Zero Trust di AWS
Meningkatkan model keamanan Anda dengan pendekatan Zero Trust
Apa itu Zero Trust di AWS?
Zero Trust adalah model keamanan yang berpusat pada gagasan bahwa akses ke data tidak boleh semata-mata dibuat berdasarkan lokasi jaringan. Model ini mengharuskan pengguna dan sistem untuk membuktikan identitas dan kepercayaan mereka dengan kuat, dan menerapkan aturan otorisasi berbasis identitas yang terperinci sebelum mengizinkan mereka mengakses aplikasi, data, dan sistem lainnya. Dengan Zero Trust, identitas ini sering kali beroperasi dalam jaringan sadar identitas yang sangat fleksibel yang semakin mengurangi luas permukaan, menghilangkan jalur yang tidak diperlukan menuju data, dan menyediakan pagar pembatasan keamanan luar yang mudah.
Peralihan ke model keamanan Zero Trust dimulai dengan mengevaluasi portofolio beban kerja Anda dan menentukan di mana peningkatan fleksibilitas dan keamanan Zero Trust akan memberikan manfaat terbesar. Pada tahap berikutnya, Anda akan menerapkan konsep Zero Trust - dengan mempertimbangkan ulang identitas, autentikasi, dan indikator konteks lainnya seperti status dan kondisi perangkat - untuk melakukan perbaikan keamanan yang nyata dan bermakna melebihi kondisi saat ini. Untuk membantu Anda melalui perjalanan ini, sejumlah layanan identitas dan jaringan AWS menyediakan blok bangunan Zero Trust inti sebagai fitur standar yang dapat diterapkan pada beban kerja baru dan yang sudah ada.
Sumber daya unggulan
Ebook - Zero Trust: Charting a Path to Stronger Security
Seiring dengan berkembangnya organisasi dan risiko siber, model keamanan harus mengikuti perkembangannya. Pelajari selengkapnya tentang Zero Trust dan bagaimana Anda dapat menggunakannya untuk membangun strategi keamanan berlapis yang beradaptasi dengan lingkungan modern.
Video - Perjalanan menuju Zero Trust di AWS (41:27)
Tonton sesi kepemimpinan re:Inforce 2023 ini bersama Jess Szmajda, General Manager, AWS Network Firewall & Firewall Manager, dan Quint Van Deman, Principal, Office CISO, untuk mempelajari bagaimana pelanggan dapat menggunakan kemampuan terbaru AWS untuk mengimplementasikan model keamanan Zero Trust.
Blog - Arsitektur Zero Trust: Perspektif AWS
Baca tentang prinsip panduan AWS untuk Zero Trust, jelajahi kasus penggunaan umum, dan pelajari bagaimana layanan AWS dapat membantu Anda membangun arsitektur Zero Trust Anda sekarang.
Video - Mencapai Zero Trust dengan jaringan aplikasi AWS (58:55)
Tonton video ini untuk mempelajari tentang layanan jaringan aplikasi AWS yang memungkinkan Anda menyiapkan model keamanan yang membangun kepercayaan dengan mengautentikasi dan memantau akses secara terus-menerus.
Prinsip panduan untuk membangun Zero Trust di AWS
Jika memungkinkan, gunakan kemampuan identitas dan jaringan bersama-sama
Kontrol identitas dan jaringan di AWS sering kali dapat melengkapi dan menambah satu sama lain untuk membantu Anda mencapai tujuan keamanan spesifik Anda. Kontrol yang berpusat pada identitas menawarkan kontrol akses yang sangat kuat, fleksibel, dan terperinci. Kontrol yang berpusat pada jaringan memungkinkan Anda dengan mudah menetapkan batas yang dipahami dengan baik tempat kontrol yang berpusat pada identitas dapat beroperasi. Idealnya, kendali-kendali ini harus menyadari dan saling melengkapi.
Tinjau kembali kasus penggunaan spesifik Anda
Ada sejumlah kasus penggunaan umum, seperti mobilitas tenaga kerja, komunikasi di antara perangkat lunak, dan proyek transformasi digital yang dapat memanfaatkan peningkatan keamanan yang disediakan oleh Zero Trust. Penting untuk meninjau kembali setiap kasus penggunaan spesifik yang berlaku di organisasi Anda untuk menentukan pola, alat, dan pendekatan Zero Trust yang optimal untuk mencapai kemajuan keamanan yang berarti.
Terapkan Zero Trust pada sistem dan data Anda sesuai dengan nilainya
Anda harus menganggap konsep Zero Trust sebagai tambahan pada kontrol keamanan yang ada. Dengan menerapkan konsep Zero Trust sesuai dengan nilai organisasi dari sistem dan data yang dilindungi, Anda dapat memastikan bahwa manfaat bagi bisnis Anda sepadan dengan upaya yang dilakukan.
Kisah pelanggan unggulan
Figma adalah platform desain untuk tim yang membangun produk bersama. Lahir di Web, Figma membantu tim membuat, berbagi, menguji, dan mengirimkan desain yang lebih baik—dari awal hingga akhir.
