Confianza cero en AWS
Mejore su modelo de seguridad con un enfoque de confianza cero
¿Qué es Confianza cero?
Confianza cero es un modelo de seguridad centrado en la idea de que el acceso a los datos no debe realizarse únicamente en función de la ubicación de la red. Requiere que los usuarios y los sistemas demuestren fehacientemente su identidad y fiabilidad. Aplica reglas de autorización detalladas basadas en la identidad antes de permitirles acceder a las aplicaciones, los datos y otros sistemas. Con Confianza cero, estas identidades suelen operar dentro de redes altamente flexibles con reconocimiento de identidad que reducen aún más el área de superficie, eliminan las vías innecesarias de acceso a los datos y proporcionan barreras de protección externas sencillas.
La transición a un modelo de seguridad Confianza cero comienza con la evaluación de su cartera de cargas de trabajo y la determinación de dónde la flexibilidad y la seguridad mejoradas de Confianza cero proporcionarían los mayores beneficios. Luego, tiene que aplicar los conceptos de Confianza cero (redefinición de la identidad, la autenticación y otros indicadores de contexto, como el estado del dispositivo) para realizar mejoras de seguridad reales y significativas con respecto al status quo. Para ayudar en esta transición, varios servicios de identidad y redes de AWS ofrecen componentes básicos de confianza cero, como características estándar que se pueden aplicar tanto a las cargas de trabajo nuevas como a las existentes.
Recursos destacados
Libro electrónico: Zero Trust: Charting a Path to Stronger Security
A medida que las organizaciones y los riesgos cibernéticos evolucionan, los modelos de seguridad deben mantenerse al día. Obtenga más información sobre Confianza cero y cómo puede utilizar este enfoque para crear una estrategia de seguridad de varios niveles que se adapte al entorno moderno.
Video: Journeys to Zero Trust on AWS (41:27)
Vea esta sesión de liderazgo de re:Inforce 2023 con Jess Szmajda, General Manager, AWS Network Firewall y Firewall Manager, y Quint Van Deman, Principal, oficina del CISO, para aprender cómo los clientes pueden utilizar las capacidades más recientes de AWS para implementar un modelo de seguridad Confianza cero.
Blog: Zero Trust architectures: An AWS Perspective
Lea acerca de los principios rectores de AWS para el enfoque Confianza cero, explore los casos de uso comunes y descubra cómo los servicios de AWS pueden ser de ayuda para crear su arquitectura de Confianza cero hoy mismo.
Video: Achieving Zero Trust with AWS application networking (58:55)
Vea este video para obtener información sobre los servicios de redes de aplicaciones de AWS, que le permiten configurar un modelo de seguridad que establece la confianza mediante la autenticación y la supervisión continuas del acceso.
Principios rectores para desarrollar Confianza cero en AWS
Siempre que sea posible, utilice las capacidades de identidad y red juntas
Los controles de identidad y red de AWS a menudo pueden complementarse y potenciarse mutuamente para que así pueda cumplir sus objetivos de seguridad específicos. Los controles centrados en la identidad ofrecen controles de acceso muy sólidos, flexibles y detallados. Los controles centrados en la red le permiten establecer fácilmente perímetros bien definidos dentro de los cuales pueden operar los controles centrados en la identidad. Idealmente, estos controles deberían ser consciente de la existencia de otros controles y complementarse entre sí.
Use los casos de uso específicos como punto de partida
Hay varios casos de uso comunes, como la movilidad de la fuerza laboral, las comunicaciones de software a software y los proyectos de transformación digital, que pueden beneficiarse de la seguridad mejorada que ofrece el enfoque Confianza cero. Es importante usar cada uno de los casos de uso específicos que se aplican a su organización como punto de partida para determinar los patrones, las herramientas y los enfoques óptimos del enfoque Confianza cero que logren avances en seguridad significativos.
Aplique Confianza cero a sus sistemas y datos de acuerdo con su valor
Debe pensar en los conceptos del enfoque Confianza cero como un complemento de los controles de seguridad existentes. Al aplicar los conceptos de Confianza cero de acuerdo con el valor organizativo del sistema y los datos que se protegen, puede garantizar que los beneficios para su empresa estén a la altura del esfuerzo realizado.
Historias destacadas de clientes
Figma es una plataforma de diseño para equipos que crean productos juntos. Nacida en la Web, Figma ayuda a los equipos a crear, compartir, probar y lanzar mejores diseños, de principio a fin.
