使用 AWS Zero Trust Security 和 F5 保护混合环境

虽然无边界安全的想法可以追溯到 20 世纪 90 年代中期，但现代零信任概念的根源可以追溯到 2010 年 Forrester Research 分析师 John Kindervag。 尽管有时听起来像是一种特定的技术，但美国国家标准与技术研究院 (NIST) 将零信任定义为“一套不断发展的网络安全范式，将防御从静态的基于网络的边界转移到关注用户、资产和资源”。¹

实现零信任没有单一的正确方法，有好有坏。 它提供了以适合您的组织的方式应用的灵活性，但它也可能需要大量的规划和工具来覆盖您的基础。 虽然具体细节可能有所不同，但您的零信任架构应该考虑几个关键原则：

1. 持续验证和认证所有用户、机器和设备。
2. 提供最小特权访问——执行所需任务所需的最低级别。
3. 使用微分段进行隔离和访问控制。
4. 持续收集、分析和关联安全事件和数据。
5. 采用自动化和编排来实现更快的响应和更少的错误。
6. 使用上下文授权每个请求以提高准确性。

要开始规划您的零信任策略，首先要评估您的工作负载组合。 确定需要考虑添加身份和安全工具的领域，以及监控健康状况的方法，以便您可以开始遵循零信任策略。

对于云中的工作负载， AWS提供身份和网络服务来提供零信任的基础。 AWS 中以身份为中心的控制对每个签名的 API 请求进行唯一的身份验证和授权，并提供细粒度的访问控制。 AWS 中以网络为中心的工具会过滤掉系统中不必要的噪音，为以身份为中心的控制提供护栏。 两种控制类型协同工作，以提高效率。 

AWS 内的服务到服务交互也依赖零信任原则来保持安全。 呼叫由AWS Identity and 访问权限管理进行身份验证和授权。 这些相同的工具也用于保护用户访问。

如果您与大多数组织一样在混合环境或多云中运营，则必须将零信任架构扩展到这些环境。 这就是事情变得复杂的地方。 许多环境都有自己的专有工具，这些工具需要更多的时间来管理，并且很难看到完整的画面。

容器化应用程序也需要零信任安全。 在最新的 Gartner 零信任网络技术成熟度曲线中，² Kubernetes网络被认为是早期的主流技术类别，它解决了 Kubernetes 原生功能的不足。 零信任 Kubernetes 网络解决方案为 Pod 到 Pod 通信、南北流量和东西流量提供安全性和规模。

F5 解决方案（包括F5 分布式云服务、 F5 BIG-IP 访问策略管理器和F5 NGINX ）原生适应零信任架构，并通过最小特权访问、明确验证、持续评估和针对应用程序和容器化微服务的风险感知补救来增强安全性。 这些解决方案还可以在您的应用程序运行的任何地方运行：在云端、本地或边缘。 跨环境的一致的安全工具和策略使得采用有效的零信任策略变得更加容易。

F5 和 AWS 共同为您提供在混合环境中简化零信任安全所需的工具。 通过一致的策略、细粒度的控制和准确的身份验证，随时随地保护您的应用程序、API 和用户。

欲了解有关 F5 和 AWS 如何携手提供零信任安全的更多信息，请访问f5.com/aws 。