Zero Trust บน AWS
พัฒนาโมเดลความปลอดภัยของคุณด้วยแนวทาง Zero Trust
Zero Trust บน AWS คืออะไร
Zero Trust เป็นโมเดลความปลอดภัยซึ่งมาจากแนวคิดที่ว่าการเข้าถึงข้อมูลไม่ควรจะขึ้นอยู่กับตำแหน่งที่ตั้งของเครือข่ายเท่านั้น แต่ต้องการให้ผู้ใช้และระบบพิสูจน์ตัวตนและความน่าเชื่อถือของข้อมูลในระดับสูง และบังคับใช้กฎการให้สิทธิ์อนุญาตตามข้อมูลระบุตัวตนโดยละเอียดก่อนที่จะอนุญาตให้เข้าถึงแอปพลิเคชัน ข้อมูล และระบบอื่นๆ เมื่อใช้ Zero Trust ข้อมูลระบุตัวตนเหล่านี้มักจะทํางานภายในเครือข่ายที่ตระหนักถึงข้อมูลระบุตัวตนที่มีความยืดหยุ่นสูง ซึ่งช่วยลดพื้นที่ผิว ขจัดเส้นทางที่ไม่จําเป็นไปยังข้อมูล และมอบกฎควบคุมระบบความปลอดภัยภายนอกที่ตรงไปตรงมา
การย้ายไปยังโมเดลความปลอดภัย Zero Trust เริ่มต้นด้วยการประเมินพอร์ตโฟลิโอเวิร์กโหลดของคุณ และพิจารณาว่าความยืดหยุ่นและความปลอดภัยที่เพิ่มขึ้นของ Zero Trust จะให้ประโยชน์สูงสุดกับที่ใด จากนั้นคุณจะใช้แนวคิด Zero Trust - พิจารณาข้อมูลระบุตัวตน การยืนยันตัวตน และตัวบ่งชี้บริบทอื่น ๆ ใหม่ เช่น สถานะอุปกรณ์และสุขภาพ - ในการปรับปรุงความปลอดภัยที่มีความหมายอย่างแท้จริงเหนือสถานะที่เป็นอยู่ เพื่อช่วยคุณในการกระบวนการนี้ บริการข้อมูลประจำตัวและบริการระบบเครือข่ายของ AWS จำนวนมากจะมอบองค์ประกอบของ Zero Trust เป็นคุณสมบัติมาตรฐานที่สามารถนำไปใช้กับทั้งเวิร์กโหลดใหม่และที่มีอยู่ได้
แหล่งข้อมูลแนะนำ
อีบุ๊ก - Zero Trust: กำหนดเส้นทางสู่ความปลอดภัยที่แข็งแกร่งยิ่งขึ้น
เมื่อองค์กรและความเสี่ยงทางไซเบอร์พัฒนาขึ้น โมเดลความปลอดภัยจึงจําเป็นต้องตามให้ทัน เรียนรู้เพิ่มเติมเกี่ยวกับ Zero Trust และวิธีใช้ในการสร้างกลยุทธ์การรักษาความปลอดภัยแบบหลายชั้นที่ปรับให้เข้ากับสภาพแวดล้อมที่ทันสมัย
วิดีโอ - เส้นทางสู่ Zero Trust บน AWS (41:27)
รับชมเซสชันความเป็นผู้นํา re:Inforce 2023 จาก Jess Szmajda ผู้จัดการทั่วไป AWS Network Firewall และ Firewall Manager และ Quint Van Deman ผู้อำนวยการสำนักงาน CISO เพื่อเรียนรู้ว่าลูกค้าจะนำความสามารถล่าสุดของ AWS ไปใช้กับโมเดลการรักษาความปลอดภัย Zero Trust ได้อย่างไร
บล็อก - สถาปัตยกรรม Zero Trust: AWS Perspective
อ่านเกี่ยวกับหลักการแนะนำของ AWS สําหรับ Zero Trust สํารวจกรณีการใช้งานทั่วไป และเรียนรู้ว่าบริการของ AWS สามารถช่วยคุณสร้างสถาปัตยกรรม Zero Trust ได้อย่างไรในวันนี้
วิดีโอ - ความสำเร็จในการใช้ Zero Trust ด้วยระบบเครือข่ายแอปพลิเคชันของ AWS (58:55)
รับชมวิดีโอนี้เพื่อเรียนรู้เกี่ยวกับบริการระบบเครือข่ายแอปพลิเคชันของ AWS ที่ช่วยให้คุณตั้งค่าโมเดลความปลอดภัยซึ่งสร้างความไว้วางใจโดยการติดตามตรวจสอบและการยืนยันตัวตนการเข้าถึงอย่างต่อเนื่อง
หลักการแนะนำสําหรับการสร้าง Zero Trust บน AWS
