Zero Trust in AWS
Verbessern Ihres Sicherheitsmodells mit einem Zero-Trust-Ansatz
Was ist Zero Trust in AWS?
Zero Trust ist ein Sicherheitsmodell, das auf der Idee basiert, dass der Zugriff auf Daten nicht ausschließlich auf der Grundlage des Netzwerkstandorts erfolgen sollte. Benutzer und Systeme müssen ihre Identität und Vertrauenswürdigkeit nachdrücklich nachweisen, und es werden differenzierte identitätsbasierte Autorisierungsregeln durchgesetzt, bevor ihnen der Zugriff auf Anwendungen, Daten und andere Systeme ermöglicht wird. Mit Zero Trust operieren diese Identitäten oft in hochflexiblen, identitätsbewussten Netzwerken, die die Oberfläche weiter reduzieren, unnötige Datenwege eliminieren und unkomplizierten äußeren Integritätsschutz bieten.
Die Umstellung auf ein Zero-Trust-Sicherheitsmodell beginnt mit der Bewertung Ihres Workload-Portfolios und der Feststellung, wo die verbesserte Flexibilität und Sicherheit von Zero Trust die größten Vorteile bieten würde. Anschließend wenden Sie Zero-Trust-Konzepte an und überdenken Identität, Authentifizierung und andere Kontextindikatoren wie Gerätestatus und -integrität, um echte und bedeutsame Sicherheitsverbesserungen gegenüber dem Status Quo zu erzielen. Um Sie auf diesem Weg zu unterstützen, bieten eine Reihe von AWS-Identitäts- und Netzwerkservices zentrale Zero-Trust-Bausteine als Standardfunktionen, die sowohl auf neue als auch auf bestehende Workloads angewendet werden können.
Vorgestellte Ressourcen
E-Book – Zero Trust: Den Weg zu größerer Sicherheit ebnen
Da sich Unternehmen und Cyberrisiken weiterentwickeln, müssen Sicherheitsmodelle Schritt halten. Erfahren Sie mehr über Zero Trust und wie Sie damit eine vielschichtige Sicherheitsstrategie entwickeln können, die sich an die moderne Umgebung anpasst.
Video – Wege zu Zero Trust in AWS (41:27)
Sehen Sie sich diese re:Inforce 2023 Leadership Session mit Jess Szmajda, General Manager, AWS Network Firewall & Firewall Manager, und Quint Van Deman, Principal, Office of the CISO, an, um zu erfahren, wie Kunden die neuesten Funktionen von AWS nutzen können, um ein Zero-Trust-Sicherheitsmodell zu implementieren.
Blog – Zero Trust Architectures: An AWS Perspective
Lesen Sie mehr über die AWS-Leitprinzipien für Zero Trust, erkunden Sie häufige Anwendungsfälle und erfahren Sie, wie AWS-Services Sie heute beim Aufbau Ihrer Zero-Trust-Architektur unterstützen können.
Video – Erzielen von Zero Trust mit AWS-Anwendungsnetzwerken (58:55)
Sehen Sie sich dieses Video an, um mehr über AWS-Netzwerkservices für Anwendungen zu erfahren, mit denen Sie ein Sicherheitsmodell einrichten können, das Vertrauen durch kontinuierliche Authentifizierung und Überwachung des Zugriffs schafft.
Leitprinzipien für den Aufbau von Zero Trust in AWS
Identitäts- und Netzwerkfunktionen nach Möglichkeit zusammen verwenden
Identitäts- und Netzwerkkontrollen in AWS können sich häufig gegenseitig ergänzen und erweitern, um Ihnen dabei zu helfen, Ihre spezifischen Sicherheitsziele zu erreichen. Identitätsorientierte Kontrollen bieten sehr starke, flexible und differenzierte Zugriffskontrollen. Netzwerkorientierte Kontrollen ermöglichen es Ihnen, auf einfache Weise gut verständliche Perimeter einzurichten, innerhalb derer identitätsorientierte Kontrollen eingesetzt werden können. Im Idealfall sollten diese Kontrollen einander kennen und sich gegenseitig ergänzen.
Von Ihren spezifischen Anwendungsfällen aus rückwärts arbeiten
Es gibt eine Reihe gängiger Anwendungsfälle, wie z. B. die Mobilität der Arbeitskräfte, die Kommunikation von Software zu Software und Projekte zur digitalen Transformation, die von der verbesserten Sicherheit von Zero Trust profitieren können. Es ist wichtig, von jedem der spezifischen Anwendungsfälle, die für Ihr Unternehmen gelten, rückwärts zu arbeiten, um die optimalen Zero-Trust-Muster, -Tools und -Ansätze zu ermitteln, mit denen bedeutende Sicherheitsverbesserungen erzielt werden können.
