Zero Trust na AWS

Aprimorar o modelo de segurança com uma abordagem Zero Trust

O que é o Zero Trust na AWS?

O Zero Trust é um modelo de segurança centrado na ideia de que o acesso aos dados não deve ser feito apenas com base na localização da rede. Isso exige que usuários e sistemas provem com firmeza suas identidades e confiabilidade, e impõe regras de autorização detalhadas com base em identidade antes de permitir que eles acessem as aplicações, os dados e outros sistemas. Com o Zero Trust, essas identidades geralmente operam em redes de reconhecimento de identidade altamente flexíveis que reduzem ainda mais a área de superfície, eliminam caminhos desnecessários para os dados e fornecem barreiras de proteção externas diretas. 

A mudança para um modelo de segurança Zero Trust começa com a avaliação de seu portfólio de workloads e a determinação de onde a maior flexibilidade e segurança do Zero Trust proporcionariam os maiores benefícios. Em seguida, você aplicará os conceitos de Zero Trust — repensando identidade, autenticação e outros indicadores de contexto, como estado e integridade do dispositivo — para fazer melhorias de segurança reais e significativas em relação ao status quo. Para ajudar você nessa jornada, vários serviços de identidade e rede da AWS fornecem os principais elementos básicos do Zero Trust, como atributos padrão que podem ser aplicados a workloads novas e existentes. 

Zero Trust na AWS: Steve Schmidt, vice-presidente de engenharia de segurança e CISO da AWS (11:12)

Criações do Amazon Day 1 e do Sphere

E-book - Zero Trust: preparar o terreno para uma segurança mais robusta

À medida que as organizações e os riscos cibernéticos evoluem, os modelos de segurança precisam acompanhar essa mudança. Saiba mais sobre o Zero Trust e como você pode usá-lo para criar uma estratégia de segurança em várias camadas que se adapte ao ambiente moderno.

Baixar o e-book »

Vídeo - Jornadas para o Zero Trust na AWS (41:27)

Assista a esta sessão de liderança do re:Inforce 2023 com Jess Szmajda, gerente geral, gerente de firewall e AWS Network Firewall, e Quint Van Deman, diretor e CISO, para saber como os clientes podem usar os recursos mais recentes da AWS para implementar um modelo de segurança Zero Trust.

Assista ao vídeo »

Blog - Arquiteturas Zero Trust: uma perspectiva da AWS

Blog - Arquiteturas Zero Trust: uma perspectiva da AWS

Leia sobre os princípios orientadores da AWS para o Zero Trust, explore casos de uso comuns e saiba como os serviços da AWS podem ajudar você a criar sua arquitetura Zero Trust hoje.

Leia o blog »

Vídeo - Alcançar o Zero Trust com a rede de aplicações da AWS (58:55)

Assista a este vídeo para saber mais sobre os serviços de rede de aplicações da AWS que permitem configurar um modelo de segurança que estabelece confiança ao autenticar e monitorar continuamente o acesso.

Assista ao vídeo »

Princípios orientadores para criar o Zero Trust na AWS

Sempre que possível, use recursos de identidade e rede juntos

Os controles de identidade e rede na AWS muitas vezes podem se complementar e aumentar mutuamente para ajudar você a atingir seus objetivos específicos de segurança. Os controles centrados na identidade oferecem controles de acesso muito fortes, flexíveis e refinados. Os controles centrados na rede permitem que você estabeleça facilmente perímetros bem entendidos dentro dos quais os controles centrados na identidade podem operar. O ideal é que esses controles estejam cientes e que se aprimorarem mutuamente.

Trabalhe de trás para frente nos seus casos de uso específicos

Há vários casos de uso comuns, como mobilidade da força de trabalho, comunicações de software para software e projetos de transformação digital que podem se beneficiar da segurança aprimorada fornecida pelo Zero Trust. É importante trabalhar retroativamente em cada um dos casos de uso específicos que se aplicam à sua organização para determinar os padrões, ferramentas e abordagens ideais do Zero Trust que alcancem avanços significativos na segurança.

Aplique o Zero Trust em seus sistemas e dados de acordo com o valor deles

Você deve pensar nos conceitos de Zero Trust como aditivos aos seus controles de segurança existentes. Ao aplicar os conceitos de Zero Trust de acordo com o valor organizacional do sistema e dos dados que estão sendo protegidos, você pode garantir que os benefícios para sua empresa sejam proporcionais ao esforço.

História de cliente em destaque

Figma

O Figma é a plataforma de design para equipes que criam produtos juntas. Nascido na Web, o Figma ajuda as equipes a criar, compartilhar, testar e enviar designs melhores, do início ao fim.

