Zero Trust บน AWS
พัฒนาโมเดลความปลอดภัยของคุณด้วยแนวทาง Zero Trust
Zero Trust บน AWS คืออะไร
Zero Trust เป็นโมเดลความปลอดภัยซึ่งมาจากแนวคิดที่ว่าการเข้าถึงข้อมูลไม่ควรจะขึ้นอยู่กับตำแหน่งที่ตั้งของเครือข่ายเท่านั้น แต่ต้องการให้ผู้ใช้และระบบพิสูจน์ตัวตนและความน่าเชื่อถือของข้อมูลในระดับสูง และบังคับใช้กฎการให้สิทธิ์อนุญาตตามข้อมูลระบุตัวตนโดยละเอียดก่อนที่จะอนุญาตให้เข้าถึงแอปพลิเคชัน ข้อมูล และระบบอื่นๆ เมื่อใช้ Zero Trust ข้อมูลระบุตัวตนเหล่านี้มักจะทํางานภายในเครือข่ายที่ตระหนักถึงข้อมูลระบุตัวตนที่มีความยืดหยุ่นสูง ซึ่งช่วยลดพื้นที่ผิว ขจัดเส้นทางที่ไม่จําเป็นไปยังข้อมูล และมอบกฎควบคุมระบบความปลอดภัยภายนอกที่ตรงไปตรงมา
การย้ายไปยังโมเดลความปลอดภัย Zero Trust เริ่มต้นด้วยการประเมินพอร์ตโฟลิโอเวิร์กโหลดของคุณ และพิจารณาว่าความยืดหยุ่นและความปลอดภัยที่เพิ่มขึ้นของ Zero Trust จะให้ประโยชน์สูงสุดกับที่ใด จากนั้นคุณจะใช้แนวคิด Zero Trust - พิจารณาข้อมูลระบุตัวตน การยืนยันตัวตน และตัวบ่งชี้บริบทอื่น ๆ ใหม่ เช่น สถานะอุปกรณ์และสุขภาพ - ในการปรับปรุงความปลอดภัยที่มีความหมายอย่างแท้จริงเหนือสถานะที่เป็นอยู่ เพื่อช่วยคุณในการกระบวนการนี้ บริการข้อมูลประจำตัวและบริการระบบเครือข่ายของ AWS จำนวนมากจะมอบองค์ประกอบของ Zero Trust เป็นคุณสมบัติมาตรฐานที่สามารถนำไปใช้กับทั้งเวิร์กโหลดใหม่และที่มีอยู่ได้
แหล่งข้อมูลแนะนำ
อีบุ๊ก - Zero Trust: กำหนดเส้นทางสู่ความปลอดภัยที่แข็งแกร่งยิ่งขึ้น
เมื่อองค์กรและความเสี่ยงทางไซเบอร์พัฒนาขึ้น โมเดลความปลอดภัยจึงจําเป็นต้องตามให้ทัน เรียนรู้เพิ่มเติมเกี่ยวกับ Zero Trust และวิธีใช้ในการสร้างกลยุทธ์การรักษาความปลอดภัยแบบหลายชั้นที่ปรับให้เข้ากับสภาพแวดล้อมที่ทันสมัย
วิดีโอ - เส้นทางสู่ Zero Trust บน AWS (41:27)
รับชมเซสชันความเป็นผู้นํา re:Inforce 2023 จาก Jess Szmajda ผู้จัดการทั่วไป AWS Network Firewall และ Firewall Manager และ Quint Van Deman ผู้อำนวยการสำนักงาน CISO เพื่อเรียนรู้ว่าลูกค้าจะนำความสามารถล่าสุดของ AWS ไปใช้กับโมเดลการรักษาความปลอดภัย Zero Trust ได้อย่างไร
บล็อก - สถาปัตยกรรม Zero Trust: AWS Perspective
อ่านเกี่ยวกับหลักการแนะนำของ AWS สําหรับ Zero Trust สํารวจกรณีการใช้งานทั่วไป และเรียนรู้ว่าบริการของ AWS สามารถช่วยคุณสร้างสถาปัตยกรรม Zero Trust ได้อย่างไรในวันนี้