หากเป็นไปได้ ให้ใช้ข้อมูลระบุตัวตนและความสามารถของเครือข่ายร่วมกัน
การควบคุมข้อมูลระบุตัวตนและเครือข่ายใน AWS มักส่งเสริมซึ่งกันและกันเพื่อช่วยให้คุณบรรลุวัตถุประสงค์ด้านความปลอดภัยเฉพาะของคุณได้ การควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลาง มอบการควบคุมการเข้าถึงที่แข็งแกร่ง ยืดหยุ่น และละเอียดยิ่งขึ้น การควบคุมที่ใช้เครือข่ายเป็นศูนย์กลาง ช่วยให้คุณสร้างขอบเขตที่เข้าใจดีอย่างง่ายดายภายในที่ซึ่งการควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลางสามารถทํางานได้ ตามหลักการแล้วการควบคุมเหล่านี้ควรตระหนักรู้และส่งเสริมซึ่งกันและกัน
ทํางานโดยเริ่มจากกรณีการใช้งานเฉพาะของคุณ
มีกรณีการใช้งานทั่วไปมากมาย เช่น การโยกย้ายพนักงาน การสื่อสารระหว่างซอฟต์แวร์กับซอฟต์แวร์ และโปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัลซึ่งใช้ประโยชน์จากการรักษาความปลอดภัยที่สูงขึ้นโดย Zero Trust สิ่งสําคัญคือต้องทํางานโดยเริ่มจากแต่ละกรณีการใช้งานเฉพาะที่ใช้กับองค์กรของคุณเพื่อกําหนดรูปแบบ เครื่องมือ และแนวทาง Zero Trust ที่เหมาะสมที่สุดจนก่อให้เกิดความก้าวหน้าด้านความปลอดภัยที่มีความหมาย
ใช้ Zero Trust กับระบบและข้อมูลของคุณตามคุณค่าของระบบและข้อมูล
คุณควรพิจารณาเกี่ยวกับแนวคิด Zero Trust ว่าเป็นส่วนเสริมของการควบคุมความปลอดภัยที่มีอยู่ของคุณ โดยใช้แนวคิด Zero Trust ตามคุณค่าของระบบและข้อมูลขององค์กรที่ได้รับการคุ้มครอง ทำให้คุณมั่นได้ว่าประโยชน์ที่ธุรกิจของคุณได้รับจะสอดคล้องกับความพยายาม
เรื่องราวของลูกค้าที่โดดเด่น
Avalon Healthcare Solutions (Avalon) ผู้ให้บริการข้อมูลแล็บเชิงลึก ที่ต้องการให้ผู้ใช้เข้าถึงรายงานทางธุรกิจและข้อมูลสุขภาพที่ปลอดภัยและสะดวกสบายผ่านเว็บเบราว์เซอร์โดยไม่มี VPN Avalon ก่อตั้งขึ้นในปี 2013 ได้ใช้เฟรมเวิร์ก Zero Trust บน Amazon Web Services (AWS) สำหรับแอปพลิเคชันองค์กรตั้งแต่เริ่มต้น
“หนึ่งในวัตถุประสงค์ทางเทคนิคหลักของเราคือการเพิ่มประสิทธิภาพประสบการณ์ของผู้ใช้ในขณะที่ปฏิบัติตามหลักการที่ไม่มีความไว้วางใจอย่างมั่นคง” Eric Ellis ผู้บริหาร AVP Enterprise Cloud Technology ที่ Avalon Healthcare Solutions กล่าว “เมื่อข้อกำหนดทางธุรกิจใหม่เกิดขึ้นเรารู้สึกถูกบังคับให้วางตำแหน่งแอปพลิเคชันขององค์กรของเราไว้ที่ขอบเขตของเครือข่าย ด้วย การเข้าถึงที่ได้รับการยืนยันจาก AWS วิศวกรด้านความปลอดภัยและเทคนิคของเราสามารถให้การเข้าถึงแอปพลิเคชันขององค์กรที่ไม่มีความไว้วางใจได้ในเวลาเพียงไม่กี่นาที โดยไม่ต้องใช้ VPN Verified Access ช่วยให้เราสามารถรับมือกับความท้าทายที่สำคัญของการจัดส่งบริการที่จำเป็นเข้ากับการปรับปรุงประสบการณ์ของผู้ใช้ ทั้งหมดนี้โดยไม่กระทบกับนโยบายที่ไม่มีความไว้วางใจอย่างเข้มงวดของเรา“
