Zero Trust trên AWS
Nâng cao mô hình bảo mật của bạn với phương pháp Zero Trust
Zero Trust trên AWS là gì?
Zero Trust là một mô hình bảo mật tập trung vào ý tưởng rằng việc truy cập dữ liệu không nên chỉ được thực hiện dựa trên vị trí mạng. Mô hình này yêu cầu người dùng và hệ thống phải chứng minh chắc chắn danh tính và độ tin cậy của mình, đồng thời thực hiện các quy tắc ủy quyền dựa trên danh tính chi tiết trước khi cho phép họ truy cập các ứng dụng, dữ liệu và các hệ thống khác. Với Zero Trust, các danh tính này thường hoạt động trong các mạng nhận thức danh tính có độ linh hoạt cao giúp giảm khu vực tiếp xúc, loại bỏ các đường dẫn không cần thiết đến dữ liệu và cung cấp các quy tắc bảo vệ an ninh bên ngoài đơn giản.
Việc chuyển sang mô hình bảo mật Zero Trust bắt đầu bằng việc đánh giá danh mục khối lượng công việc của bạn và xác định điểm mà tính linh hoạt và bảo mật nâng cao của Zero Trust có thể mang lại lợi ích lớn nhất. Sau đó, bạn sẽ áp dụng các khái niệm Zero Trust - xem xét lại chỉ báo danh tính, xác thực và các chỉ báo ngữ cảnh khác như trạng thái và tình trạng của thiết bị - để thực hiện các cải tiến bảo mật thực tế và có ý nghĩa so với hiện trạng. Để giúp bạn trên hành trình này, một số dịch vụ kết nối mạng và nhận dạng của AWS cung cấp các khối dựng Zero Trust cốt lõi như các tính năng tiêu chuẩn có thể được áp dụng cho cả khối lượng công việc mới và hiện có.
Tài nguyên nổi bật
Sách điện tử - Zero Trust: Vạch ra lộ trình dẫn đến bảo mật chắc chắn hơn
Khi các tổ chức và rủi ro mạng phát triển, các mô hình bảo mật cần phải theo kịp nhịp độ đó. Tìm hiểu thêm về Zero Trust và cách bạn có thể sử dụng sản phẩm này để xây dựng chiến lược bảo mật nhiều lớp thích ứng với môi trường hiện đại.
Video - Hành trình đến với Zero Trust trên AWS (41:27)
Xem phiên re:Inforce 2023 dành cho lãnh đạo này với Jess Szmajda, Tổng Giám đốc, Quản lý Tường lửa và Tường lửa mạng của AWS và Quint Van Deman, Giám đốc, Văn phòng CISO, để tìm hiểu cách khách hàng có thể sử dụng các khả năng mới nhất của AWS để triển khai mô hình bảo mật Zero Trust.
Blog - Kiến trúc Zero Trust: Quan điểm của AWS
Đọc về các nguyên tắc hướng dẫn của AWS đối với Zero Trust, khám phá các trường hợp sử dụng phổ biến và tìm hiểu cách các dịch vụ AWS có thể giúp bạn xây dựng kiến trúc Zero Trust ngay hôm nay.
Video - Có được Zero Trust thông qua kết nối mạng ứng dụng của AWS (58:55)
Xem video này để tìm hiểu về các dịch vụ kết nối mạng ứng dụng của AWS mà cho phép bạn lập mô hình bảo mật tạo dựng niềm tin bằng cách liên tục xác thực và giám sát quyền truy cập.
Nguyên tắc hướng dẫn để xây dựng Zero Trust trên AWS
Nếu có thể, hãy sử dụng kết hợp khả năng nhận dạng và mạng
Các biện pháp kiểm soát danh tính và mạng trong AWS đôi khi có thể bổ sung và tăng cường lẫn nhau để giúp bạn hoàn thành các mục tiêu bảo mật cụ thể của mình. Các biện pháp kiểm soát tập trung vào danh tính cung cấp các biện pháp kiểm soát quyền truy cập rất chắc chắn, linh hoạt và chi tiết. Các biện pháp kiểm soát tập trung vào mạng cho phép bạn dễ dàng thiết lập các vành đai được xác định rõ mà trong đó các biện pháp kiểm soát tập trung vào danh tính có thể hoạt động. Lý tưởng nhất là các biện pháp kiểm soát này cần nhận biết và tăng cường lẫn nhau.
Thực hiện ngược lại từ các trường hợp sử dụng cụ thể của bạn
Có một số trường hợp sử dụng phổ biến, chẳng hạn như di động nguồn lực, giao tiếp giữa các phần mềm và các dự án chuyển đổi kỹ thuật số có thể hưởng lợi từ bảo mật nâng cao do Zero Trust cung cấp. Điều quan trọng là phải thực hiện ngược lại từng trường hợp sử dụng cụ thể áp dụng cho tổ chức của bạn để xác định các mẫu, công cụ và phương pháp Zero Trust tối ưu để đạt được những tiến bộ bảo mật thiết thực.