วิดีโอ - ความสำเร็จในการใช้ Zero Trust ด้วยระบบเครือข่ายแอปพลิเคชันของ AWS (58:55)
รับชมวิดีโอนี้เพื่อเรียนรู้เกี่ยวกับบริการระบบเครือข่ายแอปพลิเคชันของ AWS ที่ช่วยให้คุณตั้งค่าโมเดลความปลอดภัยซึ่งสร้างความไว้วางใจโดยการติดตามตรวจสอบและการยืนยันตัวตนการเข้าถึงอย่างต่อเนื่อง
หลักการแนะนำสําหรับการสร้าง Zero Trust บน AWS
หากเป็นไปได้ ให้ใช้ข้อมูลระบุตัวตนและความสามารถของเครือข่ายร่วมกัน
การควบคุมข้อมูลระบุตัวตนและเครือข่ายใน AWS มักส่งเสริมซึ่งกันและกันเพื่อช่วยให้คุณบรรลุวัตถุประสงค์ด้านความปลอดภัยเฉพาะของคุณได้ การควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลาง มอบการควบคุมการเข้าถึงที่แข็งแกร่ง ยืดหยุ่น และละเอียดยิ่งขึ้น การควบคุมที่ใช้เครือข่ายเป็นศูนย์กลาง ช่วยให้คุณสร้างขอบเขตที่เข้าใจดีอย่างง่ายดายภายในที่ซึ่งการควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลางสามารถทํางานได้ ตามหลักการแล้วการควบคุมเหล่านี้ควรตระหนักรู้และส่งเสริมซึ่งกันและกัน
ทํางานโดยเริ่มจากกรณีการใช้งานเฉพาะของคุณ
มีกรณีการใช้งานทั่วไปมากมาย เช่น การโยกย้ายพนักงาน การสื่อสารระหว่างซอฟต์แวร์กับซอฟต์แวร์ และโปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัลซึ่งใช้ประโยชน์จากการรักษาความปลอดภัยที่สูงขึ้นโดย Zero Trust สิ่งสําคัญคือต้องทํางานโดยเริ่มจากแต่ละกรณีการใช้งานเฉพาะที่ใช้กับองค์กรของคุณเพื่อกําหนดรูปแบบ เครื่องมือ และแนวทาง Zero Trust ที่เหมาะสมที่สุดจนก่อให้เกิดความก้าวหน้าด้านความปลอดภัยที่มีความหมาย
ใช้ Zero Trust กับระบบและข้อมูลของคุณตามคุณค่าของระบบและข้อมูล
คุณควรพิจารณาเกี่ยวกับแนวคิด Zero Trust ว่าเป็นส่วนเสริมของการควบคุมความปลอดภัยที่มีอยู่ของคุณ โดยใช้แนวคิด Zero Trust ตามคุณค่าของระบบและข้อมูลขององค์กรที่ได้รับการคุ้มครอง ทำให้คุณมั่นได้ว่าประโยชน์ที่ธุรกิจของคุณได้รับจะสอดคล้องกับความพยายาม
เรื่องราวของลูกค้าคนสำคัญ
Figma เป็นแพลตฟอร์มการออกแบบสําหรับทีมที่สร้างผลิตภัณฑ์ร่วมกัน Figma เติบโตมาจากเว็บซึ่งช่วยให้ทีมสร้าง แชร์ ทดสอบ และจัดส่งดีไซน์ที่ดีขึ้นตั้งแต่ต้นจนจบ
