Zero Trust na AWS
Aprimorar o modelo de segurança com uma abordagem Zero Trust
O que é o Zero Trust na AWS?
O Zero Trust é um modelo de segurança centrado na ideia de que o acesso aos dados não deve ser feito apenas com base na localização da rede. Isso exige que usuários e sistemas provem com firmeza suas identidades e confiabilidade, e impõe regras de autorização detalhadas com base em identidade antes de permitir que eles acessem as aplicações, os dados e outros sistemas. Com o Zero Trust, essas identidades geralmente operam em redes de reconhecimento de identidade altamente flexíveis que reduzem ainda mais a área de superfície, eliminam caminhos desnecessários para os dados e fornecem barreiras de proteção externas diretas.
A mudança para um modelo de segurança Zero Trust começa com a avaliação de seu portfólio de workloads e a determinação de onde a maior flexibilidade e segurança do Zero Trust proporcionariam os maiores benefícios. Em seguida, você aplicará os conceitos de Zero Trust — repensando identidade, autenticação e outros indicadores de contexto, como estado e integridade do dispositivo — para fazer melhorias de segurança reais e significativas em relação ao status quo. Para ajudar você nessa jornada, vários serviços de identidade e rede da AWS fornecem os principais elementos básicos do Zero Trust, como atributos padrão que podem ser aplicados a workloads novas e existentes.
Atributos em destaque
E-book - Zero Trust: preparar o terreno para uma segurança mais robusta
À medida que as organizações e os riscos cibernéticos evoluem, os modelos de segurança precisam acompanhar essa mudança. Saiba mais sobre o Zero Trust e como você pode usá-lo para criar uma estratégia de segurança em várias camadas que se adapte ao ambiente moderno.
Vídeo - Jornadas para o Zero Trust na AWS (41:27)
Assista a esta sessão de liderança do re:Inforce 2023 com Jess Szmajda, gerente geral, gerente de firewall e AWS Network Firewall, e Quint Van Deman, diretor e CISO, para saber como os clientes podem usar os recursos mais recentes da AWS para implementar um modelo de segurança Zero Trust.
Blog - Arquiteturas Zero Trust: uma perspectiva da AWS
Leia sobre os princípios orientadores da AWS para o Zero Trust, explore casos de uso comuns e saiba como os serviços da AWS podem ajudar você a criar sua arquitetura Zero Trust hoje.
Vídeo - Alcançar o Zero Trust com a rede de aplicações da AWS (58:55)
Assista a este vídeo para saber mais sobre os serviços de rede de aplicações da AWS que permitem configurar um modelo de segurança que estabelece confiança ao autenticar e monitorar continuamente o acesso.
Princípios orientadores para criar o Zero Trust na AWS
Sempre que possível, use recursos de identidade e rede juntos
Os controles de identidade e rede na AWS muitas vezes podem se complementar e aumentar mutuamente para ajudar você a atingir seus objetivos específicos de segurança. Os controles centrados na identidade oferecem controles de acesso muito fortes, flexíveis e refinados. Os controles centrados na rede permitem que você estabeleça facilmente perímetros bem entendidos dentro dos quais os controles centrados na identidade podem operar. O ideal é que esses controles estejam cientes e que se aprimorarem mutuamente.
Trabalhe de trás para frente nos seus casos de uso específicos
Há vários casos de uso comuns, como mobilidade da força de trabalho, comunicações de software para software e projetos de transformação digital que podem se beneficiar da segurança aprimorada fornecida pelo Zero Trust. É importante trabalhar retroativamente em cada um dos casos de uso específicos que se aplicam à sua organização para determinar os padrões, ferramentas e abordagens ideais do Zero Trust que alcancem avanços significativos na segurança.
Aplique o Zero Trust em seus sistemas e dados de acordo com o valor deles
Você deve pensar nos conceitos de Zero Trust como aditivos aos seus controles de segurança existentes. Ao aplicar os conceitos de Zero Trust de acordo com o valor organizacional do sistema e dos dados que estão sendo protegidos, você pode garantir que os benefícios para sua empresa sejam proporcionais ao esforço.
Histórias de clientes em destaque
A Avalon Healthcare Solutions (Avalon), fornecedora de informações laboratoriais, queria oferecer aos usuários acesso seguro e conveniente a relatórios comerciais e dados de saúde por meio de um navegador da Web, sem uma VPN. Fundada em 2013, a Avalon usou uma estrutura Zero Trust na Amazon Web Services (AWS) para suas aplicações corporativas desde o início.
“Um dos nossos principais objetivos técnicos é otimizar a experiência do usuário e, ao mesmo tempo, defender firmemente os princípios de confiança zero”, disse Eric Ellis, vice-presidente de tecnologia de nuvem empresarial da Avalon Healthcare Solutions. “Com o surgimento de novos requisitos de negócios, nos sentimos compelidos a posicionar nossas aplicações corporativas na borda da rede. Com o Acesso Verificado pela AWS, nossos engenheiros técnicos e de segurança conseguiram provisionar acesso baseado em confiança zero a aplicações corporativas em apenas alguns minutos, sem usar VPNs. O Acesso Verificado nos permitiu enfrentar o desafio crucial de alinhar a prestação de serviços essenciais com o aprimoramento da experiência do usuário, tudo sem comprometer nossas rígidas políticas de confiança zero.”
