Zero Trust trên AWS
Nâng cao mô hình bảo mật của bạn với phương pháp Zero Trust
Zero Trust trên AWS là gì?
Zero Trust là một mô hình bảo mật tập trung vào ý tưởng rằng việc truy cập dữ liệu không nên chỉ được thực hiện dựa trên vị trí mạng. Mô hình này yêu cầu người dùng và hệ thống phải chứng minh chắc chắn danh tính và độ tin cậy của mình, đồng thời thực hiện các quy tắc ủy quyền dựa trên danh tính chi tiết trước khi cho phép họ truy cập các ứng dụng, dữ liệu và các hệ thống khác. Với Zero Trust, các danh tính này thường hoạt động trong các mạng nhận thức danh tính có độ linh hoạt cao giúp giảm khu vực tiếp xúc, loại bỏ các đường dẫn không cần thiết đến dữ liệu và cung cấp các quy tắc bảo vệ an ninh bên ngoài đơn giản.
Việc chuyển sang mô hình bảo mật Zero Trust bắt đầu bằng việc đánh giá danh mục khối lượng công việc của bạn và xác định điểm mà tính linh hoạt và bảo mật nâng cao của Zero Trust có thể mang lại lợi ích lớn nhất. Sau đó, bạn sẽ áp dụng các khái niệm Zero Trust - xem xét lại chỉ báo danh tính, xác thực và các chỉ báo ngữ cảnh khác như trạng thái và tình trạng của thiết bị - để thực hiện các cải tiến bảo mật thực tế và có ý nghĩa so với hiện trạng. Để giúp bạn trên hành trình này, một số dịch vụ kết nối mạng và nhận dạng của AWS cung cấp các khối dựng Zero Trust cốt lõi như các tính năng tiêu chuẩn có thể được áp dụng cho cả khối lượng công việc mới và hiện có.
Tài nguyên nổi bật
Sách điện tử - Zero Trust: Vạch ra lộ trình dẫn đến bảo mật chắc chắn hơn
Khi các tổ chức và rủi ro mạng phát triển, các mô hình bảo mật cần phải theo kịp nhịp độ đó. Tìm hiểu thêm về Zero Trust và cách bạn có thể sử dụng sản phẩm này để xây dựng chiến lược bảo mật nhiều lớp thích ứng với môi trường hiện đại.
Video - Hành trình đến với Zero Trust trên AWS (41:27)
Xem phiên re:Inforce 2023 dành cho lãnh đạo này với Jess Szmajda, Tổng Giám đốc, Quản lý Tường lửa và Tường lửa mạng của AWS và Quint Van Deman, Giám đốc, Văn phòng CISO, để tìm hiểu cách khách hàng có thể sử dụng các khả năng mới nhất của AWS để triển khai mô hình bảo mật Zero Trust.
Blog - Kiến trúc Zero Trust: Quan điểm của AWS
Đọc về các nguyên tắc hướng dẫn của AWS đối với Zero Trust, khám phá các trường hợp sử dụng phổ biến và tìm hiểu cách các dịch vụ AWS có thể giúp bạn xây dựng kiến trúc Zero Trust ngay hôm nay.
Video - Có được Zero Trust thông qua kết nối mạng ứng dụng của AWS (58:55)
Xem video này để tìm hiểu về các dịch vụ kết nối mạng ứng dụng của AWS mà cho phép bạn lập mô hình bảo mật tạo dựng niềm tin bằng cách liên tục xác thực và giám sát quyền truy cập.
Nguyên tắc hướng dẫn để xây dựng Zero Trust trên AWS
Nếu có thể, hãy sử dụng kết hợp khả năng nhận dạng và mạng
Các biện pháp kiểm soát danh tính và mạng trong AWS đôi khi có thể bổ sung và tăng cường lẫn nhau để giúp bạn hoàn thành các mục tiêu bảo mật cụ thể của mình. Các biện pháp kiểm soát tập trung vào danh tính cung cấp các biện pháp kiểm soát quyền truy cập rất chắc chắn, linh hoạt và chi tiết. Các biện pháp kiểm soát tập trung vào mạng cho phép bạn dễ dàng thiết lập các vành đai được xác định rõ mà trong đó các biện pháp kiểm soát tập trung vào danh tính có thể hoạt động. Lý tưởng nhất là các biện pháp kiểm soát này cần nhận biết và tăng cường lẫn nhau.
