Zero Trust su AWS
Miglioramento del modello di sicurezza con un approccio Zero Trust
Cos'è lo Zero Trust su AWS?
Zero Trust è un modello di sicurezza basato sull'idea che l'accesso ai dati non debba essere effettuato esclusivamente in base alla posizione della rete. Richiede agli utenti e ai sistemi di dimostrare con certezza la propria identità e affidabilità, e applica regole di autorizzazione granulari basate sull'identità prima di consentire l'accesso ad applicazioni, dati e altri sistemi. Con l'approccio Zero Trust, queste identità di solito operano all'interno di reti altamente flessibili e sensibili all'identità. Questo riduce ulteriormente la superficie di attacco, elimina percorsi non necessari verso i dati e fornisce guardrail di sicurezza esterni in modo più semplice.
La transizione a un modello di sicurezza Zero Trust inizia con la valutazione del portfolio di carichi di lavoro, identificando le aree in cui l'adozione dello Zero Trust porterebbe i maggiori vantaggi in termini di flessibilità e sicurezza. In seguito, verranno implementati i principi Zero Trust, che includono la revisione del concetto di identità, di autenticazione e di altri indicatori di contesto come lo stato e le condizioni del dispositivo. Questo contribuirà a realizzare miglioramenti sostanziali e significativi in termini di sicurezza rispetto alla situazione attuale. Per aiutarti in questo percorso, una serie di servizi di identità e rete AWS forniscono elementi costitutivi Zero Trust di base come funzionalità standard che possono essere applicate a carichi di lavoro nuovi ed esistenti.
Risorse in evidenza
Ebook - Zero Trust: Charting a Path to Stronger Security
Man mano che le organizzazioni e i rischi informatici si evolvono, i modelli di sicurezza devono stare al passo. Scopri di più sull'approccio Zero Trust e su come adottarlo per creare una strategia di sicurezza a più livelli che si adatti all'ambiente moderno.
Video - Journeys to Zero Trust on AWS (41:27)
Guarda questa sessione di re:Inforce 2023 con Jess Szmajda, General Manager, Firewall di rete AWS e Firewall Manager, e Quint Van Deman, Principal, Office of the CISO, per scoprire come i clienti possono utilizzare le funzionalità di AWS più recenti per implementare un modello di sicurezza Zero Trust.
Blog - Zero Trust architectures: An AWS Perspective
Leggi i principi guida di AWS per lo Zero Trust, esplora i casi d'uso comuni e scopri come i servizi AWS possono aiutarti a creare subito la tua architettura Zero Trust.
Video - Achieving Zero Trust with AWS application networking (58:55)
Guarda questo video per scoprire i servizi di rete delle applicazioni AWS che ti consentono di configurare un modello di sicurezza che stabilisce l'affidabilità autenticando e monitorando continuamente l'accesso.
Principi guida per la creazione di Zero Trust su AWS
Ove possibile, utilizza insieme le funzionalità di identità e di rete
I controlli di identità e di rete in AWS possono spesso completarsi e potenziarsi a vicenda per aiutarti a raggiungere i tuoi obiettivi di sicurezza specifici. I controlli incentrati sull'identità offrono controlli di accesso molto affidabili, flessibili e rigorosi. I controlli incentrati sulla rete consentono di stabilire facilmente perimetri ben definiti all'interno dei quali possono operare i controlli incentrati sull'identità. Idealmente, questi controlli dovrebbero essere consapevoli e potenziarsi a vicenda.
Lavora a ritroso partendo dai tuoi casi d'uso specifici
Esistono numerosi casi d'uso comuni che possono trarre vantaggio dalla maggiore sicurezza fornita dallo Zero Trust, come la mobilità della forza lavoro, le comunicazioni tra software e i progetti di trasformazione digitale. È fondamentale analizzare attentamente ciascuno dei casi d'uso specifici rilevanti per la propria organizzazione, effettuando una valutazione a ritroso per identificare i modelli, gli strumenti e gli approcci Zero Trust più adatti e compiere progressi significativi in termini di sicurezza.
Applica lo Zero Trust ai tuoi sistemi e dati in base al loro valore
È buona norma considerare i concetti Zero Trust come un complemento ai controlli di sicurezza già esistenti. Applicando i concetti Zero Trust in base al valore organizzativo del sistema e dei dati da proteggere, puoi garantire che i vantaggi per la tua azienda siano commisurati agli sforzi compiuti.
Testimonianza dei clienti in evidenza
Figma è la piattaforma di progettazione per i team che creano prodotti in modo collaborativo. Nata sul Web, Figma aiuta i team a creare, condividere, testare e realizzare progetti migliori, dall'inizio alla fine.