Áp dụng Zero Trust cho hệ thống và dữ liệu của bạn theo các giá trị tương ứng
Bạn nên coi các khái niệm Zero Trust như một phần bổ sung cho các biện pháp kiểm soát bảo mật hiện có. Bằng cách áp dụng các khái niệm Zero Trust phù hợp với giá trị tổ chức của hệ thống và dữ liệu đang được bảo vệ, bạn có thể đảm bảo lợi ích cho doanh nghiệp của mình tương xứng với nỗ lực.
Câu chuyện của khách hàng tiêu biểu
Avalon Healthcare Solutions (Avalon) là nhà cung cấp thông tin chuyên sâu từ phòng thực hành nhằm cung cấp cho người dùng quyền truy cập bảo mật và thuận tiện vào các báo cáo kinh doanh và dữ liệu sức khỏe thông qua trình duyệt web mà không cần VPN. Được thành lập vào năm 2013, Avalon đã sử dụng khung Zero Trust trên Amazon Web Services (AWS) dành cho các ứng dụng của công ty ngay từ đầu.
Eric Ellis, Trợ lý Phó chủ tịch Công nghệ đám mây doanh nghiệp tại Avalon Healthcare Solutions cho biết: "Một trong những mục tiêu kỹ thuật chính của chúng tôi là tối ưu hóa trải nghiệm người dùng trong khi vẫn kiên định duy trì các nguyên tắc zero-trust. Khi các yêu cầu kinh doanh mới xuất hiện, chúng tôi cảm thấy buộc phải đặt các ứng dụng của công ty mình ở biên mạng. Với Truy cập được xác minh AWS, các kỹ sư Bảo mật và Kỹ thuật của chúng tôi đã có thể cung cấp quyền truy cập dựa trên zero-trust vào các ứng dụng của công ty chỉ trong vài phút mà không cần sử dụng VPN. Truy cập được xác minh cho phép chúng tôi giải quyết thách thức cốt yếu là sắp xếp việc cung cấp dịch vụ thiết yếu với việc nâng cao trải nghiệm người dùng, tất cả đều không gây ảnh hưởng đến các chính sách zero-trust nghiêm ngặt của mình."
Tìm hiểu thêm về cách Avalon Healthcare Solutions nâng cao bảo mật bằng Truy cập được xác minh AWS
Neo Financial là một công ty Canada đi đầu về công nghệ, cung cấp các dịch vụ có giá trị cao như thẻ tín dụng không có phí thường niên, hoàn tiền không giới hạn và giới hạn tín dụng linh hoạt. Neo Financial muốn chuyển sang một mô hình bảo mật cấp quyền truy cập vào tài nguyên dựa trên thông tin chứng thực của người dùng thay cho kết nối mạng.
Bằng cách sử dụng Trình duyệt bảo mật Amazon WorkSpaces, Neo Financial đang thúc đẩy sáng kiến Zero Trust của mình bằng cách cấp cho người dùng quyền truy cập vào các tài nguyên dựa trên thông tin chứng thực cụ thể của người dùng thay vì dựa vào truy cập mạng. Eric Zaporzan, Giám đốc cơ sở hạ tầng tại Neo Financial cho biết: "Khi sử dụng Trình duyệt bảo mật Amazon WorkSpaces, chúng tôi cần quản lý ít máy chủ hơn và có thể sử dụng tính năng đăng nhập đơn để quản lý quá trình xác thực trên toàn bộ doanh nghiệp, giúp chúng tôi đạt được mục tiêu Zero Trust của mình. Tất cả những yếu tố đó giúp đơn giản hóa quá trình kiểm tra Tiêu chuẩn bảo mật dữ liệu Ngành thẻ thanh toán (PCI DSS) cùng các biện pháp tuân thủ khác."
Tìm hiểu thêm về cách Neo Financial triển khai quyền truy cập Zero Trust bằng Trình duyệt bảo mật Amazon WorkSpaces
Nguyên tắc Zero Trust hoạt động trong AWS
Ký các yêu cầu API AWS
Mỗi ngày, mỗi khách hàng AWS tương tác một cách tự tin và an toàn với AWS, thực hiện hàng tỷ lệnh gọi API AWS qua một tập hợp đa dạng các mạng công cộng và riêng tư. Từng yêu cầu API đã ký trong số này được xác thực và cấp quyền riêng lẻ mỗi lần với tốc độ hơn một tỷ yêu cầu mỗi giây trên toàn cầu. Việc sử dụng mã hóa cấp mạng thông qua (TLS) kết hợp với các khả năng mật mã hiệu quả của quy trình ký bằng Chữ ký phiên bản 4 của AWS bảo mật những yêu cầu này, bất kể độ tin cậy của mạng cơ bản.
