零信任是一种安全模型,其核心理念是不应仅根据网络位置访问数据。其要求用户和系统以有力的证据证明自己的身份和可信度,并强制执行基于身份的精细授权规则,才能允许它们访问应用程序、数据和其他系统。借助零信任,这些身份通常会在高度灵活的身份感知网络中运行,从而进一步减少区域面,消除不必要的数据路径,并提供直接的外部安全防护机制。
迁移到零信任安全模型首先要评估您的工作负载组合,并确定增强零信任的灵活性和安全性将在哪些方面带来最大的好处。然后,运用零信任概念,即重新思考身份、身份验证和其他环境指标(例如设备状态和运行状况),以便在现状的基础上做出切合实际的、有意义的安全改进。为了帮助您踏上这段旅程,许多 AWS 身份和网络服务提供核心零信任构建块作为标准功能,这些功能可应用于新的和现有的工作负载。
零信任安全模型可以根据身份和设备状态等信任因素,为您的用户提供对应用程序和资源的安全访问权限。
通过消除不必要的通信途径,应用最低权限原则,更好地保护关键数据。
为了帮助进一步提高安全标准,零信任允许 IT 团队做出越来越精细、连续和自适应的访问控制决策,这些决策将包括身份、设备和行为在内的各种背景考虑在内。
当两个组件不需要通信时,即使位于同一网段内,它们也不能通信。您可以通过授权组件之间的特定流来实现这一目的。 根据系统的性质,您可以通过简化和自动化的服务间连接来构造这些架构,其中包括使用 Amazon VPC Lattice 的嵌入式身份验证和授权、使用安全组构建的动态微边界、通过 Amazon API Gateway 请求签名等。
现代员工需要在不影响安全性的前提下从任何地方访问所需业务应用程序。您可以通过 AWS Verified Access 来实现这一目的。这一功能使您无需 VPN 即可为企业应用程序提供安全访问。 轻松连接现有的身份提供者 (IdP) 和设备管理服务,并使用访问策略严格控制应用程序访问,同时提供无缝的用户体验,并改善安全状况。您还可以使用 Amazon WorkSpaces Family 或 Amazon AppStream 2.0 等服务来实现这一目的,这些服务将应用程序作为加密像素流式传输给远程用户,同时将数据安全地保存在您的 Amazon VPC 和任何关联的专用网络中。
数字化转型项目通常连接传感器、控制器以及基于云的处理和洞察,所有这些都完全在传统企业网络之外运行。为了保护您的关键 IoT 基础设施,AWS IoT 服务系列通过开放网络提供端到端安全性,并将设备身份验证和授权作为标准功能提供。