Нулевое доверие в AWS
Совершенствование модели безопасности с помощью подхода нулевого доверия
Что такое нулевое доверие в AWS?
Нулевое доверие – это модель безопасности, основанная на идее, что доступ к данным не должен основываться только на местоположении в сети. Такая модель требует от пользователей и систем достаточного подтверждения личности и надежности, а также применения подробных правил авторизации на основе идентификационных данных, прежде чем они смогут получить доступ к приложениям, данным и другим системам. Благодаря подходу нулевого доверия такие лица часто работают в очень гибких сетях с поддержкой идентификационных данных, которые еще больше сокращают уязвимые области, устраняют ненужные каналы доступа к данным и внедряют простые внешние защитные ограничения.
Переход к модели безопасности, основанной на нулевом доверии, начинается с оценки портфеля рабочих нагрузок и определения областей, где повышенная гибкость и безопасность, основанная на нулевом доверии, дадут наибольшие преимущества. Затем вы примените концепции нулевого доверия, переосмыслив идентификацию, аутентификацию и другие контекстные показатели, такие как состояние и работоспособность устройства, чтобы реально и существенно улучшить безопасность по сравнению с существующим состоянием. Чтобы помочь вам в этом, ряд сервисов AWS для идентификации и сетей предоставляет базовые компоненты нулевого доверия в качестве стандартных функций, которые можно применять как к новым, так и к существующим рабочим нагрузкам.
Актуальные ресурсы
Электронная книга «Принцип нулевого доверия: прокладываем путь к усиленной безопасности»
По мере эволюции организаций и увеличения рисков кибербезопасности модели защиты должны постоянно развиваться. Узнайте больше о принципе нулевого доверия и о том, как можно создать многоуровневую стратегию безопасности, адаптируемую к современной среде.
Видео «Пути к нулевому доверию в AWS» (41:27)
Посмотрите семинар о лидерстве re:Inforce 2023 с Джесс Шмайдой, генеральным директором AWS по брандмауэрам и сетевым брандмауэрам, и Квинтом Ван Деманом, директором отделения по информационной безопасности, и узнайте, как клиенты могут использовать новейшие возможности AWS для внедрения модели безопасности, основанной на нулевом доверии.
Блог «Архитектура нулевого доверия: взгляд AWS»
Ознакомьтесь с руководящими принципами AWS по нулевому доверию, изучите распространенные примеры использования и узнайте, как сервисы AWS могут помочь вам создать архитектуру нулевого доверия уже сегодня.
Видео «Переход к нулевому доверию с помощью сети приложений AWS» (58:55)
Посмотрите это видео, чтобы узнать о сетевых сервисах для приложений AWS, позволяющих создать модель безопасности, которая обеспечивает доверие за счет непрерывной аутентификации и мониторинга доступа.
Руководящие принципы построения нулевого доверия на AWS
По возможности используйте идентификационные и сетевые возможности совместно
Средства управления идентификацией и сетью в AWS часто могут дополнять и расширять возможности друг друга, помогая вам достичь конкретных целей безопасности. Средства управления, ориентированные на идентификацию, позволяют создать надежные, гибкие и детализированные средства контроля доступа. Управление, ориентированное на сеть, позволяет легко определить понятные периметры, в пределах которых могут работать элементы управления, ориентированные на идентификацию. В идеале эти средства управления должны учитывать и дополнять друг друга.
Исходите из конкретных случаев использования
Улучшенную безопасность, обеспечиваемую принципом нулевого доверия, можно применять в ряде распространенных вариантов использования, таких как мобильность рабочих ресурсов, обмен программными средствами и проекты цифровой трансформации. Чтобы определить оптимальные модели, инструменты и подходы нулевого доверия, которые значительно повысят безопасность, важно учитывать каждый конкретный сценарий использования, применимый к вашей организации.
Применяйте принцип нулевого доверия к своим системам и данным в соответствии с их ценностью
Концепции нулевого доверия следует рассматривать как дополнение к существующим средствам безопасности. Применяя концепции нулевого доверия в соответствии с организационной ценностью системы и защищаемых данных, вы можете быть уверены, что преимущества для вашего бизнеса будут соответствовать затраченным усилиям.
Истории клиентов
Компания Avalon Healthcare Solutions (Avalon), поставщик лабораторных аналитических данных, стремилась предоставить пользователям безопасный и удобный доступ к бизнес-отчетам и медицинским данным через веб-браузер без VPN. Основанная в 2013 году компания Avalon с самого начала использовала платформу нулевого доверия в Amazon Web Services (AWS) для своих корпоративных приложений.
«Одна из наших основных технических задач заключается в оптимизации пользовательского опыта при неукоснительном соблюдении принципов нулевого доверия», – говорит Эрик Эллис, вице-президент по корпоративным облачным технологиям в Avalon Healthcare Solutions. «В связи с появлением новых бизнес-требований мы почувствовали необходимость позиционировать наши корпоративные приложения на краю сети. Благодаря Проверенному доступу AWS наши технические специалисты по вопросам безопасности и технологиям смогли обеспечить доступ к корпоративным приложениям на основе нулевого доверия всего за несколько минут без VPN. Проверенный доступ позволил нам решить важнейшую задачу по согласованию предоставления основных услуг и улучшить пользовательский опыт без ущерба для строго�� политики нулевого доверия».
