您踏上这段旅程,许多 AWS 身份和网络服务提供核心零信任构建块作为标准功能,这些功能可应用于新的和现有的工作负载。
精选资源
视频 - AWS 上的零信任之旅 (41:27)
观看 re:Inforce 2023 领导力会议,聆听 AWS Network Firewall 及 AWS Firewall Manager 总经理 Jess Szmajda,以及首席信息安全官办公室负责人 Quint Van Deman 的意见,了解客户可以如何使用 AWS 的各项最新功能来实施零信任安全模型。
构建 AWS 上的零信任的指导原则
尽可能同时使用身份和网络功能
AWS 中的身份和网络控制通常可以相互补充和增强,以帮助您实现特定的安全目标。以身份为中心的控制能提供非常强大、灵活和精细的访问控制。以网络为中心的控制使您能够轻松地建立易于理解的边界,以身份为中心的控制可以在该边界内运行。理想情况下,这些控制应该相互了解并相互增强。
立足特定使用案例的逆向思维
有许多常见的使用案例,例如员工流动性、软件到软件的通信和数字化转型项目,都可以从零信任提供的增强安全性中受益。为了确定实现有意义的安全改进的最佳零信任模式、工具和方法,立足于应用于您的组织的每个特定使用案例进行逆向思维很重要。
根据系统和数据的价值对其应用零信任
您应该将零信任概念视为对现有安全控制的补充。根据受保护系统和数据的组织价值应用零信任概念,可以确保业务收益与投入的努力相称。
精选客户案例
Avalon Healthcare Solutions(Avalon)是一家实验室洞察提供商,它希望让用户通过 Web 浏览器,无需 VPN 即可安全、方便地访问业务报告和健康数据。Avalon 成立于 2013 年,从一开始就在其企业应用程序中使用 Amazon Web Services(AWS)上的零信任框架。
Avalon Healthcare Solutions 企业云技术副总裁 Eric Ellis 表示:“我们的主要技术目标之一是优化用户体验,同时坚定不移地维护零信任原则。随着新业务需求的出现,我们感到有必要将我们的企业应用程序定位在网络边缘。借助 AWS Verified Access,我们的安全和技术工程师能够在几分钟内配置基于零信任的企业应用程序访问权限,而无需使用 VPN。Verified Access 使我们能够应对将基本服务交付与用户体验增强相结合的关键挑战,同时又不会影响我们严格的零信任政策。”
详细了解 Avalon Healthcare Solutions 如何使用 AWS Verified Access 增强安全性
加拿大公司 Neo Financial 处于技术前沿,提供无年费信用卡、无限现金返还和灵活信用额度等备受推崇的服务。 Neo Financial 希望转向根据用户凭证而不是网络连接授予资源访问权限的安全模型。
通过使用 Amazon WorkSpaces 安全浏览器,Neo Financial 正在推进其零信任计划,根据用户特定的凭证授予用户对资源的访问权限,而不是依赖于网络访问。 Neo Financial 基础设施总监 Eric Zaporzan 表示:“使用 Amazon WorkSpaces 安全浏览器,不但减少了需要管理的服务器,而且支持使用单点登录来管理整个业务的身份验证,可帮助我们实现零信任目标。所有这些因素都有助于简化支付卡行业数据安全标准(PCI DSS)和其他合规措施的审计。”
零信任原则在 AWS 中发挥作用
签署 AWS API 请求
每位 AWS 客户每天都可以放心、安全地与 AWS 互动,通过各种公共和私有网络进行数十亿次 AWS API 调用。每个已签名的 API 请求每次都以每秒数十亿个请求的速率在全球范围内进行单独的身份验证和授权。通过将传输层安全性协议(TLS)与 AWS Signature v4 签名流程的强大加密功能相结合以进行网络级加密可保护这些请求,而无需考虑底层网络的可信度。
AWS 服务间的交互
当各个 AWS 服务需要相互调用时,它们依赖于您作为客户使用的相同安全机制。例如,Amazon EC2 Auto Scaling 服务使用您账户中的服务相关角色来接收短期凭证,并代表您调用 Amazon Elastic Compute Cloud (Amazon EC2) API,以响应扩展需求。这些调用由 AWS Identity and Access Management (IAM) 进行身份验证和授权,就像您对 AWS 服务的调用一样。以身份为中心的强大控制构成了 AWS 服务之间的安全模型的基础。
使用案例
软件间的通信
当两个组件不需要通信时,即使位于同一网段内,它们也不能通信。您可以通过授权组件之间的特定流来实现这一目的。通过消除不必要的通信途径,应用最低权限原则,更好地保护关键数据。根据系统的性质,您可以通过简化和自动化的服务间连接来构造这些架构,其中包括使用 Amazon VPC Lattice 的嵌入式身份验证和授权、使用安全组构建的动态微边界、通过 Amazon API Gateway 请求签名等。
保护员工流动性
现代员工需要在不影响安全性的前提下从任何地方访问所需业务应用程序。您可以通过 AWS Verified Access 来实现这一目的。这一功能使您无需 VPN 即可为企业应用程序提供安全访问。轻松连接现有的身份提供者 (IdP) 和设备管理服务,并使用访问策略严格控制应用程序访问,同时提供无缝的用户体验,并改善安全状况。您还可以使用例如 Amazon WorkSpaces Family 或 Amazon AppStream 2.0 等服务来实现这一目的,这些服务将应用程序作为加密像素流式传输给远程用户,同时将数据安全地保存在您的 Amazon VPC 和任何关联的专用网络中。
数字化转型项目
数字化转型项目通常连接传感器、控制器以及基于云的处理和洞察,所有这些都完全在传统企业网络之外运行。为了保护您的关键 IoT 基础设施,AWS IoT 服务系列通过开放网络提供端到端安全性,并将设备身份验证和授权作为标准功能提供。