Zero Trust entsprechend ihrem Wert auf Ihre Systeme und Daten anwenden
Sie sollten Zero-Trust-Konzepte als Ergänzung zu Ihren bestehenden Sicherheitskontrollen betrachten. Indem Sie Zero-Trust-Konzepte entsprechend dem organisatorischen Wert des Systems und der zu schützenden Daten anwenden, können Sie sicherstellen, dass die Vorteile für Ihr Unternehmen dem Aufwand angemessen sind.
Kundenerfahrungen im Blickpunkt
Avalon Healthcare Solutions (Avalon), ein Anbieter von Laborinformationen, wollte Benutzern einen sicheren und bequemen Zugriff auf Geschäftsberichte und Gesundheitsdaten über einen Webbrowser ermöglichen – ohne VPN. Avalon wurde 2013 gegründet und hat von Anfang an ein Zero-Trust-Framework auf Amazon Web Services (AWS) für seine Unternehmensanwendungen verwendet.
„Eines unserer wichtigsten technischen Ziele ist es, das Nutzererlebnis zu optimieren und gleichzeitig die Zero-Trust-Prinzipien unerschütterlich aufrechtzuerhalten“, sagt Eric Ellis, AVP Enterprise Cloud Technology bei Avalon Healthcare Solutions. „Als neue Geschäftsanforderungen auftauchten, sahen wir uns gezwungen, unsere Unternehmensanwendungen am Netzwerk-Edge zu positionieren. Mit AWS Verified Access waren unsere Sicherheits- und Technikingenieure in der Lage, innerhalb weniger Minuten einen Zero-Trust-basierten Zugriff auf Unternehmensanwendungen bereitzustellen, ohne VPNs zu verwenden. Verified Access ermöglichte es uns, die entscheidende Herausforderung zu bewältigen, die Bereitstellung wichtiger Dienstleistungen mit der Verbesserung der Benutzererfahrung in Einklang zu bringen, ohne unsere strengen Zero-Trust-Richtlinien zu gefährden.“
Erfahren Sie mehr darüber, wie Avalon Healthcare Solutions mithilfe von AWS Verified Access die Sicherheit verbessert hat.
Neo Financial, ein kanadisches Unternehmen, ist auf dem neuesten Stand der Technik und bietet hochwertige Dienstleistungen wie Kreditkarten ohne jährliche Gebühren, unbegrenztes Cashback und flexible Kreditlimits. Neo Financial wollte zu einem Sicherheitsmodell übergehen, das den Zugriff auf Ressourcen auf der Grundlage von Benutzeranmeldeinformationen und nicht auf der Grundlage der Netzwerkverbindung gewährt.
Mithilfe des Amazon WorkSpaces Secure Browser treibt Neo Financial seine Zero-Trust-Initiative voran, indem es Benutzern Zugriff auf Ressourcen gewährt, die auf benutzerspezifischen Anmeldeinformationen basieren, anstatt sich auf den Netzwerkzugriff zu verlassen. „Mit dem Amazon WorkSpaces Secure Browser müssen wir weniger Server verwalten und können Single Sign-On verwenden, um die Authentifizierung in unserem gesamten Unternehmen zu verwalten, was uns hilft, unsere Zero-Trust-Ziele zu erreichen“, sagt Eric Zaporzan, Director of Infrastructure bei Neo Financial. „All diese Faktoren tragen dazu bei, Prüfungen für den Payment Card Industry Data Security Standard (PCI DSS) und andere Compliance-Maßnahmen zu vereinfachen.“
Erfahren Sie mehr darüber, wie Neo Financial den Zero-Trust-Zugriff mithilfe des Amazon WorkSpaces Secure Browser implementiert hat.
Zero-Trust-Prinzipien bei der Arbeit in AWS
Signieren von AWS-API-Anforderungen
Jeden Tag interagiert jeder einzelne AWS-Kunde vertrauensvoll und sicher mit AWS und führt Milliarden von AWS-API-Aufrufen über eine Vielzahl von öffentlichen und privaten Netzwerken durch. Jede dieser signierten API-Anforderungen wird jedes Mal einzeln authentifiziert und autorisiert, und zwar mit Raten von über einer Milliarde Anfragen pro Sekunde weltweit. Die Verwendung von Verschlüsselung auf Netzwerkebene mithilfe des Transport Layer Security (TLS) in Kombination mit leistungsstarken kryptografischen Funktionen des AWS-Signatur-v4-Signaturprozessessichert diese Anfragen, ohne Rücksicht auf die Vertrauenswürdigkeit des zugrunde liegenden Netzwerks.