Saiba mais sobre como a Avalon Healthcare Solutions aprimorou a segurança usando o Acesso Verificado pela AWS
A Neo Financial, uma empresa canadense, está na vanguarda da tecnologia, oferecendo serviços altamente valiosos, como cartões de crédito sem taxas anuais, cashback ilimitado e limites de crédito flexíveis. A Neo Financial queria adotar um modelo de segurança que concedesse acesso a recursos com base nas credenciais do usuário, em vez de na conexão de rede.
Usando o Amazon WorkSpaces Secure Browser, a Neo Financial está promovendo sua iniciativa Zero Trust ao conceder aos usuários acesso a recursos com base em credenciais específicas do usuário, em vez de depender do acesso à rede. “Usando o Amazon WorkSpaces Secure Browser, temos menos servidores para gerenciar e podemos usar a autenticação única para gerenciar a autenticação em toda a nossa empresa, o que nos ajuda a atingir nossas metas de Zero Trust”, diz Eric Zaporzan, diretor de infraestrutura da Neo Financial. “Todos esses fatores ajudam a simplificar as auditorias do Payment Card Industry Data Security Standard (PCI DSS – Padrão de Segurança de Dados do Setor de Cartões de Pagamento) e de outras medidas de conformidade”.
Saiba mais sobre como a Neo Financial implementou o acesso Zero Trust usando o Amazon WorkSpaces Secure Browser
Princípios do Zero Trust em ação na AWS
Assinatura de solicitações de API da AWS
Todos os dias, cada cliente da AWS interage com confiança e segurança com a AWS, fazendo bilhões de chamadas de API da AWS em um conjunto diversificado de redes públicas e privadas. Cada uma dessas solicitações de API assinadas é autenticada e autorizada individualmente todas as vezes com taxas de mais de um bilhão de solicitações por segundo em todo o mundo. O uso da criptografia em nível de rede usando a Transport Layer Security (TLS) combinada com os poderosos recursos criptográficos do O processo de assinatura v4 da AWS protege essas solicitações sem levar em conta a confiabilidade da rede subjacente.
Interações entre serviços da AWS
Quando os serviços individuais da AWS precisam ligar uns para os outros, eles contam com os mesmos mecanismos de segurança que você usa como cliente. Por exemplo, o serviço Amazon EC2 Auto Scaling usa uma função vinculada ao serviço em sua conta para receber credenciais de curto prazo e chamar as APIs do Amazon Elastic Compute Cloud (Amazon EC2) em seu nome em resposta às necessidades de escalabilidade. Essas chamadas são autenticadas e autorizadas pelo AWS Identity and Access Management (IAM), assim como suas chamadas para os serviços da AWS. Controles robustos centrados na identidade formam a base do modelo de segurança entre os serviços da AWS.
Zero Trust para IoT
O AWS IoT fornece os componentes fundamentais do Zero Trust para um domínio de tecnologia em que mensagens de rede não autenticadas e não criptografadas pela Internet aberta eram anteriormente a norma. Todo o tráfego entre os dispositivos de IoT conectados e os serviços de IoT da AWS é enviado pelo Transport Layer Security (TLS) usando autenticação moderna de dispositivos, incluindo TLS mútuo baseado em certificado. Além disso, a AWS adicionou suporte à TLS na FreeRTOS, trazendo os principais componentes fundamentais do Zero Trust para toda uma classe de microcontroladores e sistemas incorporados.
Casos de uso
Comunicações de software para software
Quando dois componentes não precisam se comunicar, eles não deveriam poder se comunicar, mesmo quando residem no mesmo segmento da rede. Você pode fazer isso autorizando fluxos específicos entre os componentes. Ao eliminar vias de comunicação desnecessárias, você está aplicando os princípios do privilégio mínimo para proteger melhor os dados críticos. Dependendo da natureza dos sistemas, você pode estruturar essas arquiteturas por meio de conectividade simplificada e automatizada de serviço a serviço com autenticação e autorização incorporadas usando o Amazon VPC Lattice, microperímetros dinâmicos criados usando a , grupos de segurança, a assinatura de solicitações por meio do serviço Amazon API Gateway e mais.
Mobilidade segura da força de trabalho
A força de trabalho moderna exige acesso às aplicações empresariais de qualquer lugar, sem comprometer a segurança. Você pode fazer isso com o Acesso Verificado pela AWS. Isso permite que você forneça acesso seguro a aplicações empresariais sem uma VPN. Conecte facilmente seu provedor de identidades (IdP) existente e o serviço de gerenciamento de dispositivos e use políticas de acesso para controlar rigorosamente o acesso às aplicações, oferecendo uma experiência de usuário perfeita e melhorando a postura de segurança. Você também pode fazer isso com serviços como a família Amazon WorkSpaces ou o Amazon AppStream 2.0, que transmitem aplicações como pixels criptografados para usuários remotos, mantendo os dados seguros no Amazon VPC e em qualquer rede privada conectada.
Projetos de transformação digital
Os projetos de transformação digital geralmente conectam sensores, controladores, processamento e insights baseados em nuvem, todos operando totalmente fora da rede corporativa tradicional. Para manter sua infraestrutura de IoT crítica protegida, a família de AWS IoT pode fornecer segurança de ponta a ponta em redes abertas, com autenticação e autorização de dispositivos oferecidas como atributos padrão.
Obtenha acesso instantâneo ao nível gratuito da AWS.