Узнайте больше о том, как компания Avalon Healthcare Solutions повысила уровень безопасности с помощью Проверенного доступа AWS
Канадская компания Neo Financial находится на переднем крае технологий, предоставляя такие ценные услуги, как кредитные карты без годовой платы, неограниченный возврат наличных и гибкие кредитные лимиты. Компания Neo Financial стремилась перейти на такую модель безопасности, которая предоставляет доступ к ресурсам на основе мандатов пользователя, а не сетевого подключения.
Используя Безопасный браузер Amazon WorkSpaces, Neo Financial продвигает свою инициативу нулевого доверия, предоставляя пользователям доступ к ресурсам на основе мандатов пользователя, а не полагаясь на доступ к сети. «Используя Безопасный браузер Amazon WorkSpaces, мы управляем меньшим количеством серверов и можем использовать систему единого входа для управления аутентификацией в нашем бизнесе, что помогает нам достичь целей нулевого доверия», – говорит Эрик Запорзан, директор по инфраструктуре Neo Financial. «Все эти факторы позволяют упростить аудит стандарта безопасности данных индустрии платежных карт (PCI DSS) и других мер по обеспечению нормативно-правового соответствия».
Узнайте больше о том, как компания Neo Financial внедрила доступ по принципу нулевого доверия с помощью Безопасного браузера Amazon WorkSpaces
Принципы нулевого доверия в AWS
Подпись запросов API AWS
Каждый день клиенты AWS уверенно и безопасно взаимодействуют с AWS, совершая миллиарды вызовов API AWS в различных публичных и частных сетях. Каждый из этих API-запросов всегда проходит индивидуальную аутентификацию и авторизацию со скоростью более миллиарда запросов в секунду по всему миру. Использование шифрования на уровне сети с применением (протокол TLS) в сочетании с мощными криптографическими возможностями обеспечивает защиту этих запросов независимо от надежности базовой сети.
Взаимодействие сервисов AWS с другими сервисами
Когда отдельным сервисам AWS приходится вызывать друг друга, они используют те же механизмы безопасности, которые вы используете как клиент. Например, сервис автоматического масштабирования Amazon EC2 использует в вашем аккаунте связанную с сервисом роль для получения краткосрочных учетных данных и вызова API Эластичного облака вычислений Amazon (Amazon EC2) от вашего имени в ответ на потребности в масштабировании. Аутентификация и авторизация этих вызовов выполняется сервисом управления идентификацией и доступом AWS (IAM) — так же, как и ваших вызовов сервисов AWS. Надежные средства управления, ориентированные на идентификацию, составляют основу модели безопасности взаимодействия сервисов AWS.
Нулевое доверие для Интернета вещей
AWS IoT предоставляет базовые компоненты нулевого доверия в технологической отрасли, где ранее обмен неаутентифицированными и незашифрованными сетевыми сообщениями через открытый Интернет был нормой. Весь трафик между подключенными устройствами IoT и сервисами AWS IoT передается по протоколу безопасности транспортного уровня (TLS) с использованием современной аутентификации устройств, включая взаимный TLS на основе сертификатов. Кроме того, в AWS добавили поддержку TLS для FreeRTOS, благодаря чему ключевые базовые компоненты нулевого доверия стали доступны целому классу микроконтроллеров и встроенных систем.
Примеры использования
Обмен данными между программами
Когда двум компонентам не нужно взаимодействовать, они не должны иметь такой возможности, даже находясь в одном сегменте сети. Это можно сделать, авторизуя конкретные потоки данных между компонентами. Устраняя ненужные каналы связи, вы применяете принципы наименьших привилегий для лучшей защиты критически важных данных. В зависимости от характера систем можно создавать такие архитектуры с помощью упрощенного и автоматизированного соединения между сервисами со встроенной аутентификацией и авторизацией, используя Amazon VPC Lattice, динамические микропериметры, построенные с использованием групп безопасности подписи запросов через API шлюз Amazon и т. д.
Безопасная мобильность сотрудников
Современным сотрудникам необходим доступ к бизнес-приложениям из любой точки мира без ущерба для безопасности. Проверенный доступ AWS обеспечивает безопасный доступ к корпоративным приложениям без VPN. Легко подключайте существующего поставщика идентификации (IdP) к службе управления устройствами и используйте политики доступа для строгого контроля доступа к приложениям, обеспечивая при этом удобство работы пользователей и повышая уровень безопасности. Это также можно сделать с помощью таких сервисов, как семейство Amazon WorkSpaces или Amazon AppStream 2.0, которые передают приложения удаленным пользователям в виде зашифрованных пикселей, надежно сохраняя данные в Amazon VPC и любых подключенных частных сетях.
Проекты цифровой трансформации
Проекты цифровой трансформации часто объединяют датчики, контроллеры, облачную обработку и аналитику, и все они работают полностью за пределами традиционной корпоративной сети. Для защиты критически важной инфраструктуры IoT существует семейство сервисов AWS IoT, обеспечивающих комплексную безопасность в открытых сетях, а аутентификация и авторизация устройств предлагаются в качестве стандартных функций.
Безопасное управление доступом к рабочим нагрузкам и приложениям
Получите мгновенный доступ к уровню бесплатного пользования AWS.