Zero Trust in AWS
Verbessern Ihres Sicherheitsmodells mit einem Zero-Trust-Ansatz
Was ist Zero Trust in AWS?
Zero Trust ist ein Sicherheitsmodell, das auf der Idee basiert, dass der Zugriff auf Daten nicht ausschließlich auf der Grundlage des Netzwerkstandorts erfolgen sollte. Benutzer und Systeme müssen ihre Identität und Vertrauenswürdigkeit nachdrücklich nachweisen, und es werden differenzierte identitätsbasierte Autorisierungsregeln durchgesetzt, bevor ihnen der Zugriff auf Anwendungen, Daten und andere Systeme ermöglicht wird. Mit Zero Trust operieren diese Identitäten oft in hochflexiblen, identitätsbewussten Netzwerken, die die Oberfläche weiter reduzieren, unnötige Datenwege eliminieren und unkomplizierten äußeren Integritätsschutz bieten.
Die Umstellung auf ein Zero-Trust-Sicherheitsmodell beginnt mit der Bewertung Ihres Workload-Portfolios und der Feststellung, wo die verbesserte Flexibilität und Sicherheit von Zero Trust die größten Vorteile bieten würde. Anschließend wenden Sie Zero-Trust-Konzepte an und überdenken Identität, Authentifizierung und andere Kontextindikatoren wie Gerätestatus und -integrität, um echte und bedeutsame Sicherheitsverbesserungen gegenüber dem Status Quo zu erzielen. Um Sie auf diesem Weg zu unterstützen, bieten eine Reihe von AWS-Identitäts- und Netzwerkservices zentrale Zero-Trust-Bausteine als Standardfunktionen, die sowohl auf neue als auch auf bestehende Workloads angewendet werden können.
Vorgestellte Ressourcen
E-Book – Zero Trust: Den Weg zu größerer Sicherheit ebnen
Da sich Unternehmen und Cyberrisiken weiterentwickeln, müssen Sicherheitsmodelle Schritt halten. Erfahren Sie mehr über Zero Trust und wie Sie damit eine vielschichtige Sicherheitsstrategie entwickeln können, die sich an die moderne Umgebung anpasst.
Video – Wege zu Zero Trust in AWS (41:27)
Sehen Sie sich diese re:Inforce 2023 Leadership Session mit Jess Szmajda, General Manager, AWS Network Firewall & Firewall Manager, und Quint Van Deman, Principal, Office of the CISO, an, um zu erfahren, wie Kunden die neuesten Funktionen von AWS nutzen können, um ein Zero-Trust-Sicherheitsmodell zu implementieren.
Blog – Zero Trust Architectures: An AWS Perspective
Lesen Sie mehr über die AWS-Leitprinzipien für Zero Trust, erkunden Sie häufige Anwendungsfälle und erfahren Sie, wie AWS-Services Sie heute beim Aufbau Ihrer Zero-Trust-Architektur unterstützen können.
Video – Erzielen von Zero Trust mit AWS-Anwendungsnetzwerken (58:55)
Sehen Sie sich dieses Video an, um mehr über AWS-Netzwerkservices für Anwendungen zu erfahren, mit denen Sie ein Sicherheitsmodell einrichten können, das Vertrauen durch kontinuierliche Authentifizierung und Überwachung des Zugriffs schafft.
Leitprinzipien für den Aufbau von Zero Trust in AWS
Identitäts- und Netzwerkfunktionen nach Möglichkeit zusammen verwenden
Identitäts- und Netzwerkkontrollen in AWS können sich häufig gegenseitig ergänzen und erweitern, um Ihnen dabei zu helfen, Ihre spezifischen Sicherheitsziele zu erreichen. Identitätsorientierte Kontrollen bieten sehr starke, flexible und differenzierte Zugriffskontrollen. Netzwerkorientierte Kontrollen ermöglichen es Ihnen, auf einfache Weise gut verständliche Perimeter einzurichten, innerhalb derer identitätsorientierte Kontrollen eingesetzt werden können. Im Idealfall sollten diese Kontrollen einander kennen und sich gegenseitig ergänzen.
Von Ihren spezifischen Anwendungsfällen aus rückwärts arbeiten
Es gibt eine Reihe gängiger Anwendungsfälle, wie z. B. die Mobilität der Arbeitskräfte, die Kommunikation von Software zu Software und Projekte zur digitalen Transformation, die von der verbesserten Sicherheit von Zero Trust profitieren können. Es ist wichtig, von jedem der spezifischen Anwendungsfälle, die für Ihr Unternehmen gelten, rückwärts zu arbeiten, um die optimalen Zero-Trust-Muster, -Tools und -Ansätze zu ermitteln, mit denen bedeutende Sicherheitsverbesserungen erzielt werden können.
Zero Trust entsprechend ihrem Wert auf Ihre Systeme und Daten anwenden
Sie sollten Zero-Trust-Konzepte als Ergänzung zu Ihren bestehenden Sicherheitskontrollen betrachten. Indem Sie Zero-Trust-Konzepte entsprechend dem organisatorischen Wert des Systems und der zu schützenden Daten anwenden, können Sie sicherstellen, dass die Vorteile für Ihr Unternehmen dem Aufwand angemessen sind.
Kundenerfahrung im Blickpunkt
Figma ist die Designplattform für Teams, die gemeinsam Produkte entwickeln. Figma wurde im Internet geboren und hilft Teams dabei, bessere Designs zu erstellen, zu teilen, zu testen und auszuliefern – von Anfang bis Ende.