AWS-Service-zu-Service-Interaktionen
Wenn sich einzelne AWS-Services gegenseitig anrufen müssen, verlassen sie sich auf dieselben Sicherheitsmechanismen, die Sie als Kunde verwenden. Beispielsweise verwendet der Amazon-EC2-Auto-Scaling-Service eine serviceverknüpfte Rolle in Ihrem Konto, um kurzfristige Anmeldeinformationen zu erhalten und den Amazon Elastic Compute Cloud (Amazon EC2)-APIs in Ihrem Namen aufzurufen, um den Skalierungsanforderungen gerecht zu werden. Diese Aufrufe werden vom AWS Identity and Access Management (IAM) authentifiziert und autorisiert, genau wie Ihre Aufrufe an AWS-Services. Starke identitätsorientierte Kontrollen bilden die Grundlage des Sicherheitsmodells zwischen AWS-Services.
Zero Trust für IoT
AWS IoT bietet die grundlegenden Komponenten von Zero Trust für eine Technologiedomain, in der unauthentifizierte, unverschlüsselte Netzwerknachrichten über das offene Internet bisher die Norm waren. Der gesamte Datenverkehr zwischen Ihren verbundenen IoT-Geräten und den AWS-IoT-Services wird über Transport Layer Security (TLS) gesendet. Dabei wird eine moderne Geräteauthentifizierung einschließlich zertifikatsbasiertem gegenseitigem TLS verwendet. Darüber hinaus hat AWS die FreeRTOS um TLS-Unterstützung erweitert, wodurch wichtige grundlegende Komponenten von Zero Trust für eine ganze Klasse von Mikrocontrollern und eingebetteten Systemen verfügbar sind.
Anwendungsfälle
Software-zu-Software-Kommunikation
Wenn zwei Komponenten nicht kommunizieren müssen, sollten sie dazu nicht in der Lage sein, auch wenn sie sich innerhalb desselben Netzwerksegments befinden. Sie können dies erreichen, indem Sie bestimmte Abläufe zwischen den Komponenten autorisieren. Durch die Eliminierung unnötiger Kommunikationswege wenden Sie die Prinzipien der geringsten Berechtigung an, um wichtige Daten besser zu schützen. Je nach Art der Systeme können Sie diese Architekturen mithilfe vereinfachter und automatisierter Service-zu-Service-Konnektivität mit integrierter Authentifizierung und Autorisierung mithilfe von Amazon VPC Lattice, dynamischen Mikroperimetern, die mithilfe der Sicherheitsgruppen erstellt wurden, Anforderungssignierung über den Amazon API Gateway und mehr erstellen.
Sichere Mobilität der Arbeitskräfte
Die modernen Arbeitskräfte benötigen Zugriff auf ihre Geschäftsanwendungen von überall aus, ohne die Sicherheit zu gefährden. Sie können dies mit AWS Verified Access erreichen. Auf diese Weise können Sie sicheren Zugriff auf Unternehmensanwendungen ohne VPN bereitstellen. Verbinden Sie ganz einfach Ihren bestehenden Identitätsanbieter (IDP) und Ihren Geräteverwaltungsservice und verwenden Sie Zugriffsrichtlinien, um den Anwendungszugriff streng zu kontrollieren und gleichzeitig ein reibungsloses Benutzererlebnis zu gewährleisten und die Sicherheitslage zu verbessern. Sie können dies auch mit Services wie der Amazon-WorkSpaces-Familie oder Amazon AppStream 2.0 erreichen, die Anwendungen als verschlüsselte Pixel an Remote-Benutzer streamen und gleichzeitig Daten sicher in Ihrer Amazon VPC und allen verbundenen privaten Netzwerken speichern.
Projekte zur digitalen Transformation
Projekte zur digitalen Transformation verbinden häufig Sensoren, Steuerungen und cloudbasierte Verarbeitung und Erkenntnisse, die alle vollständig außerhalb des traditionellen Unternehmensnetzwerks ablaufen. Um Ihre kritische IoT-Infrastruktur zu schützen, bietet die Familie der AWS-IoT-Services umfassende Sicherheit über offene Netzwerke, wobei Geräteauthentifizierung und Autorisierung als Standardfunktionen angeboten werden.
Sichere Verwaltung des Zugriffs auf Workloads und Anwendungen
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit der Entwicklung in der AWS-Managementkonsole.