“Proteger os designs e as ideias de nossos usuários é fundamental para a missão da Figma”, afirma Max Burkhardt, engenheiro de segurança da equipe.  “Usando atributos como o AWS Application Load Balancers com autenticação OIDC, Amazon Cognito e funções sem servidor do Lambda, a equipe de segurança da Figma conseguiu criar defesas de próxima geração para nossas ferramentas internas, economizando tempo e recursos. Conseguimos criar um modelo de segurança do Zero Trust robusto com o mínimo de código personalizado, o que tem sido um benefício para nossa confiabilidade.”


Princípios do Zero Trust em ação na AWS

Assinatura de solicitações de API da AWS

Todos os dias, cada cliente da AWS interage com confiança e segurança com a AWS, fazendo bilhões de chamadas de API da AWS em um conjunto diversificado de redes públicas e privadas. Cada uma dessas solicitações de API assinadas é autenticada e autorizada individualmente todas as vezes com taxas de mais de um bilhão de solicitações por segundo em todo o mundo. O uso da criptografia em nível de rede usando a Transport Layer Security (TLS) combinada com os poderosos recursos criptográficos do O processo de assinatura v4 da AWS protege essas solicitações sem levar em conta a confiabilidade da rede subjacente.

Interações entre serviços da AWS

Quando os serviços individuais da AWS precisam ligar uns para os outros, eles contam com os mesmos mecanismos de segurança que você usa como cliente. Por exemplo, o serviço Amazon EC2 Auto Scaling usa uma função vinculada ao serviço em sua conta para receber credenciais de curto prazo e chamar as APIs do Amazon Elastic Compute Cloud (Amazon EC2) em seu nome em resposta às necessidades de escalabilidade. Essas chamadas são autenticadas e autorizadas pelo AWS Identity and Access Management (IAM), assim como suas chamadas para os serviços da AWS. Controles robustos centrados na identidade formam a base do modelo de segurança entre os serviços da AWS.

Zero Trust para IoT

O AWS IoT fornece os componentes fundamentais do Zero Trust para um domínio de tecnologia em que mensagens de rede não autenticadas e não criptografadas pela Internet aberta eram anteriormente a norma. Todo o tráfego entre os dispositivos de IoT conectados e os serviços de IoT da AWS é enviado pelo Transport Layer Security (TLS) usando autenticação moderna de dispositivos, incluindo TLS mútuo baseado em certificado. Além disso, a AWS adicionou suporte à TLS na FreeRTOS, trazendo os principais componentes fundamentais do Zero Trust para toda uma classe de microcontroladores e sistemas incorporados.

Leia o blog »

Casos de uso

Comunicações de software para software

Quando dois componentes não precisam se comunicar, eles não deveriam poder se comunicar, mesmo quando residem no mesmo segmento da rede. Você pode fazer isso autorizando fluxos específicos entre os componentes. Ao eliminar vias de comunicação desnecessárias, você está aplicando os princípios do privilégio mínimo para proteger melhor os dados críticos. Dependendo da natureza dos sistemas, você pode estruturar essas arquiteturas por meio de conectividade simplificada e automatizada de serviço a serviço com autenticação e autorização incorporadas usando o Amazon VPC Lattice, microperímetros dinâmicos criados usando a , grupos de segurança, a assinatura de solicitações por meio do serviço Amazon API Gateway e mais. 

Mobilidade segura da força de trabalho

A força de trabalho moderna exige acesso às aplicações empresariais de qualquer lugar, sem comprometer a segurança. Você pode fazer isso com o Acesso Verificado pela AWS. Isso permite que você forneça acesso seguro a aplicações empresariais sem uma VPN. Conecte facilmente seu provedor de identidades (IdP) existente e o serviço de gerenciamento de dispositivos e use políticas de acesso para controlar rigorosamente o acesso às aplicações, oferecendo uma experiência de usuário perfeita e melhorando a postura de segurança. Você também pode fazer isso com serviços como a família Amazon WorkSpaces ou o Amazon AppStream 2.0, que transmitem aplicações como pixels criptografados para usuários remotos, mantendo os dados seguros no Amazon VPC e em qualquer rede privada conectada.

Projetos de transformação digital

Os projetos de transformação digital geralmente conectam sensores, controladores, processamento e insights baseados em nuvem, todos operando totalmente fora da rede corporativa tradicional. Para manter sua infraestrutura de IoT crítica protegida, a família de AWS IoT pode fornecer segurança de ponta a ponta em redes abertas, com autenticação e autorização de dispositivos oferecidas como atributos padrão.

Saiba mais sobre o AWS Identity

Gerencie com segurança o acesso a workloads e aplicações

Leia mais 
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Comece a criar no console

Comece a criar no Console de Gerenciamento da AWS.

Fazer login