Tương tác giữa các dịch vụ của AWS
Khi cần gọi cho nhau, từng dịch vụ riêng lẻ của AWS dựa vào chính các cơ chế bảo mật mà bạn sử dụng với tư cách là khách hàng. Ví dụ: Dịch vụ Tự động điều chỉnh quy mô Amazon EC2 sử dụng vai trò được liên kết với dịch vụ trong tài khoản của bạn để nhận thông tin chứng thực ngắn hạn và thay mặt bạn gọi API Đám mây điện toán linh hoạt của Amazon (Amazon EC2) để đáp ứng nhu cầu điều chỉnh quy mô. Các cuộc gọi này được xác thực và ủy quyền bởi Quản lý danh tính và truy cập (IAM) trong AWS, giống như các cuộc gọi của bạn đến các dịch vụ của AWS. Các biện pháp kiểm soát chắc chắn tập trung vào danh tính tạo thành cơ sở của mô hình bảo mật giữa các dịch vụ của AWS.
Zero Trust dành cho IoT
AWS IoT cung cấp các thành phần cơ bản của Zero Trust cho một miền công nghệ mà theo tiêu chuẩn trước đây, việc nhắn tin qua mạng không được xác thực, không được mã hóa qua Internet mở. Tất cả lưu lượng giữa các thiết bị IoT được kết nối của bạn và các dịch vụ AWS IoT được gửi qua Bảo mật lớp truyền tải (TLS) bằng cách sử dụng xác thực thiết bị hiện đại, bao gồm cả TLS chung dựa trên chứng chỉ. Ngoài ra, AWS đã bổ sung hỗ trợ TLS cho FreeRTOS, cung cấp các thành phần cơ bản chính của Zero Trust cho toàn bộ lớp bộ vi điều khiển và hệ thống nhúng.
Trường hợp sử dụng
Giao tiếp giữa các phần mềm
Khi không cần thiết thì hai thành phần không nên có khả năng giao tiếp với nhau, ngay cả khi đặt trong cùng một phân đoạn mạng. Bạn có thể thực hiện việc này bằng cách cho phép các luồng cụ thể giữa các thành phần. Khi loại bỏ các đường giao tiếp không cần thiết, bạn sẽ áp dụng các nguyên tắc đặc quyền tối thiểu để bảo vệ các dữ liệu quan trọng một cách hiệu quả hơn. Tùy thuộc vào tính chất của hệ thống, bạn có thể cấu trúc các kiến trúc này thông qua kết nối đơn giản hóa và tự động hóa giữa các dịch vụ với xác thực và ủy quyền nhúng thông qua Amazon VPC Lattice, tường lửa dựa trên máy chủ động được xây dựng bằng Nhóm bảo mật, ký yêu cầu thông qua Cổng API Amazon, v.v.
Di chuyển nguồn lực an toàn
Nguồn lực hiện đại yêu cầu quyền truy cập các ứng dụng kinh doanh của họ từ bất cứ đâu mà không làm suy giảm độ bảo mật. Bạn có thể thực hiện việc này với dịch vụ Truy cập được xác minh AWS. Dịch vụ này cho phép bạn cung cấp quyền truy cập bảo mật vào các ứng dụng dành cho doanh nghiệp mà không cần VPN. Dễ dàng kết nối nhà cung cấp danh tính (IdP) và dịch vụ quản lý thiết bị hiện tại của bạn và sử dụng các chính sách truy cập để kiểm soát chặt chẽ quyền truy cập ứng dụng, đồng thời mang lại trải nghiệm liền mạch cho người dùng và cải thiện khả năng bảo mật. Bạn cũng có thể thực hiện được việc này với các dịch vụ như Hệ thống Amazon WorkSpaces hoặc Amazon AppStream 2.0. Các dịch vụ này phát các ứng dụng dưới dạng pixel được mã hóa đến người dùng từ xa trong khi vẫn bảo đảm dữ liệu an toàn trong Amazon VPC của bạn và bất kỳ mạng riêng tư nào được kết nối.
Các dự án chuyển đổi kỹ thuật số
Các dự án chuyển đổi kỹ thuật số thường kết nối các cảm biến, bộ điều khiển, cũng như thông tin chuyên sâu và hoạt động xử lý dựa trên đám mây, tất cả đều hoạt động hoàn toàn bên ngoài mạng doanh nghiệp truyền thống. Để đảm bảo cơ sở hạ tầng IoT thiết yếu của bạn được bảo vệ, hệ thống dịch vụ dịch vụ AWS IoT có thể cung cấp bảo mật đầu cuối trên các mạng mở, với tính năng xác thực và ủy quyền thiết bị được cung cấp như các tính năng tiêu chuẩn.