Нулевое доверие в AWS

Совершенствование вашей модели безопасности с использованием подхода с нулевым доверием

Что такое нулевое доверие в AWS?

«Нулевое доверие» – это модель безопасности, основанная на идее, что доступ к данным не может зависеть только от сетевого местоположения. Такая модель требует от пользователей и систем достаточного подтверждения личности и надежности, а также применения подробных правил авторизации на основе идентификационных данных, прежде чем они смогут получить доступ к приложениям, данным и другим системам. Подход нулевого доверия часто означает, что удостоверения личности применяются в очень гибких средах с поддержкой идентификации, что позволяет сократить уязвимые области, устранить ненужные каналы доступа и внедрить простые защитные ограничения. 

Создание архитектуры с нулевым доверием на AWS

Переход к модели безопасности на принципе нулевого доверия начинается с оценки портфеля рабочих нагрузок и определения областей, где повышенная гибкость и безопасность концепции нулевого доверия дадут наибольшие преимущества. Затем следует применить такие концепции нулевого доверия, как идентификация, аутентификация и сведения о контексте (например, о состоянии и работоспособности устройства), чтобы существенно улучшить безопасность по сравнению с существующим состоянием. Чтобы вам было проще, ряд сервисов AWS для идентификации и сетевого подключения предоставляет базовые компоненты нулевого доверия в качестве стандартных функций, которые можно применить как к новым, так и к существующим рабочим нагрузкам. 

Преимущества

Модель безопасности с нулевым доверием позволяет предоставить пользователям безопасный доступ к приложениям и ресурсам с использованием таких факторов доверия, как идентификация и состояние устройства.

Устраняя ненужные каналы связи, вы применяете принципы наименьших привилегий для лучшей защиты критически важных данных. 

Чтобы повысить уровень безопасности, примените принцип нулевого доверия, который позволяет ИТ-отделам принимать еще более детализированные, непрерывные и адаптивные решения по управлению доступом, в которых учитывается широкий спектр контекстов, включая идентификацию, устройство и поведение.

Ознакомьтесь с примерами использования

Когда двум компонентам не нужно взаимодействовать, они не должны иметь такой возможности, даже находясь в одном сегменте сети. Это можно сделать, авторизуя конкретные потоки данных между компонентами. В зависимости от характера систем можно создавать такие архитектуры с помощью упрощенного и автоматизированного соединения между сервисами со встроенной аутентификацией и авторизацией, используя Amazon VPC Lattice, динамические микропериметры, построенные с использованием Группы безопасности, подписи запросов через API шлюз Amazon и т. д. 

Современным сотрудникам необходим доступ к бизнес-приложениям из любой точки мира без ущерба для безопасности. Проверенный доступ AWS обеспечивает безопасный доступ к корпоративным приложениям без VPN. Легко подключайте существующего поставщика идентификации (IdP) к службе управления устройствами и используйте политики доступа для строгого контроля доступа к приложениям, обеспечивая при этом удобство работы пользователей и повышая уровень безопасности. Это также можно сделать с помощью таких сервисов, как семейство Amazon WorkSpaces или Amazon AppStream 2.0, которые передают удаленным пользователям приложения в формате зашифрованного потока пикселей, надежно сохраняя данные в Amazon VPC или в подключенных частных сетях.

Проекты цифровой трансформации часто объединяют датчики, контроллеры, облачную обработку и аналитику, и все они работают полностью за пределами традиционной корпоративной сети. Для защиты критически важной инфраструктуры IoT существует семейство Сервисы AWS IoT, которые обеспечивают комплексную безопасность в открытых сетях и поддерживают аутентификацию и авторизацию устройств в качестве стандартных функций.

Начните работу со смежными сервисами AWS

Ресурсы

Узнайте больше о нулевом доверии в AWS в публикациях блога, видеороликах, семинарах, публикациях «Что нового» и обучающих курсах.