Thực hiện ngược lại từ các trường hợp sử dụng cụ thể của bạn
Có một số trường hợp sử dụng phổ biến, chẳng hạn như di động nguồn lực, giao tiếp giữa các phần mềm và các dự án chuyển đổi kỹ thuật số có thể hưởng lợi từ bảo mật nâng cao do Zero Trust cung cấp. Điều quan trọng là phải thực hiện ngược lại từng trường hợp sử dụng cụ thể áp dụng cho tổ chức của bạn để xác định các mẫu, công cụ và phương pháp Zero Trust tối ưu để đạt được những tiến bộ bảo mật thiết thực.
Áp dụng Zero Trust cho hệ thống và dữ liệu của bạn theo các giá trị tương ứng
Bạn nên coi các khái niệm Zero Trust như một phần bổ sung cho các biện pháp kiểm soát bảo mật hiện có. Bằng cách áp dụng các khái niệm Zero Trust phù hợp với giá trị tổ chức của hệ thống và dữ liệu đang được bảo vệ, bạn có thể đảm bảo lợi ích cho doanh nghiệp của mình tương xứng với nỗ lực.
Câu chuyện khách hàng tiêu biểu
Figma là nền tảng thiết kế cho các nhóm cùng xây dựng sản phẩm. Được tạo ra trên Web, Figma giúp các nhóm tạo, chia sẻ, thử nghiệm và đưa ra các thiết kế tốt hơn, từ khi bắt đầu đến lúc kết thúc.
Max Burkhardt, Kỹ sư Bảo mật cho Nhân viên chia sẻ: “Việc bảo vệ các thiết kế và ý tưởng của người dùng là điều tối quan trọng đối với sứ mệnh của Figma. Dựa vào các tính năng như Trình cân bằng tải ứng dụng của AWS với xác thực OIDC, Amazon Cognito và các hàm Lambda phi máy chủ, Nhóm Bảo mật của Figma đã có thể xây dựng các biện pháp phòng thủ thế hệ tiếp theo cho công cụ nội bộ của chúng tôi, đồng thời tiết kiệm được thời gian và tài nguyên. Chúng tôi đã có thể xây dựng một mô hình bảo mật zero-trust chắc chắn với mã tùy chỉnh tối thiểu, giúp cải thiện độ tin cậy của chúng tôi”.
Nguyên tắc Zero Trust hoạt động trong AWS
Ký các yêu cầu API AWS
Mỗi ngày, mỗi khách hàng AWS tương tác một cách tự tin và an toàn với AWS, thực hiện hàng tỷ lệnh gọi API AWS qua một tập hợp đa dạng các mạng công cộng và riêng tư. Từng yêu cầu API đã ký trong số này được xác thực và cấp quyền riêng lẻ mỗi lần với tốc độ hơn một tỷ yêu cầu mỗi giây trên toàn cầu. Việc sử dụng mã hóa cấp mạng thông qua (TLS) kết hợp với các khả năng mật mã hiệu quả của quy trình ký bằng Chữ ký phiên bản 4 của AWS bảo mật những yêu cầu này, bất kể độ tin cậy của mạng cơ bản.
Tương tác giữa các dịch vụ của AWS
Khi cần gọi cho nhau, từng dịch vụ riêng lẻ của AWS dựa vào chính các cơ chế bảo mật mà bạn sử dụng với tư cách là khách hàng. Ví dụ: Dịch vụ Tự động điều chỉnh quy mô Amazon EC2 sử dụng vai trò được liên kết với dịch vụ trong tài khoản của bạn để nhận thông tin chứng thực ngắn hạn và thay mặt bạn gọi API Đám mây điện toán linh hoạt của Amazon (Amazon EC2) để đáp ứng nhu cầu điều chỉnh quy mô. Các cuộc gọi này được xác thực và ủy quyền bởi Quản lý danh tính và truy cập (IAM) trong AWS, giống như các cuộc gọi của bạn đến các dịch vụ của AWS. Các biện pháp kiểm soát chắc chắn tập trung vào danh tính tạo thành cơ sở của mô hình bảo mật giữa các dịch vụ của AWS.