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ Avalon Healthcare Solutions เพิ่มความปลอดภัยโดยใช้ การเข้าถึงที่ได้รับการยืนยันจาก AWS
Neo Financial บริษัทแคนาดาที่เป็นผู้นำเทคโนโลยีที่ทันสมัย ให้บริการที่มีมูลค่าสูง เช่น บัตรเครดิตโดยไม่มีค่าธรรมเนียมรายปี เงินคืนไม่ จำกัด และวงเงินเครดิตที่ยืดหยุ่น Neo Financial ต้องการก้าวไปสู่รูปแบบความปลอดภัยที่ให้การเข้าถึงทรัพยากรตามข้อมูลประจำตัวของผู้ใช้ แทนที่จะเชื่อมต่อเครือข่าย
เมื่อใช้ Amazon WorkSpaces Secure Browser, Neo Financial กำลังพัฒนาความคิดริเริ่ม Zero Trust โดยให้ผู้ใช้เข้าถึงทรัพยากรตามข้อมูลประจำตัวของผู้ใช้แทนที่จะอาศัยการเข้าถึงเครือข่าย Eric Zaporzan ผู้อำนวยการฝ่ายโครงสร้างพื้นฐานของ Neo Financial กล่าวว่า "การใช้ Amazon WorkSpaces Secure Browser ทำให้เราไม่ต้องจัดการเซิร์ฟเวอร์มากนัก และสามารถใช้การลงชื่อเข้าใช้ครั้งเดียวเพื่อจัดการการตรวจสอบสิทธิ์ทั่วทั้งธุรกิจของเรา ช่วยให้เราบรรลุเป้าหมาย Zero Trust ได้" “ปัจจัยทั้งหมดเหล่านี้ช่วยให้การตรวจสอบง่ายขึ้นสำหรับมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) และมาตรการปฏิบัติตามข้อกำหนดอื่น ๆ”
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ Neo Financial ใช้การเข้าถึง Zero Trust โดยใช้เบราว์เซอร์ที่ปลอดภัยของ Amazon WorkSpaces
หลักการ Zero Trust สำหรับการทํางานภายใน AWS
การรับรองคําขอ AWS API
ในทุกวัน ลูกค้าของ AWS ทุกรายจะโต้ตอบกับ AWS อย่างมั่นใจและปลอดภัย ซึ่งมีการเรียกใช้ AWS API นับพันล้านครั้งผ่านชุดเครือข่ายสาธารณะและส่วนตัวมากมาย ทุกคําขอ API ที่รับรองเหล่านี้จะได้รับการยืนยันตัวตนและการให้สิทธิ์อนุญาตทีละคำขอทุกครั้งในอัตราหลายพันล้านคำขอต่อวินาทีทั่วโลก การใช้การเข้ารหัสระดับเครือข่ายโดยใช้ Transport Layer Security (TLS) รวมกับความสามารถในการเข้ารหัสที่มีประสิทธิภาพของกระบวนการรับรอง Signature Version 4 ของ AWS จะรักษาความปลอดภัยคำขอเหล่านี้โดยไม่คำนึงถึงความน่าเชื่อถือของเครือข่ายพื้นฐาน
การโต้ตอบระหว่างบริการกับบริการของ AWS
เมื่อแต่ละบริการของ AWS จําเป็นต้องเรียกใช้ซึ่งกันและกัน บริการดังกล่าวจะอาศัยกลไกความปลอดภัยเดียวกันกับที่คุณใช้ในฐานะลูกค้า ตัวอย่างเช่น บริการ Amazon EC2 Auto Scaling จะใช้บทบาทที่เชื่อมโยงกับบริการในบัญชีของคุณเพื่อรับข้อมูลประจำตัวระยะสั้นและเรียกใช้ Amazon Elastic Compute Cloud (Amazon EC2) API ในนามของคุณเพื่อตอบสนองความต้องการในการปรับขนาด การเรียกใช้เหล่านี้ได้รับการยืนยันตัวตนและการให้สิทธิ์อนุญาตจาก AWS Identity และ Access Management (IAM) เช่นเดียวกับที่คุณเรียกใช้บริการของ AWS การควบคุมที่ใช้ข้อมูลระบุตัวตนเป็นศูนย์กลางในระดับสูงเป็นพื้นฐานโมเดลความปลอดภัยระหว่างบริการของ AWS
