AWS 上的零信任

利用零信任方法提升您的安全模型

什麼是 AWS 上的零信任?

零信任是一種安全模型,注重資料存取不應僅基於網路位置的理念。它會要求使用者和系統有效證明其身分和可信度,並在允許他們存取應用程式,資料和其他系統之前,強制執行精細的身分型授權規則。透過零信任,這些身分通常會在高度彈性的身分感知網路中運作,而進一步縮小接觸面、消除資料的非必要途徑,並提供直接的外部安全防護機制。 

要轉移至零信任安全模型,首先應評估您的工作負載組合,並確認零信任增強的靈活性和安全性將在哪些地方提供最大的好處。然後,您將應用零信任概念 (重新思考身分、驗證和其他情境指標,例如裝置狀態和運作狀態),以就現狀實現實質而有意義的安全性改進。為協助您完成這個旅程,許多 AWS 身分和聯網服務提供核心零信任建構區塊來做為標準功能,這可套用至新的工作負載和現有工作負載。 

AWS 上的零信任:AWS 安全工程副總裁兼 CISO Steve Schmidt (11:12)
Amazon 第 1 天和球體建築

電子書 - 零信任:規劃加強安全性的路徑

隨著組織和網路風險的演變,安全性模型需要與時俱進。 進一步了解零信任,以及如何用它來建立適應現代環境的多層安全策略。

下載電子書 »

影片 - AWS 上的零信任之旅 (41:27)

觀看總經理兼 AWS Network Firewall & Firewall Manager Jess Szmajda 和 CISO 辦公室主任 Quint Van Deman 共同與會的 re:Inforce 2023 領導會議,了解客戶如何使用 AWS 的最新功能實作零信任安全模型。

觀看影片 »

部落格 - 零信任架構:AWS Perspective

部落格 - 零信任架構:AWS Perspective

閱讀 AWS 零信任的指導原則、探索常見使用案例,並了解 AWS 服務如何協助您立即建置零信任架構。

閱讀部落格 »

影片 - 透過 AWS 應用程式網路實現零信任 (58:55)

觀看此影片以了解 AWS 應用程式網路服務,這些服務可讓您設定透過持續驗證和監控存取來建立信任的安全模型。

觀看影片 »

建置 AWS 上的零信任的指導原則

情況允許時,請將身分和網路功能搭配使用

AWS 中的身分和網路控制通常可以相互補強,以協助您實現特定的安全目標。以身分為中心的控制提供非常強大、靈活且精細的存取控制。以網路為中心的控制項可讓您輕鬆建立充分認知的周邊,讓以身分為中心的控制在其中運作。理想情況下,這些控制彼此應可相互識別及互補。

從您的特定使用案例回溯運作

有許多常見的使用案例 (例如員工行動性、軟體對軟體通訊和數位轉型專案) 都可獲益於零信任提供的增強安全性。從適用於組織的每個特定使用案例回溯運作,以確認可實現實質性安全強化的最佳零信任模式、工具和方法。

根據系統和資料的價值為其套用零信任

您應將零信任概念視為現有安全控制的附加元素。根據受保護的系統和資料的組織價值套用零信任概念,可確保對您的業務效益與努力會成正比。

特色客戶案例

Figma

Figma 是共同建置產品的團隊適用的設計平台。Figma 產生自網路,可協助團隊建立、分享、測試和發佈更好的設計 — 從頭到尾全部包辦。

安全工程師 Max Burkhardt 表示:「保護用戶的設計和想法對於 Figma 的任務至關重要。  「使用具有 OIDC 驗證的 AWS Application Load Balancer、Amazon Cognito 和 Lambda 無伺服器功能等功能,Figma 安全團隊能夠為我們的內部工具建置下一代的防禦機制,同時節省時間和資源。我們能夠以最少的自訂程式碼建置強大的零信任安全模型,這對我們的可靠性也是一大好處。」

AWS 中適用的零信任原則

簽署 AWS API 請求

眾多 AWS 客戶每天都能自信安全地與 AWS 互動,透過各種公用和私人網路的組合進行數十億次的 AWS API 呼叫。這些已簽署的每個 API 請求每一次都會個別進行驗證和授權 (以全球每秒超過數百萬個請求的速率)。使用傳輸層安全性部落格文章 (TLS) 搭配 AWS Signature v4 簽署程序的強大加密功能,使用網路層級加密保護這些請求,而無須考量基礎網路的可信度。

AWS 服務對服務互動

個別 AWS 服務需要彼此呼叫時,將會依賴您以客戶身分使用的相同安全機制。例如,Amazon EC2 Auto Scaling 服務會使用您帳戶中的服務連結角色來接收短期認證,並代表您呼叫 Amazon Elastic Compute Cloud (Amazon EC2) API,以回應擴展需求。這些呼叫會由 AWS Identity and Access Management (IAM) 驗證和授權,就像您對 AWS 服務的呼叫一樣。以身分為中心的強大控制會構成 AWS 服務之間安全模型的基礎。

IoT 的零信任

AWS IoT 提供零信任的基本元件給一個技術領域,透過公開網際網路的未經驗證、未加密網路傳訊,是該領域先前的規範。您連線的 IoT 裝置與 AWS IoT 服務之間的所有流量都會透過 傳輸安全性 TLS (TLS),使用現代裝置驗證 (包括憑證型相互 TLS) 傳送。此外,AWS 為 FreeRTOS 新增了 TLS 支援,將零信任的關鍵基礎元件導入整個類別的微控制器和內嵌系統中。

閱讀部落格 »

使用案例

軟體對軟體通訊

當兩個元件不需要通訊時,就不應具備通訊能力,即使兩者位於同一個網路區段內亦然。您可以藉由為元件之間的特定流程授權來完成此操作。消除非必要的通訊路徑,就會套用最低權限原則以進一步保護關鍵資料。根據系統的性質,您可以使用 Amazon VPC Lattice,透過簡化、自動化的服務對服務連線,以內嵌驗證和授權構建這些架構,使用安全群組建置動態微型周邊、透過 Amazon API Gateway 要求簽署等等。 

安全的員工行動性

現代的員工需要在不影響安全性的情況下,從任何位置存取其業務應用程式。為此,您可以使用 AWS Verified Access。藉此,您無需 VPN 即可安全存取企業應用程式。輕鬆連接您現有的身分提供者 (IdP) 和裝置管理服務,並使用存取原則嚴格控制應用程式存取,同時提供順暢的使用者體驗並改善安全狀態。您也可以使用 Amazon WorkSpaces FamilyAmazon AppStream 2.0 等服務來達成此目標,這些服務會將應用程式以加密像素的形式串流至遠端使用者,同時將資料安全保存在 Amazon VPC 和任何連線的私人網路中

數位轉型專案

數位轉型專案通常會連接感應器、控制器和雲端式處理和洞察,且全部都在傳統企業網路以外運作。為了保護您的關鍵 IoT 基礎架構, AWS IoT 服務的系列可透過公開網路提供端對端安全性,並提供裝置驗證和授權作為標準功能。

進一步了解 AWS Identity

安全地管理工作負載和應用程式的存取

閱讀詳細內容 
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始在主控台進行建置

開始在 AWS 管理主控台進行建置。

登入