Zero Trust dành cho IoT
AWS IoT cung cấp các thành phần cơ bản của Zero Trust cho một miền công nghệ mà theo tiêu chuẩn trước đây, việc nhắn tin qua mạng không được xác thực, không được mã hóa qua Internet mở. Tất cả lưu lượng giữa các thiết bị IoT được kết nối của bạn và các dịch vụ AWS IoT được gửi qua Bảo mật lớp truyền tải (TLS) bằng cách sử dụng xác thực thiết bị hiện đại, bao gồm cả TLS chung dựa trên chứng chỉ. Ngoài ra, AWS đã bổ sung hỗ trợ TLS cho FreeRTOS, cung cấp các thành phần cơ bản chính của Zero Trust cho toàn bộ lớp bộ vi điều khiển và hệ thống nhúng.
Trường hợp sử dụng
Giao tiếp giữa các phần mềm
Khi không cần thiết thì hai thành phần không nên có khả năng giao tiếp với nhau, ngay cả khi đặt trong cùng một phân đoạn mạng. Bạn có thể thực hiện việc này bằng cách cho phép các luồng cụ thể giữa các thành phần. Khi loại bỏ các đường giao tiếp không cần thiết, bạn sẽ áp dụng các nguyên tắc đặc quyền tối thiểu để bảo vệ các dữ liệu quan trọng một cách hiệu quả hơn. Tùy thuộc vào tính chất của hệ thống, bạn có thể cấu trúc các kiến trúc này thông qua kết nối đơn giản hóa và tự động hóa giữa các dịch vụ với xác thực và ủy quyền nhúng thông qua Amazon VPC Lattice, tường lửa dựa trên máy chủ động được xây dựng bằng Nhóm bảo mật, ký yêu cầu thông qua Cổng API Amazon, v.v.
Di chuyển nguồn lực an toàn
Nguồn lực hiện đại yêu cầu quyền truy cập các ứng dụng kinh doanh của họ từ bất cứ đâu mà không làm suy giảm độ bảo mật. Bạn có thể thực hiện việc này với dịch vụ Truy cập được xác minh AWS. Dịch vụ này cho phép bạn cung cấp quyền truy cập bảo mật vào các ứng dụng dành cho doanh nghiệp mà không cần VPN. Dễ dàng kết nối nhà cung cấp danh tính (IdP) và dịch vụ quản lý thiết bị hiện tại của bạn và sử dụng các chính sách truy cập để kiểm soát chặt chẽ quyền truy cập ứng dụng, đồng thời mang lại trải nghiệm liền mạch cho người dùng và cải thiện khả năng bảo mật. Bạn cũng có thể thực hiện được việc này với các dịch vụ như Hệ thống Amazon WorkSpaces hoặc Amazon AppStream 2.0. Các dịch vụ này phát các ứng dụng dưới dạng pixel được mã hóa đến người dùng từ xa trong khi vẫn bảo đảm dữ liệu an toàn trong Amazon VPC của bạn và bất kỳ mạng riêng tư nào được kết nối.
Các dự án chuyển đổi kỹ thuật số
Các dự án chuyển đổi kỹ thuật số thường kết nối các cảm biến, bộ điều khiển, cũng như thông tin chuyên sâu và hoạt động xử lý dựa trên đám mây, tất cả đều hoạt động hoàn toàn bên ngoài mạng doanh nghiệp truyền thống. Để đảm bảo cơ sở hạ tầng IoT thiết yếu của bạn được bảo vệ, hệ thống dịch vụ dịch vụ AWS IoT có thể cung cấp bảo mật đầu cuối trên các mạng mở, với tính năng xác thực và ủy quyền thiết bị được cung cấp như các tính năng tiêu chuẩn.