"Proteggere i progetti e le idee dei nostri utenti è fondamentale per la missione di Figma", ha dichiarato Max Burkhardt, Staff Security Engineer. "Utilizzando funzionalità come AWS Application Load Balancer con autenticazione OIDC, Amazon Cognito e funzioni serverless Lambda, il Figma Security Team è stato in grado di creare difese di nuova generazione per i nostri strumenti interni, il tutto risparmiando tempo e risorse. Siamo riusciti a sviluppare un solido modello di sicurezza Zero Trust con un minimo codice personalizzato, il che ha contribuito significativamente alla nostra affidabilità".
I principi Zero Trust all'opera in AWS
Firma di richieste API AWS
Ogni giorno, ciascun cliente AWS interagisce in modo sicuro e affidabile con AWS, effettuando miliardi di chiamate API AWS su una vasta gamma di reti pubbliche e private. Ognuna di queste richieste API firmate viene autenticata e autorizzata singolarmente ogni volta a una velocità di miliardi di richieste al secondo a livello globale. L'uso della crittografia a livello di rete utilizzando il Transport Layer Security (TLS) combinato con le potenti funzionalità crittografiche del processo di firma AWS Signature v4, consente di proteggere queste richieste senza bisogno di considerare l'affidabilità della rete sottostante.
Interazioni da servizio a servizio AWS
Quando i singoli servizi AWS devono chiamarsi tra loro, si affidano agli stessi meccanismi di sicurezza che utilizzi come cliente. Ad esempio, il servizio Amazon EC2 Auto Scaling utilizza un ruolo collegato al servizio nel tuo account per ricevere credenziali a breve termine e chiamare le API Amazon Elastic Compute Cloud (Amazon EC2) per tuo conto in risposta alle esigenze di scalabilità. Queste chiamate sono autenticate e autorizzate dal servizio AWS Identity and Access Management (IAM), proprio come le tue chiamate ai servizi AWS. I controlli affidabili incentrati sull'identità costituiscono la base del modello di sicurezza tra i servizi AWS.
Zero Trust per l'IoT
AWS IoT forniscono i componenti fondamentali dello Zero Trust a un dominio tecnologico in cui in precedenza la messaggistica di rete non autenticata e non crittografata su Internet aperta era la norma. Tutto il traffico tra i dispositivi IoT connessi e i servizi AWS IoT viene inviato attraverso il protocollo di sicurezza Transport Layer Security (TLS) utilizzando una moderna autenticazione dei dispositivi che include il TLS reciproco basato su certificati. Inoltre, AWS ha aggiunto il supporto TLS al FreeRTOS, portando i componenti fondamentali dello Zero Trust a un'intera classe di microcontrollori e sistemi integrati.
Casi d'uso
Comunicazioni tra software
Quando due componenti non hanno bisogno di comunicare, non dovrebbero essere in grado di farlo, anche se risiedono all'interno dello stesso segmento di rete. Puoi ottenere questo risultato autorizzando flussi specifici tra i componenti. Eliminando i percorsi di comunicazione non necessari, si applicano i principi del privilegio minimo per proteggere meglio i dati critici. A seconda della natura dei sistemi, puoi costruire queste architetture attraverso una connettività da servizio a servizio semplificata e automatizzata con autenticazione e autorizzazione integrate utilizzando Amazon VPC Lattice, microperimetri dinamici creati utilizzando Security Groups, firma delle richieste tramiteAmazon API Gateway, e molto altro.
Mobilità sicura della forza lavoro
La forza lavoro moderna richiede l'accesso alle proprie applicazioni aziendali da qualsiasi luogo, senza compromettere la sicurezza. Accesso verificato da AWS ti permettere di raggiungere questo obiettivo. Puoi fornire l'accesso sicuro alle applicazioni aziendali anche senza una VPN. Collega facilmente il tuo gestore dell'identità digitale esistente e il servizio di gestione dei dispositivi, e utilizza le policy di accesso per controllare rigorosamente l'accesso alle applicazioni, offrendo al contempo un'esperienza utente ottimizzata e migliorando il livello di sicurezza. Puoi farlo anche con servizi come Amazon WorkSpaces Family o Amazon AppStream 2.0, che trasmettono le applicazioni come pixel crittografati agli utenti remoti mantenendo i dati al sicuro all'interno del tuo Amazon VPC e di qualsiasi rete privata connessa.
Progetti di trasformazione digitale
I progetti di trasformazione digitale spesso connettono sensori, controller e processi di analisi basati su cloud, tutti operanti completamente al di fuori della rete aziendale tradizionale. Per proteggere la tua infrastruttura IoT critica, la famiglia di servizi AWS IoT può fornire sicurezza end-to-end su reti aperte, con l'autenticazione e l'autorizzazione dei dispositivi offerte come funzionalità standard.
Gestisci l'accesso a carichi di lavoro e applicazioni in modo sicuro
Ottieni l'accesso immediato al piano gratuito di AWS.