Zero Trust สําหรับ IoT
AWS IoT มอบองค์ประกอบพื้นฐานของ Zero Trust ให้กับโดเมนเทคโนโลยีที่ซึ่งการส่งข้อความเครือข่ายที่ไม่ได้ยืนยันตัวตนและไม่ได้เข้ารหัสผ่านอินเทอร์เน็ตแบบเปิดก่อนหน้านี้ถือเป็นเรื่องปกติ การรับส่งข้อมูลทั้งหมดระหว่างอุปกรณ์ IoT ที่เชื่อมต่อของคุณกับบริการ AWS IoT จะถูกส่งผ่าน Transport Layer Security (TLS) โดยใช้การยืนยันตัวตนอุปกรณ์ที่ทันสมัย รวมถึง TLS ร่วมกันตามใบรับรอง นอกจากนี้ AWS ยังเพิ่มการรองรับ TLS ในFreeRTOS โดยนําองค์ประกอบพื้นฐานที่สําคัญของ Zero Trust ไปยังไมโครคอนโทรลเลอร์และระบบฝังในทุกคลาส
กรณีการใช้งาน
การสื่อสารระหว่างซอฟต์แวร์กับซอฟต์แวร์
เมื่อส่วนประกอบสองส่วนไม่จําเป็นต้องสื่อสารกัน ก็ไม่ควรต้องสื่อสาร แม้ว่าจะอยู่ในส่วนเครือข่ายเดียวกันก็ตาม คุณสามารถทําได้โดยให้สิทธิ์อนุญาตโฟลว์เฉพาะระหว่างส่วนประกอบ โดยกําจัดเส้นทางการสื่อสารที่ไม่จําเป็น คุณกำลังใช้หลักการการให้สิทธิ์เท่าที่จำเป็นเพื่อปกป้องข้อมูลที่สําคัญได้ดียิ่งขึ้น ขึ้นอยู่กับลักษณะของระบบ คุณสามารถสร้างสถาปัตยกรรมเหล่านี้ผ่านการเชื่อมต่อบริการกับบริการที่เรียบง่ายและเป็นอัตโนมัติพร้อมการยืนยันตัวตนและการให้สิทธิ์อนุญาตแบบฝังโดยใช้ Amazon VPC Lattice ขอบเขตระดับไมโครแบบไดนามิกที่สร้างขึ้นโดยใช้กลุ่มมาตรการรักษาความปลอดภัย ขอการรับรองผ่านเกตเวย์ของ Amazon APIและอื่นๆ อีกมากมาย
การโยกย้ายพนักงานอย่างปลอดภัย
พนักงานยุคใหม่ต้องการการเข้าถึงแอปพลิเคชันทางธุรกิจได้จากทุกที่โดยไม่กระทบต่อความปลอดภัย คุณสามารถทําได้โดยใช้การเข้าถึงที่ได้รับการยืนยันจาก AWS ซึ่งช่วยให้คุณมอบการเข้าถึงแอปพลิเคชันขององค์กรอย่างปลอดภัยโดยไม่ต้องใช้ VPN เชื่อมต่อผู้ให้บริการข้อมูลระบุตัวตน (IdP) กับบริการการจัดการอุปกรณ์ที่มีอยู่ของคุณได้อย่างง่ายดาย และใช้นโยบายการเข้าถึงเพื่อควบคุมการเข้าถึงแอปพลิเคชันอย่างเข้มงวด ในขณะที่มอบประสบการณ์การใช้งานที่ราบรื่นและปรับปรุงมาตรการรักษาความปลอดภัย คุคุณสามารถทําได้โดยใช้บริการ เช่น Amazon WorkSpaces Family หรือ Amazon AppStream 2.0 ซึ่งสตรีมแอปพลิเคชันเป็นพิกเซลที่เข้ารหัสไปยังผู้ใช้ระยะไกล ในขณะที่เก็บรักษาข้อมูลไว้อย่างปลอดภัยภายใน Amazon VPC และทุกเครือข่ายส่วนตัวที่เชื่อมต่อของคุณ
โปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัล
โปรเจกต์การเปลี่ยนผ่านสู่ระบบดิจิทัลมักเชื่อมต่อเซนเซอร์ ตัวควบคุม การประมวลผลและข้อมูลเชิงลึกบนระบบคลาวด์ ซึ่งทั้งหมดทํางานนอกเครือข่ายองค์กรแบบดั้งเดิม หากต้องการให้โครงสร้างพื้นฐาน IoT ที่สำคัญของคุณอยู่ในการคุ้มครอง กลุ่มบริการ AWS IoT จะมอบการรักษาความปลอดภัยตั้งแต่ต้นจนจบบนเครือข่ายแบบเปิด พร้อมการยืนยันตัวตนและการให้สิทธิ์อนุญาตอุปกรณ์ที่มีคุณสมบัติตามมาตรฐานเดียวกัน
