Нулевое доверие в AWS
Совершенствование модели безопасности с помощью подхода нулевого доверия
Что такое нулевое доверие в AWS?
Нулевое доверие – это модель безопасности, основанная на идее, что доступ к данным не должен основываться только на местоположении в сети. Такая модель требует от пользователей и систем достаточного подтверждения личности и надежности, а также применения подробных правил авторизации на основе идентификационных данных, прежде чем они смогут получить доступ к приложениям, данным и другим системам. Благодаря подходу нулевого доверия такие лица часто работают в очень гибких сетях с поддержкой идентификационных данных, которые еще больше сокращают уязвимые области, устраняют ненужные каналы доступа к данным и внедряют простые внешние защитные ограничения.
Переход к модели безопасности, основанной на нулевом доверии, начинается с оценки портфеля рабочих нагрузок и определения областей, где повышенная гибкость и безопасность, основанная на нулевом доверии, дадут наибольшие преимущества. Затем вы примените концепции нулевого доверия, переосмыслив идентификацию, аутентификацию и другие контекстные показатели, такие как состояние и работоспособность устройства, чтобы реально и существенно улучшить безопасность по сравнению с существующим состоянием. Чтобы помочь вам в этом, ряд сервисов AWS для идентификации и сетей предоставляет базовые компоненты нулевого доверия в качестве стандартных функций, которые можно применять как к новым, так и к существующим рабочим нагрузкам.
Актуальные ресурсы
Электронная книга «Принцип нулевого доверия: прокладываем путь к усиленной безопасности»
По мере эволюции организаций и увеличения рисков кибербезопасности модели защиты должны постоянно развиваться. Узнайте больше о принципе нулевого доверия и о том, как можно создать многоуровневую стратегию безопасности, адаптируемую к современной среде.
Видео «Пути к нулевому доверию в AWS» (41:27)
Посмотрите семинар о лидерстве re:Inforce 2023 с Джесс Шмайдой, генеральным директором AWS по брандмауэрам и сетевым брандмауэрам, и Квинтом Ван Деманом, директором отделения по информационной безопасности, и узнайте, как клиенты могут использовать новейшие возможности AWS для внедрения модели безопасности, основанной на нулевом доверии.
Блог «Архитектура нулевого доверия: взгляд AWS»
Ознакомьтесь с руководящими принципами AWS по нулевому доверию, изучите распространенные примеры использования и узнайте, как сервисы AWS могут помочь вам создать архитектуру нулевого доверия уже сегодня.
Видео «Переход к нулевому доверию с помощью сети приложений AWS» (58:55)
Посмотрите это видео, чтобы узнать о сетевых сервисах для приложений AWS, позволяющих создать модель безопасности, которая обеспечивает доверие за счет непрерывной аутентификации и мониторинга доступа.
Руководящие принципы построения нулевого доверия на AWS
По возможности используйте идентификационные и сетевые возможности совместно
Средства управления идентификацией и сетью в AWS часто могут дополнять и расширять возможности друг друга, помогая вам достичь конкретных целей безопасности. Средства управления, ориентированные на идентификацию, позволяют создать надежные, гибкие и детализированные средства контроля доступа. Управление, ориентированное на сеть, позволяет легко определить понятные периметры, в пределах которых могут работать элементы управления, ориентированные на идентификацию. В идеале эти средства управления должны учитывать и дополнять друг друга.
Исходите из конкретных случаев использования
Улучшенную безопасность, обеспечиваемую принципом нулевого доверия, можно применять в ряде распространенных вариантов использования, таких как мобильность рабочих ресурсов, обмен программными средствами и проекты цифровой трансформации. Чтобы определить оптимальные модели, инструменты и подходы нулевого доверия, которые значительно повысят безопасность, важно учитывать каждый конкретный сценарий использования, применимый к вашей организации.
Применяйте принцип нулевого доверия к своим системам и данным в соответствии с их ценностью
Концепции нулевого доверия следует рассматривать как дополнение к существующим средствам безопасности. Применяя концепции нулевого доверия в соответствии с организационной ценностью системы и защищаемых данных, вы можете быть уверены, что преимущества для вашего бизнеса будут соответствовать затраченным усилиям.
Избранная история клиента
Figma — это платформа проектирования для команд, создающих продукты совместно. Рожденная в Сети компания Figma помогает командам создавать, публиковать, тестировать и выпускать лучшие проекты от начала до конца.