"การปกป้องดีไซน์และแนวคิดของผู้ใช้เป็นสิ่งสําคัญอย่างมากต่อพันธกิจของ Figma" Max Burkhardt วิศวกรรักษาความปลอดภัยของพนักงานกล่าว "โดยใช้คุณสมบัติต่างๆ เช่น AWS Application Load Balancer ที่มีการยืนยันตัวตน OIDC, Amazon Cognito และฟังก์ชันแบบไม่ต้องใช้เซิร์ฟเวอร์ของ Lambda ทีมรักษาความปลอดภัยของ Figma สามารถสร้างการป้องกันอันล้ำสมัยสําหรับเครื่องมือภายในของเรา ในขณะที่ประหยัดเวลาและทรัพยากร เราสามารถสร้างโมเดลความปลอดภัย Zero Trust ที่แข็งแกร่งด้วยโค้ดแบบกําหนดเองที่น้อยที่สุด ซึ่งเป็นประโยชน์ต่อความเสถียรของเรา"
หลักการ Zero Trust สำหรับการทํางานภายใน AWS
การรับรองคําขอ AWS API
ในทุกวัน ลูกค้าของ AWS ทุกรายจะโต้ตอบกับ AWS อย่างมั่นใจและปลอดภัย ซึ่งมีการเรียกใช้ AWS API นับพันล้านครั้งผ่านชุดเครือข่ายสาธารณะและส่วนตัวมากมาย ทุกคําขอ API ที่รับรองเหล่านี้จะได้รับการยืนยันตัวตนและการให้สิทธิ์อนุญาตทีละคำขอทุกครั้งในอัตราหลายพันล้านคำขอต่อวินาทีทั่วโลก การใช้การเข้ารหัสระดับเครือข่ายโดยใช้ Transport Layer Security (TLS) รวมกับความสามารถในการเข้ารหัสที่มีประสิทธิภาพของกระบวนการรับรอง Signature Version 4 ของ AWS จะรักษาความปลอดภัยคำขอเหล่านี้โดยไม่คำนึงถึงความน่าเชื่อถือของเครือข่ายพื้นฐาน
การโต้ตอบระหว่างบริการกับบริการของ AWS
เมื่อแต่ละบริการของ AWS จําเป็นต้องเรียกใช้ซึ่งกันและกัน บริการดังกล่าวจะอาศัยกลไกความปลอดภัยเดียวกันกับที่คุณใช้ในฐานะลูกค้า ตัวอย่างเช่น บริการ Amazon EC2 Auto Scaling จะใช้บทบาทที่เชื่อมโยงกับบริการในบัญชีของคุณเพื่อรับข้อมูลประจำตัวระยะสั้นและเรียกใช้ Amazon Elastic Compute Cloud (Amazon EC2) API ในนามของคุณเพื่อตอบสนองความต้องการในการปรับขนาด การเรียกใช้เหล่านี้ได้รับการยืนยันตัวตนและการให้สิทธิ์อนุญาตจาก AWS Identity และ Access Management (IAM) เช่นเดียวกับที่คุณเรียกใช้บริการของ AWS การควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลางในระดับสูงเป็นพื้นฐานโมเดลความปลอดภัยระหว่างบริการของ AWS
Zero Trust สําหรับ IoT
AWS IoT มอบองค์ประกอบพื้นฐานของ Zero Trust ให้กับโดเมนเทคโนโลยีที่ซึ่งการส่งข้อความเครือข่ายที่ไม่ได้ยืนยันตัวตนและไม่ได้เข้ารหัสผ่านอินเทอร์เน็ตแบบเปิดก่อนหน้านี้ถือเป็นเรื่องปกติ การรับส่งข้อมูลทั้งหมดระหว่างอุปกรณ์ IoT ที่เชื่อมต่อของคุณกับบริการ AWS IoT จะถูกส่งผ่าน Transport Layer Security (TLS) โดยใช้การยืนยันตัวตนอุปกรณ์ที่ทันสมัย รวมถึง TLS ร่วมกันตามใบรับรอง นอกจากนี้ AWS ยังเพิ่มการรองรับ TLS ในFreeRTOS โดยนําองค์ประกอบพื้นฐานที่สําคัญของ Zero Trust ไปยังไมโครคอนโทรลเลอร์และระบบฝังในทุกคลาส