„Der Schutz der Designs und Ideen unserer Nutzer ist für Figmas Mission von größter Bedeutung“, sagte Max Burkhardt, Staff Security Engineer. „Mithilfe von Funktionen wie AWS Application Load Balancers mit OIDC-Authentifizierung, Amazon Cognito und Serverless-Lambda-Funktionen war das Figma Security Team in der Lage, Schutzmaßnahmen der nächsten Generation für unsere internen Tools zu entwickeln und gleichzeitig Zeit und Ressourcen zu sparen. Wir waren in der Lage, ein starkes Zero-Trust-Sicherheitsmodell mit minimalem benutzerdefiniertem Code zu entwickeln, was sich positiv auf unsere Zuverlässigkeit ausgewirkt hat.“
Zero-Trust-Prinzipien bei der Arbeit in AWS
Signieren von AWS-API-Anforderungen
Jeden Tag interagiert jeder einzelne AWS-Kunde vertrauensvoll und sicher mit AWS und führt Milliarden von AWS-API-Aufrufen über eine Vielzahl von öffentlichen und privaten Netzwerken durch. Jede dieser signierten API-Anforderungen wird jedes Mal einzeln authentifiziert und autorisiert, und zwar mit Raten von über einer Milliarde Anfragen pro Sekunde weltweit. Die Verwendung von Verschlüsselung auf Netzwerkebene mithilfe des Transport Layer Security (TLS) in Kombination mit leistungsstarken kryptografischen Funktionen des AWS-Signatur-v4-Signaturprozessessichert diese Anfragen, ohne Rücksicht auf die Vertrauenswürdigkeit des zugrunde liegenden Netzwerks.
AWS-Service-zu-Service-Interaktionen
Wenn sich einzelne AWS-Services gegenseitig anrufen müssen, verlassen sie sich auf dieselben Sicherheitsmechanismen, die Sie als Kunde verwenden. Beispielsweise verwendet der Amazon-EC2-Auto-Scaling-Service eine serviceverknüpfte Rolle in Ihrem Konto, um kurzfristige Anmeldeinformationen zu erhalten und den Amazon Elastic Compute Cloud (Amazon EC2)-APIs in Ihrem Namen aufzurufen, um den Skalierungsanforderungen gerecht zu werden. Diese Aufrufe werden vom AWS Identity and Access Management (IAM) authentifiziert und autorisiert, genau wie Ihre Aufrufe an AWS-Services. Starke identitätsorientierte Kontrollen bilden die Grundlage des Sicherheitsmodells zwischen AWS-Services.
Zero Trust für IoT
AWS IoT bietet die grundlegenden Komponenten von Zero Trust für eine Technologiedomain, in der unauthentifizierte, unverschlüsselte Netzwerknachrichten über das offene Internet bisher die Norm waren. Der gesamte Datenverkehr zwischen Ihren verbundenen IoT-Geräten und den AWS-IoT-Services wird über Transport Layer Security (TLS) gesendet. Dabei wird eine moderne Geräteauthentifizierung einschließlich zertifikatsbasiertem gegenseitigem TLS verwendet. Darüber hinaus hat AWS die FreeRTOS um TLS-Unterstützung erweitert, wodurch wichtige grundlegende Komponenten von Zero Trust für eine ganze Klasse von Mikrocontrollern und eingebetteten Systemen verfügbar sind.
Anwendungsfälle
Software-zu-Software-Kommunikation
Wenn zwei Komponenten nicht kommunizieren müssen, sollten sie dazu nicht in der Lage sein, auch wenn sie sich innerhalb desselben Netzwerksegments befinden. Sie können dies erreichen, indem Sie bestimmte Abläufe zwischen den Komponenten autorisieren. Durch die Eliminierung unnötiger Kommunikationswege wenden Sie die Prinzipien der geringsten Berechtigung an, um wichtige Daten besser zu schützen. Je nach Art der Systeme können Sie diese Architekturen mithilfe vereinfachter und automatisierter Service-zu-Service-Konnektivität mit integrierter Authentifizierung und Autorisierung mithilfe von Amazon VPC Lattice, dynamischen Mikroperimetern, die mithilfe der Sicherheitsgruppen erstellt wurden, Anforderungssignierung über den Amazon API Gateway und mehr erstellen.
Sichere Mobilität der Arbeitskräfte
Die modernen Arbeitskräfte benötigen Zugriff auf ihre Geschäftsanwendungen von überall aus, ohne die Sicherheit zu gefährden. Sie können dies mit AWS Verified Access erreichen. Auf diese Weise können Sie sicheren Zugriff auf Unternehmensanwendungen ohne VPN bereitstellen. Verbinden Sie ganz einfach Ihren bestehenden Identitätsanbieter (IDP) und Ihren Geräteverwaltungsservice und verwenden Sie Zugriffsrichtlinien, um den Anwendungszugriff streng zu kontrollieren und gleichzeitig ein reibungsloses Benutzererlebnis zu gewährleisten und die Sicherheitslage zu verbessern. Sie können dies auch mit Services wie der Amazon-WorkSpaces-Familie oder Amazon AppStream 2.0 erreichen, die Anwendungen als verschlüsselte Pixel an Remote-Benutzer streamen und gleichzeitig Daten sicher in Ihrer Amazon VPC und allen verbundenen privaten Netzwerken speichern.
Projekte zur digitalen Transformation
Projekte zur digitalen Transformation verbinden häufig Sensoren, Steuerungen und cloudbasierte Verarbeitung und Erkenntnisse, die alle vollständig außerhalb des traditionellen Unternehmensnetzwerks ablaufen. Um Ihre kritische IoT-Infrastruktur zu schützen, bietet die Familie der AWS-IoT-Services umfassende Sicherheit über offene Netzwerke, wobei Geräteauthentifizierung und Autorisierung als Standardfunktionen angeboten werden.
Sichere Verwaltung des Zugriffs auf Workloads und Anwendungen
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit der Entwicklung in der AWS-Managementkonsole.