«Защита проектов и идей наших пользователей имеет первостепенное значение для миссии Figma», — говорит Макс Буркхардт, инженер по безопасности персонала. «Используя такие функции, как Балансировщик нагрузки приложений AWS с аутентификацией OIDC, Amazon Cognito и бессерверные функции Lambda, команда безопасности Figma смогла создать средства защиты нового поколения для наших внутренних инструментов, сэкономив при этом время и ресурсы. Нам удалось создать мощную модель безопасности, основанную на принципе нулевого доверия, с минимальными усилиями по написанию кода — это значительно повысило надежность».
Принципы нулевого доверия в AWS
Подпись запросов API AWS
Каждый день клиенты AWS уверенно и безопасно взаимодействуют с AWS, совершая миллиарды вызовов API AWS в различных публичных и частных сетях. Каждый из этих API-запросов всегда проходит индивидуальную аутентификацию и авторизацию со скоростью более миллиарда запросов в секунду по всему миру. Использование шифрования на уровне сети с применением (протокол TLS) в сочетании с мощными криптографическими возможностями обеспечивает защиту этих запросов независимо от надежности базовой сети.
Взаимодействие сервисов AWS с другими сервисами
Когда отдельным сервисам AWS приходится вызывать друг друга, они используют те же механизмы безопасности, которые вы используете как клиент. Например, сервис автоматического масштабирования Amazon EC2 использует в вашем аккаунте связанную с сервисом роль для получения краткосрочных учетных данных и вызова API Эластичного облака вычислений Amazon (Amazon EC2) от вашего имени в ответ на потребности в масштабировании. Аутентификация и авторизация этих вызовов выполняется сервисом управления идентификацией и доступом AWS (IAM) — так же, как и ваших вызовов сервисов AWS. Надежные средства управления, ориентированные на идентификацию, составляют основу модели безопасности взаимодействия сервисов AWS.
Нулевое доверие для Интернета вещей
AWS IoT предоставляет базовые компоненты нулевого доверия в технологической отрасли, где ранее обмен неаутентифицированными и незашифрованными сетевыми сообщениями через открытый Интернет был нормой. Весь трафик между подключенными устройствами IoT и сервисами AWS IoT передается по протоколу безопасности транспортного уровня (TLS) с использованием современной аутентификации устройств, включая взаимный TLS на основе сертификатов. Кроме того, в AWS добавили поддержку TLS для FreeRTOS, благодаря чему ключевые базовые компоненты нулевого доверия стали доступны целому классу микроконтроллеров и встроенных систем.
Примеры использования
Обмен данными между программами
Когда двум компонентам не нужно взаимодействовать, они не должны иметь такой возможности, даже находясь в одном сегменте сети. Это можно сделать, авторизуя конкретные потоки данных между компонентами. Устраняя ненужные каналы связи, вы применяете принципы наименьших привилегий для лучшей защиты критически важных данных. В зависимости от характера систем можно создавать такие архитектуры с помощью упрощенного и автоматизированного соединения между сервисами со встроенной аутентификацией и авторизацией, используя Amazon VPC Lattice, динамические микропериметры, построенные с использованием групп безопасности подписи запросов через API шлюз Amazon и т. д.
Безопасная мобильность сотрудников
Современным сотрудникам необходим доступ к бизнес-приложениям из любой точки мира без ущерба для безопасности. Проверенный доступ AWS обеспечивает безопасный доступ к корпоративным приложениям без VPN. Легко подключайте существующего поставщика идентификации (IdP) к службе управления устройствами и используйте политики доступа для строгого контроля доступа к приложениям, обеспечивая при этом удобство работы пользователей и повышая уровень безопасности. Это также можно сделать с помощью таких сервисов, как семейство Amazon WorkSpaces или Amazon AppStream 2.0, которые передают приложения удаленным пользователям в виде зашифрованных пикселей, надежно сохраняя данные в Amazon VPC и любых подключенных частных сетях.
Проекты цифровой трансформации
Проекты цифровой трансформации часто объединяют датчики, контроллеры, облачную обработку и аналитику, и все они работают полностью за пределами традиционной корпоративной сети. Для защиты критически важной инфраструктуры IoT существует семейство сервисов AWS IoT, обеспечивающих комплексную безопасность в открытых сетях, а аутентификация и авторизация устройств предлагаются в качестве стандартных функций.
Безопасное управление доступом к рабочим нагрузкам и приложениям
Получите мгновенный доступ к уровню бесплатного пользования AWS.