กรณีการใช้งาน
การสื่อสารระหว่างซอฟต์แวร์กับซอฟต์แวร์
เมื่อส่วนประกอบสองส่วนไม่จําเป็นต้องสื่อสารกัน ก็ไม่ควรต้องสื่อสาร แม้ว่าจะอยู่ในส่วนเครือข่ายเดียวกันก็ตาม คุณสามารถทําได้โดยให้สิทธิ์อนุญาตโฟลว์เฉพาะระหว่างส่วนประกอบ โดยกําจัดเส้นทางการสื่อสารที่ไม่จําเป็น คุณกำลังใช้หลักการการให้สิทธิ์เท่าที่จำเป็นเพื่อปกป้องข้อมูลที่สําคัญได้ดียิ่งขึ้น ขึ้นอยู่กับลักษณะของระบบ คุณสามารถสร้างสถาปัตยกรรมเหล่านี้ผ่านการเชื่อมต่อบริการกับบริการที่เรียบง่ายและเป็นอัตโนมัติพร้อมการยืนยันตัวตนและการให้สิทธิ์อนุญาตแบบฝังโดยใช้ Amazon VPC Lattice ขอบเขตระดับไมโครแบบไดนามิกที่สร้างขึ้นโดยใช้กลุ่มมาตรการรักษาความปลอดภัย ขอการรับรองผ่านเกตเวย์ของ Amazon APIและอื่นๆ อีกมากมาย
การโยกย้ายพนักงานอย่างปลอดภัย
พนักงานยุคใหม่ต้องการการเข้าถึงแอปพลิเคชันทางธุรกิจได้จากทุกที่โดยไม่กระทบต่อความปลอดภัย คุณสามารถทําได้โดยใช้การเข้าถึงที่ได้รับการยืนยันจาก AWS ซึ่งช่วยให้คุณมอบการเข้าถึงแอปพลิเคชันขององค์กรอย่างปลอดภัยโดยไม่ต้องใช้ VPN เชื่อมต่อผู้ให้บริการข้อมูลระบุตัวตน (IdP) กับบริการการจัดการอุปกรณ์ที่มีอยู่ของคุณได้อย่างง่ายดาย และใช้นโยบายการเข้าถึงเพื่อควบคุมการเข้าถึงแอปพลิเคชันอย่างเข้มงวด ในขณะที่มอบประสบการณ์การใช้งานที่ราบรื่นและปรับปรุงมาตรการรักษาความปลอดภัย คุคุณสามารถทําได้โดยใช้บริการ เช่น Amazon WorkSpaces Family หรือ Amazon AppStream 2.0 ซึ่งสตรีมแอปพลิเคชันเป็นพิกเซลที่เข้ารหัสไปยังผู้ใช้ระยะไกล ในขณะที่เก็บรักษาข้อมูลไว้อย่างปลอดภัยภายใน Amazon VPC และทุกเครือข่ายส่วนตัวที่เชื่อมต่อของคุณ
โปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัล
โปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัลมักเชื่อมต่อเซนเซอร์ ตัวควบคุม การประมวลผลและข้อมูลเชิงลึกบนระบบคลาวด์ ซึ่งทั้งหมดทํางานนอกเครือข่ายองค์กรแบบดั้งเดิม หากต้องการให้โครงสร้างพื้นฐาน IoT ที่สำคัญของคุณอยู่ในการคุ้มครอง กลุ่มบริการ AWS IoT จะมอบการรักษาความปลอดภัยตั้งแต่ต้นจนจบบนเครือข่ายแบบเปิด พร้อมการยืนยันตัวตนและการให้สิทธิ์อนุญาตอุปกรณ์ที่มีคุณสมบัติตามมาตรฐานเดียวกัน