“Proteger los diseños e ideas de nuestros usuarios es fundamental para la misión de Figma”, señala Max Burkhardt, Staff Security Engineer. “Gracias a características como los equilibradores de carga de aplicación de AWS con autenticación OIDC, Amazon Cognito y las funciones sin servidor de Lambda, el equipo de seguridad de Figma pudo crear defensas de última generación para nuestras herramientas internas y, al mismo tiempo, ahorrar tiempo y recursos. Pudimos crear un modelo de seguridad sólido de confianza cero con un código personalizado mínimo, lo que ha sido una bendición para nuestra fiabilidad”.
Los principios de Confianza cero en funcionamiento en AWS
Firma de solicitudes a la API de AWS
Todos los días, todos y cada uno de los clientes de AWS interactúan con confianza y seguridad con AWS. Realizan miles de millones de llamadas a las API de AWS a través de un conjunto diverso de redes públicas y privadas. Cada una de estas solicitudes a la API firmadas se autentica y autoriza de forma individual cada vez a un ritmo de mil millones de solicitudes por segundo en todo el mundo. El uso del cifrado de red mediante la seguridad de la capa de transporte (TLS), junto con las potentes capacidades criptográficas del proceso de firma de AWS Signature versión 4 que protegen estas solicitudes sin tener en cuenta la fiabilidad de la red subyacente.
Interacciones entre servicios de AWS
Cuando los servicios individuales de AWS necesitan llamarse entre sí, se basan en los mismos mecanismos de seguridad que el usuario utiliza como cliente. Por ejemplo, el servicio Amazon EC2 Auto Scaling utiliza un rol vinculado a un servicio en su cuenta para recibir credenciales a corto plazo y llamar a las API de Amazon Elastic Compute Cloud (Amazon EC2) en su nombre en respuesta a sus necesidades de escalamiento. AWS Identity and Access Management (IAM) autoriza estas llamadas, al igual que sus llamadas a los servicios de AWS. Los controles sólidos centrados en la identidad forman la base del modelo de seguridad entre los servicios de AWS.
Confianza cero para IoT
AWS IoT proporciona los componentes fundamentales de Confianza cero a un dominio tecnológico en el que anteriormente la mensajería de red no autenticada y sin cifrar a través de Internet abierta era la norma. Todo el tráfico entre sus dispositivos IoT conectados y los servicios de AWS IoT se envía a través de la seguridad de la capa de transporte (TLS) mediante una autenticación de dispositivos moderna, que incluye una TLS mutua basada en certificados. Además, AWS agregó compatibilidad con TLS a FreeRTOS, lo que incorporó los componentes fundamentales clave del enfoque Confianza cero a toda una clase de microcontroladores y sistemas integrados.
Casos de uso
Comunicaciones de software a software
Cuando dos componentes no necesitan comunicarse, no deberían poder hacerlo, incluso cuando residan en el mismo segmento de red. Para ello, puede autorizar flujos específicos entre los componentes. Al eliminar las vías de comunicación innecesarias, está aplicando los principios de privilegios mínimos para proteger mejor los datos críticos. Según la naturaleza de los sistemas, puede crear estas arquitecturas mediante una conectividad de servicio a servicio simplificada y automatizada con autenticación y autorización integradas mediante Amazon VPC Lattice, microperímetros dinámicos creados a partir de grupos de seguridad , firma de solicitudes a través de Amazon API Gateway y más.
Movilidad segura de la fuerza laboral
La fuerza laboral moderna necesita acceder a sus aplicaciones empresariales desde cualquier lugar sin comprometer la seguridad. Puede lograrlo con Acceso verificado de AWS. Esto le permite proporcionar un acceso seguro a las aplicaciones corporativas sin necesidad de usar una VPN. Conecte fácilmente su proveedor de identidades (IdP) existente y el servicio de administración de dispositivos y utilice políticas de acceso para controlar estrictamente el acceso a las aplicaciones, al tiempo que ofrece una experiencia de usuario perfecta y mejora la postura de seguridad. También puede lograrlo con servicios como Amazon WorkSpaces Family o Amazon AppStream 2.0, que transmiten aplicaciones en forma de píxeles cifrados a usuarios remotos y, al mismo tiempo, mantienen los datos de forma segura en su VPC de Amazon y en cualquier red privada conectada.
Proyectos de transformación digital
Los proyectos de transformación digital suelen conectar sensores, controladores y procesamiento e información basados en la nube, y todos funcionan completamente fuera de la red empresarial tradicional. Para mantener protegida su infraestructura de IoT crítica, la familia de servicios de AWS IoT puede proporcionar seguridad de extremo a extremo en redes abiertas, con la autenticación y autorización de dispositivos ofrecidas como características estándar.
Administre el acceso a cargas de trabajo y aplicaciones de manera segura
Obtenga acceso instantáneo a la capa gratuita de AWS.
Comience a crear en la consola de administración de AWS.