作者: CKmates AWS Ambassador Tony Chung
在去年 9 月中華民國數位發展部對外發布了,導入零信任身分驗證的架構,也因為目前地緣政治的影響及數位轉型的浪潮逐漸地從企業端推向了公部門的非核心系統。雖然上雲是一個趨勢,但如何打造零信任的安全雲端架構絕對是評估的重點。本篇文章,將帶您探討除了一般雲端的資安基礎設定之外,還能透過什麼 AWS 的服務及應用能夠達成雲端零信任。
什麼是零信任?為什麼要做?
在去年 9 月中華民國數位發展部對外發布了,導入零信任身分驗證的架構,也因為目前地緣政治的影響及數位轉型的浪潮逐漸地從企業端推向了公部門的非核心系統。雖然上雲是一個趨勢,但如何打造零信任的安全雲端架構絕對是評估的重點。本篇文章,將帶您探討除了一般雲端的資安基礎設定之外,還能透過什麼 AWS 的服務及應用能夠達成雲端零信任。
什麼是零信任?為什麼要做?
在過往的公司網路環境中,通常都會將辦公環境切分為不對外的內網、一般辦公區域以及對外聯網的 DMZ (非軍事區域)。零信任(Zero Trust)其實指的是一種資安概念,「永不信任,永遠驗證」是零信任的口號,實際上的意思是指要打破過往的內外網隔離機制,任何的存取都要經過驗證、加密以及授權之後才給予人員或是服務存取權。
會催生零信任架構主要有以下三個原因:
1.遠端辦公的人數越來越多
因為前幾年疫情的關係,所以為了保持企業營運不中斷,許多遠端辦公的需求也大量增加,一般公司通常會將只能在公司內部瀏覽的檔案或系統放在內網,在外部辦公的同事透過遠端連線 VPN 的形式連回公司進行資料存取。
然而,VPN也有幾項的資安風險,因為通常經過帳號密碼驗證過後的使用者都會被賦予最大權限,所以駭客可以透過有漏洞的憑證或是VPN軟體入侵至企業內部網路。入侵網路後因為權限太大所以能夠任意瀏覽相關機敏資訊。
2.資安及合規需求不斷變化
隨著科技的進步,資安威脅也日益複雜。駭客的手法不斷進化,傳統的資安防護措施已經無法有效抵禦攻擊。零信任架構可以提供更強大的資安防護,以因應不斷變化的資安威脅。
零信任架構可以幫助企業滿足以下資安及合規需求:
- 保護敏感資料:零信任架構可以透過最小權限原則和持續驗證來保護敏感資料。
- 降低資料外洩風險:零信任架構可以減少資料外洩的風險,因為駭客即使取得了使用者的憑證,也無法存取敏感資料。
- 滿足法規要求:零信任架構可以幫助企業滿足各種法規要求,例如《通用資料保護規範》(GDPR)。
3.需要更精細的權限控制
傳統的安全模式通常會將使用者劃分為幾個大類,並賦予每個類別相應的權限。然而,在實際應用中,這種粗粒度的權限管理可能會導致安全漏洞和資源浪費。零信任架構通常採用更細緻的權限控制,將每個使用者或設備的訪問權限細分到最小單位,根據需要動態調整。這樣做不僅可以降低潛在的風險,還可以最大程度地提高資源利用率,從而使企業更具彈性和效率。
三大 AWS 資安神器,帶您佈建端到端零信任架構
在這個段落中我們將分為三個部分,在外部工作的人要存取服務、服務之間存取以及開放給外部系統存取如何做到零信任:
1.外部工作的人要存取服務
因為疫情大多數的員工都有遠端辦公的需求,目前大部分的公司都是透過遠端 VPN 連線的方式回到公司環境來使用服務,但大部分的員工常常會覺得很麻煩且前面提到可能有資安的風險。
取而代之的是使用 AWS Verified Access (AVA)來達到身分驗證的功能,讓公司的應用程式能夠被安全存取。Verified Access 透過 Cedar 語言來定義那些人/部門能夠存取哪些服務,它透過跟 IAM Identity Center 或是整合基於 SAML 的第三方身分提供者(IdP)進行身分驗證。另外它也可以跟AWS WAF搭配使用做到更進一步的防護,並且您可以將相關存取的 log 集中儲存到 S3 以供事後查找。
取而代之的是使用 AWS Verified Access (AVA)來達到身分驗證的功能,讓公司的應用程式能夠被安全存取。Verified Access 透過 Cedar 語言來定義那些人/部門能夠存取哪些服務,它透過跟 IAM Identity Center 或是整合基於 SAML 的第三方身分提供者(IdP)進行身分驗證。另外它也可以跟AWS WAF搭配使用做到更進一步的防護,並且您可以將相關存取的 log 集中儲存到 S3 以供事後查找。
