零信任是一種安全模型,注重資料存取不應僅基於網路位置的理念。它會要求使用者和系統有效證明其身分和可信度,並在允許他們存取應用程式,資料和其他系統之前,強制執行精細的身分型授權規則。透過零信任,這些身分通常會在高度彈性的身分感知網路中運作,而進一步縮小接觸面、消除資料的非必要途徑,並提供直接的外部安全防護機制。
要轉移至零信任安全模型,首先應評估您的工作負載組合,並確認零信任增強的靈活性和安全性將在哪些地方提供最大的好處。然後,您將應用零信任概念 (重新思考身分、驗證和其他情境指標,例如裝置狀態和運作狀態),以就現狀實現實質而有意義的安全性改進。為協助您完成這個旅程,許多 AWS 身分和聯網服務提供核心零信任建構區塊來做為標準功能,這可套用至新的工作負載和現有工作負載。
零信任安全模型可以根據身分和裝置狀態等信任因素,為您的使用者提供安全的應用程式和資源存取。
消除非必要的通訊路徑,就會套用最低權限原則以進一步保護關鍵資料。
為協助進一步提高安全標準,零信任可讓 IT 團隊做出越來越精細、持續且自適應的存取控制決策,這些決策涵蓋包括身分、裝置和行為等廣泛的情境。
當兩個元件不需要通訊時,就不應具備通訊能力,即使兩者位於同一個網路區段內亦然。您可以藉由為元件之間的特定流程授權來完成此操作。 根據系統的性質,您可以使用 Amazon VPC Lattice,透過簡化、自動化的服務對服務連線,以內嵌驗證和授權構建這些架構,使用安全群組建置動態微型周邊、透過 Amazon API Gateway 要求簽署等等。
現代的員工需要在不影響安全性的情況下,從任何位置存取其業務應用程式。為此,您可以使用 AWS Verified Access。藉此,您無需 VPN 即可安全存取企業應用程式。 輕鬆連接您現有的身分提供者 (IdP) 和裝置管理服務,並使用存取原則嚴格控制應用程式存取,同時提供順暢的使用者體驗並改善安全狀態。您也可以使用 Amazon WorkSpaces Family 或 Amazon AppStream 2.0 等服務來達成此目標,這些服務會將應用程式以加密像素的形式串流至遠端使用者,同時將資料安全保存在 Amazon VPC 和任何連線的私人網路中。
數位轉型專案通常會連接感應器、控制器和雲端式處理和洞察,且全部都在傳統企業網路以外運作。為了保護您的關鍵 IoT 基礎設施, AWS IoT 服務的系列可透過公開網路提供端對端安全性,並提供裝置驗證和授權作為標準功能。