“Melindungi desain dan ide pengguna kami adalah hal terpenting dalam misi Figma,” kata Max Burkhardt, Staff Security Engineer. “Menggunakan fitur seperti Penyeimbang Beban Aplikasi AWS dengan autentikasi OIDC, Amazon Cognito, dan fungsi nirserver Lambda, Tim Keamanan Figma mampu membangun pertahanan generasi berikutnya untuk peralatan internal kami, sekaligus menghemat waktu dan sumber daya. Kami mampu membangun model keamanan zero-trust yang kuat dengan kode kustom minimal, yang merupakan keuntungan bagi keandalan kami.”
Prinsip Zero Trust diterapkan dalam AWS
Menandatangani Permintaan API AWS
Setiap hari, setiap pelanggan AWS berinteraksi dengan yakin dan aman menggunakan AWS sehingga melakukan miliaran panggilan API AWS melalui beragam jaringan publik dan privat. Masing-masing permintaan API yang ditandatangani ini diautentikasi dan diotorisasi secara individual setiap saat dengan laju lebih dari satu miliar permintaan per detik secara global. Penggunaan enkripsi tingkat jaringan menggunakan Keamanan Lapisan Pengangkutan (TLS) yang dikombinasikan dengan kemampuan kriptografi yang kuat dari Proses penandatanganan AWS Signature v4mengamankan permintaan ini tanpa memperhatikan kepercayaan jaringan yang mendasarinya.
Interaksi layanan ke layanan AWS
Ketika masing-masing layanan AWS perlu memanggil satu sama lain, layanan tersebut mengandalkan mekanisme keamanan yang sama yang Anda gunakan sebagai pelanggan. Misalnya, Layanan Amazon EC2 Auto Scaling menggunakanperan tertaut layanan di akun Anda untuk menerima kredensial jangka pendek dan memanggil API Amazon Elastic Compute Cloud (Amazon EC2) atas nama Anda sebagai respons terhadap kebutuhan penskalaan. Panggilan ini diautentikasi dan disahkan oleh AWS Identity and Access Management (IAM), sama seperti panggilan Anda ke layanan AWS. Kontrol kuat yang berpusat pada identitas membentuk dasar model keamanan di antara layanan AWS.
Zero Trust untuk IoT
AWS IoT menyediakan komponen dasar Zero Trust ke domain teknologi tempat pesan jaringan yang tidak diautentikasi dan tidak terenkripsi melalui internet terbuka sebelumnya merupakan hal yang biasa. Semua lalu lintas di antara perangkat IoT Anda yang terhubung dan layanan AWS IoT dikirimkan melalui Keamanan Lapisan Pengangkutan (TLS) menggunakan autentikasi perangkat modern termasuk TLS timbal balik berbasis sertifikat. Selain itu, AWS menambahkan dukungan TLS ke FreeRTOS yang menghadirkan komponen dasar utama Zero Trust ke seluruh kelas mikrokontroler dan sistem tertanam.
Kasus penggunaan
Komunikasi perangkat lunak ke perangkat lunak
Ketika dua komponen tidak perlu berkomunikasi, keduanya seharusnya tidak dapat berkomunikasi, meskipun berada dalam segmen jaringan yang sama. Anda dapat mencapai hal ini dengan mengotorisasi aliran tertentu di antara komponen. Dengan menghilangkan jalur komunikasi yang tidak perlu, Anda menerapkan prinsip hak akses paling rendah untuk melindungi data penting dengan lebih baik. Bergantung pada sifat sistemnya, Anda dapat membangun arsitektur ini melalui konektivitas layanan ke layanan yang disederhanakan dan otomatis dengan autentikasi dan otorisasi yang tertanam menggunakan Amazon VPC Lattice, mikro-perimeter dinamis yang dibangun menggunakan Grup Keamanan, yang meminta tanda tangan melalui Amazon API Gateway, dan banyak lagi.
Mobilitas tenaga kerja yang aman
Tenaga kerja modern memerlukan akses ke aplikasi bisnis mereka dari mana saja tanpa mengorbankan keamanan. Anda dapat melakukannya dengan Akses Terverifikasi AWS. Akses ini memungkinkan Anda memberikan akses aman ke aplikasi perusahaan tanpa VPN. Hubungkan penyedia identitas (IdP) dan layanan manajemen perangkat Anda yang ada dengan mudah, serta gunakan kebijakan akses untuk mengontrol akses aplikasi secara ketat sekaligus memberikan pengalaman pengguna yang lancar dan meningkatkan postur keamanan. Anda juga dapat melakukannya dengan layanan seperti Keluarga Amazon WorkSpaces atau Amazon AppStream 2.0, yang mengalirkan aplikasi sebagai piksel terenkripsi ke pengguna jarak jauh sekaligus menjaga data dengan aman di dalam Amazon VPC Anda dan jaringan privat apa pun yang terhubung.
Proyek transformasi digital
Proyek transformasi digital sering kali menghubungkan sensor, pengontrol, serta pemrosesan dan wawasan berbasis cloud, semuanya beroperasi sepenuhnya di luar jaringan perusahaan tradisional. Untuk menjaga infrastruktur IoT penting Anda tetap terlindungi, keluargalayanan AWS IoT dapat memberikan keamanan menyeluruh melalui jaringan terbuka, dengan autentikasi dan otorisasi perangkat ditawarkan sebagai fitur standar.
Kelola akses ke beban kerja dan aplikasi dengan aman