2.服務與服務之間存取
當公司規模越來越大或是當公司專案被拆分成不同的帳號,以及 VPC 有時候會遇到需要跨 VPC 存取共用資源或是以服務拆分為不同帳號的情況,以一般的做法來說會透過 VPC Peering 或是 Transit Gateway 進行串接。
大致上這個做法是符合 AWS Best Practice 的,不過為了達到零信任,AWS 推出了 AWS Lattice,透過 AWS Lattice 管理者可以建立統一的應用程式連網服務,您可以定義流量管理、網路存取和監控策略,從而跨 AWS 運算服務(instance、Container和Serverless Lambda)以簡單、一致的方式連接應用程式。
另外,AWS Lattice 可以做更精細的控制,包含服務之間的 request 等級的路由或是藍綠部署、金絲雀部屬的權重路由。您更可以進一步地透過 Lattice 來進行連線的除錯或是找出更詳細的資訊,例如:流量、requset 種類、回應時間等。
大致上這個做法是符合 AWS Best Practice 的,不過為了達到零信任,AWS 推出了 AWS Lattice,透過 AWS Lattice 管理者可以建立統一的應用程式連網服務,您可以定義流量管理、網路存取和監控策略,從而跨 AWS 運算服務(instance、Container和Serverless Lambda)以簡單、一致的方式連接應用程式。
另外,AWS Lattice 可以做更精細的控制,包含服務之間的 request 等級的路由或是藍綠部署、金絲雀部屬的權重路由。您更可以進一步地透過 Lattice 來進行連線的除錯或是找出更詳細的資訊,例如:流量、requset 種類、回應時間等。
3.開放給外部系統存取
有時候您在 AWS 上面的服務必須開放給外部系統存取,一般可以透過 AWS存 取機制,或是透過程式控制外部的服務能夠存取什麼樣的服務。為了達到零信任,AWS 推出了 AWS Verified Permissions 服務,跟 Verified Access 相同,管理員可以透過 Cedar 語言來決定外部服務存取權限的細粒度控制,它最特別的部分是它的授權是與商業邏輯脫鉤的,也就是說在程式開發階段只需專注於服務的研發,關於權限設定就交給 Verified Permissions 來處理。
更好的是 AWS Verified Permissions 原生就支援 log 儲存機制,您可以透過 log 找出以下事項
• 記錄所有相依性的可用性和延遲
• 細分每個呼叫、每個資源、每個狀態代碼等的相依性指標
• 存取記憶體佇列時記錄它們
• 為每個錯誤原因增加一個額外的計數器
• 依原因分類組織錯誤
• 記錄有關工作單元的重要中繼資料
• 記錄追蹤 ID 並將其傳播到後端呼叫中
• 根據狀態代碼和大小記錄不同的延遲指標
更好的是 AWS Verified Permissions 原生就支援 log 儲存機制,您可以透過 log 找出以下事項
• 記錄所有相依性的可用性和延遲
• 細分每個呼叫、每個資源、每個狀態代碼等的相依性指標
• 存取記憶體佇列時記錄它們
• 為每個錯誤原因增加一個額外的計數器
• 依原因分類組織錯誤
• 記錄有關工作單元的重要中繼資料
• 記錄追蹤 ID 並將其傳播到後端呼叫中
• 根據狀態代碼和大小記錄不同的延遲指標
本文介紹了三大 AWS 零信任神器 - AWS Verified Access、AWS Verified Permissions 和 AWS Lattice,這些服務可以有效實現對使用者、裝置和工作負載的嚴格驗證與授權控制。通過這些功能,企業可以大幅提升自身的網路安全性,並滿足各類合規要求。
然而,要真正落地零信任架構並非易事,需要對整個IT基礎設施進行深入分析與精心設計。如果您的組織對此感到力不從心,不妨聯繫 CKmates。作為 AWS 合作夥伴,我們擁有豐富的零信任實施經驗,能夠為您的企業提供全方位的諮詢與服務支援,助您更快、更安全地邁向零信任時代。