Zero trust trên AWS

Nâng cao mô hình bảo mật của bạn với phương pháp zero trust

Zero trust trên AWS là gì?

Zero trust là một mô hình bảo mật tập trung vào ý tưởng rằng đừng chỉ cung cấp quyền truy cập dữ liệu dựa trên vị trí mạng. Mô hình này yêu cầu người dùng và hệ thống phải chứng minh chắc chắn danh tính và độ tin cậy của mình, đồng thời thực hiện các quy tắc ủy quyền dựa trên danh tính chi tiết trước khi cho phép họ truy cập các ứng dụng, dữ liệu và các hệ thống khác. Với zero trust, các danh tính này thường hoạt động trong các mạng nhận thức danh tính có độ linh hoạt cao giúp giảm khu vực tiếp xúc, loại bỏ các đường dẫn không cần thiết đến dữ liệu và cung cấp các quy tắc bảo vệ an ninh bên ngoài đơn giản. 

Xây dựng kiến trúc zero trust trên AWS

Việc chuyển sang mô hình bảo mật zero trust bắt đầu bằng việc đánh giá danh mục khối lượng công việc của bạn và xác định điểm mà tính linh hoạt và bảo mật nâng cao của zero trust có thể mang lại lợi ích lớn nhất. Sau đó, bạn sẽ áp dụng các khái niệm zero trust – xem xét lại chỉ báo danh tính, xác thực và các chỉ báo ngữ cảnh khác như trạng thái và tình trạng của thiết bị – để thực hiện các cải tiến bảo mật thực tế và có ý nghĩa so với hiện trạng. Để giúp bạn trên hành trình này, một số dịch vụ kết nối mạng và danh tính của AWS cung cấp các khối dựng zero trust cốt lõi dưới dạng các tính năng tiêu chuẩn, có thể được áp dụng cho cả khối lượng công việc mới và hiện có. 

Lợi ích

Mô hình bảo mật zero trust có thể cung cấp cho người dùng khả năng truy cập các ứng dụng và tài nguyên một cách bảo mật dựa trên các yếu tố tin cậy như danh tính và tình trạng thiết bị.

Khi loại bỏ các đường giao tiếp không cần thiết, bạn sẽ áp dụng các nguyên tắc đặc quyền tối thiểu để bảo vệ các dữ liệu quan trọng một cách hiệu quả hơn. 

Để giúp nâng cao tiêu chuẩn bảo mật hơn nữa, zero trust cho phép các đội ngũ CNTT đưa ra các quyết định kiểm soát truy cập ngày càng chi tiết, liên tục và thích ứng, kết hợp nhiều bối cảnh – bao gồm danh tính, thiết bị và hành vi.

Khám phá các trường hợp sử dụng

Khi không cần thiết thì hai thành phần không nên có khả năng giao tiếp với nhau, ngay cả khi đặt trong cùng một phân đoạn mạng. Bạn có thể thực hiện việc này bằng cách cho phép các luồng cụ thể giữa các thành phần. Tùy thuộc vào tính chất của hệ thống, bạn có thể xây dựng các kiến trúc này thông qua kết nối đơn giản hóa và tự động hóa giữa các dịch vụ với xác thực và ủy quyền nhúng thông qua Amazon VPC Lattice, tường lửa dựa trên máy chủ động được xây dựng bằng Nhóm bảo mật, ký yêu cầu thông qua Cổng API Amazon, v.v. 

Nguồn lực hiện đại yêu cầu quyền truy cập các ứng dụng kinh doanh của họ từ bất cứ đâu mà không làm suy giảm độ bảo mật. Bạn có thể thực hiện việc này với giải pháp Truy cập được xác minh AWS. Dịch vụ này cho phép bạn cung cấp quyền truy cập bảo mật vào các ứng dụng dành cho doanh nghiệp mà không cần VPN. Dễ dàng kết nối nhà cung cấp danh tính (IdP) và dịch vụ quản lý thiết bị hiện tại của bạn và sử dụng các chính sách truy cập để kiểm soát chặt chẽ quyền truy cập ứng dụng, đồng thời mang lại trải nghiệm liền mạch cho người dùng và cải thiện khả năng bảo mật. Bạn cũng có thể thực hiện được việc này với các dịch vụ như Hệ thống Amazon WorkSpaces hoặc Amazon AppStream 2.0. Các dịch vụ này phát trực tuyến các ứng dụng dưới dạng pixel được mã hóa đến người dùng từ xa trong khi vẫn bảo đảm dữ liệu an toàn trong Amazon VPC của bạn và bất kỳ mạng riêng tư nào được kết nối.

Các dự án chuyển đổi kỹ thuật số thường kết nối các cảm biến, bộ điều khiển, cũng như thông tin chuyên sâu và hoạt động xử lý dựa trên đám mây, tất cả đều hoạt động hoàn toàn bên ngoài mạng doanh nghiệp truyền thống. Để đảm bảo cơ sở hạ tầng IoT thiết yếu của bạn được bảo vệ, hệ thống dịch vụ AWS IoT có thể cung cấp bảo mật đầu cuối trên các mạng mở, với tính năng xác thực và ủy quyền thiết bị được cung cấp như các tính năng tiêu chuẩn.

Bắt đầu sử dụng các dịch vụ AWS liên quan

Tài nguyên

Tìm hiểu thêm về zero trust trên AWS với các bài đăng trên blog, video, hội thảo, bài đăng về Thông tin mới và khóa đào tạo.