AWS安全讲堂：零信任实践全知道！

小提示：您能找到这篇{AWS安全讲堂：零信任实践全知道！}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的AWS安全讲堂：零信任实践全知道！内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

“零信任”小课堂

开课啦

< ">导读

< ">Amazon Web Services(A网站信息发布平台WS)以提供领先、完善的云服务著称，并兼顾合规安全。在亚马逊re:Invent 2020大会的AWS Identity and Data Protection sessions环节中，Quint Van Deman介绍了< color: rgb(255, 192, 0);">AWS零信任架构。

本文将简要介绍在AWS中国区域如何实践零信任安全策略。

< ">零信任知识小课堂

敲黑板！什么是零信任？

< ">< color: rgb(255, 192, 0);">零信任是一个概念模型和一组相关的机制，着重于围绕数字资产提供安全控制，而这些数字资产并不完全或根本上不依赖于传统的网络控制或网络边界。零信任中的“零”从根本上是指，减少（甚至不信任）历史上由参与者在传统网络中的位置创建的信任，无论我们将参与者视为个人还是软件组件。

< ">在零信任的世界中，以网络为中心的信任模型被其他技术（我们通常可以将其描述为以身份为中心的控件）增强或替代，以提供与以前相同或更好的安个人危机公关案例分析全机制。

做好笔记！零信任理念的7个原则

< ">(1)所有数据源和计算服务都被视为资源。

< ">(2)无论网络位置如何，所有通信必须是安全的。

< ">(3)对企业资源的访问授权是基于每个连接的。

< ">(4)对资源的访问由动态策略（包括客户端身份、应用和被请求资产等的可观测状态）决定，并可能包括其他行为属性。

< ">(5)企业确保其掌握和关联的所有设备都处于尽可能的最安全状态，并监控设备资产以确保它们保持在尽可能的最安全状态。

< ">(6)在访问被允许之前，所有资源访问的身份验证和授权是动态的和严格强制实施的。

< ">(7)企业收集尽可能多关于网络基础设施当前状态的信息，并用于改善其安全态势。

< ">两个维度，深度考量零信任

网络维度

< ">在网络维度，我们需要管理网络点到点之间的可到达性。通过把网络通信的各项要素进行逐一控制并进行排列组合，可以得到应对不同场景的安全策略。

图1

< ">如图1所示，AWS中国区通过在VPC中提供网关、路由表、NACL、安全组实现了网络IP之间、端口之间的网络4层访问管理控制。进一步，AWS还提供了Endpoint服务。通过Endpoint服务，子网内在的资源访问处于AWS公网的服务时无须跨越互联网网关。

身份维度

< ">对于身份维度管理，需要实现授权的对象仅能访问被访问对象，并对访问的行为作审查记录。AWS中国区提供的IAM服务能够安全地控制用户对AWS服务和资源的访问。AWS IAM不仅提供了人机对话的身份校验机制，还提供了服务之间身份校验机制，即角色（Role）。通过使用IAM Role，可以实现服务到服务之间的无缝访问衔接，并自动轮换密钥（实现方式如图2所示）。

图2

< ">AWS CloudTrail提供了行为审计日志的功能，对AWS账号中的行为进行不公共关系企业的危机可篡改的日志记录。结合其他AWS服务，比如Amazon CloudWatch、AWS Lambda，对日志监控中发现的非法行为作出自动化处理，如发出安全警告、自动修复安全隐患、对安全时间作出统计报表等。一个典型的综合利用这些安全相关服务的应用架构如图3所示。

图3

< ">在这个场景中，首先AWS CloudTrail服务将日志推送到Amazon CloudWatch，然后Amazon CloudWatch触发Step Functions，并根据事情的类型执行不同的AWS Lambda函数，执行如修改Amazon EC2的操作，修改WAF规则的操作等。同时，AWS Lambda函数将可疑行为和执行的结果日志发送是Amazon Simple Storage Service(Amazon S3)存储桶，再通过Amazon Athena服务和自建的Superset进行数据的呈现和分析；同一AWS Lambda函数通过SNS服务发送电子邮件通知。

< ">课堂小结

< ">通过以上一些简单的场景，希望可以帮助您了解零信任的概念，并通过简单的动手实践，运用AWS提供的服务实现高级别的安全策略。

< ">AWS作为公有云技术的领导者，针对日新月异的合规要求和安全需求，不断提供新的相关服务和解决方案。