re:Invent 2023 | 使用 ZTNA 2.0 安全访问亚马逊云科技

关键字: [Amazon Web Services re:Invent 2023, Ztna, Zero Trust Network Access, Security, 亚马逊云科技, Palo Alto Networks]

本文字数: 1200, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1Jc411i754

导读

您需要在亚马逊云科技上提供对任务关键型应用程序的访问，但混合工作团队和直接面向应用程序的架构使现有的远程访问和零信任网络访问 (ZTNA) 解决方案已经过时，而且面临更多的安全挑战。在本论坛中，学习如何使用 Palo Alto Networks 的 Prisma Access 上的 ZTNA 2.0 提高内部应用程序的安全性。Prisma Access 上的 ZTNA 2.0 专门构建在云端，以在云范围内进行安全保护，并围绕通用策略框架设计，它提供了对内部应用程序的深度和持续检查，以维护与亚马逊云科技环境之间的流量安全，同时提供卓越的用户体验。本讲座由亚马逊云科技合作伙伴 Palo Alto Networks 为您带来。

演讲精华

以下是小编为您整理的本次演讲的精华，共900字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

新冠病毒大流行已彻底改变了工作的本质，显示出即使在员工居家远程工作时，他们仍能保持良好的效率和生产力。因此，对于允许员工在办公室和家庭之间灵活工作的混合工作模式需求激增。然而，这种混合模式也带来了重大的网络安全挑战。随着员工在企业边界之外的各种设备上访问数据和应用程序，攻击面呈指数级扩大。

传统的网络安全措施如VPN并未针对云时代和远程工作模式进行优化。它们具有固有的局限性，会降低员工的效率并可能引发危险的安全漏洞。特别是，VPN将所有流量在路由到云端之前集中到中央数据中心，导致延迟和糟糕的用户体验。这使得员工禁用VPN以提高生产力，从而消除了安全保护。直接到应用的访问方式更适合以云为先的世界，但IT团队一直在努力充分保护它。

为了解决这些问题，零信任网络访问（ZTNA）的概念应运而生。与传统基于IP地址授予网络访问权的模式不同，ZTNA验证用户身份并根据情况相应地授予选择性的应用访问权限。虽然这是一个进步，但早期实施的ZTNA存在缺陷，限制了其有效性。

ZTNA 1.0解决方案通常在初始登录时验证用户身份。一旦获得访问权限，就默认维持整个会话期间的信任，为诸如被盗凭证之类的威胁打开了大门。例如，一个远程管理员的凭证在受到钓鱼攻击被窃取后，可能可以在未被察觉的情况下访问并破坏关键系统。ZTNA 1.0还缺乏持续的在线流量检查，因此在满足访问要求后，受感染的设备可能会将恶意软件传播到许可的应用程序中。

为了填补这些安全空白，Palo Alto Networks推出了ZTNA 2.0，它对三个关键要素：用户身份、设备状态和应用行为进行持续的信任验证。通过应用最小授权原则，ZTNA 2.0只允许访问特定的批准应用，没有其他更多的东西。从开始到结束监控会议，确保用户、设备和应用程序保持可信状态。如果出现异常，可以动态调整或撤销访问权限。

实现ZTNA 2.0持续信任验证的几个功能包括：

用户身份验证是通过企业身份提供者系统进行的，同时应用多因素认证以确保凭证完整性。设备状态通过代理进行监控，检查加密状态、软件版本、防病毒保护及其他属性。这有助于确保公司数据不会受到来自未管理设备的未经授权访问。应用程序行为被设定为基准，以便将异常活动如不寻常的外部连接标识为潜在威胁。应用发现工具可以盘点云应用程序和工作负载，从而允许针对特定功能实施详细策略。例如，Facebook的使用可能被允许，但游戏应用将被阻止。在线流量检查使用机器学习和人工智能来检测和预防高级威胁以及零日恶意软件。人工智能和机器学习在帮助ZTNA 2.0适应现代需求方面发挥着关键作用。例如，在疫情期间，网络钓鱼网站迅速传播。Palo Alto Networks不仅依赖签名，还分析这些网站的常见属性，并通过训练ML模型来识别新网站。这减少了对于手动更新的依赖。人工智能和机器学习已嵌入到包括防火墙、沙盒、DNS安全和数据丢失预防的产品组合中。由于ZTNA 2.0是在云端提供的，因此它既能实现安全效果又能提供高性能。基础设施在亚马逊云科技的数据中心内运行专用的光纤，确保全球用户的速度和可靠性。一个真正的多租户架构隔离了客户的数据平面以增加隐私。这防止了活动高峰从共享基础设施上的邻居降低性能。对于希望采用云计算和混合工作的现代企业而言，ZTNA 2.0代表了对传统网络安全范式的重大改进。通过提供基于身份的且具有上下文感的应用程序访问，它在云时代将安全性与商业成果保持一致。员工可以在不受网络限制的情况下无缝、安全地访问他们所需的工具。IT继续在用户、设备和应用程序上保持持续控制以应对威胁。云交付模式带来了可扩展性和用户体验的好处。

在疫情期间，SaaS应用的利用率从几十激增到几百几乎是一夜之间的事；

• Palo Alto Networks使用自己的内部工具每天阻止50亿次攻击；
• 他们将所有日志整合到一个统一系统中，将每天的警报从数万减少到仅4-5个有意义的警报；
• 他们的全球基础设施每天面临35亿次攻击；
• 多租户架构为每个客户提供专用的出口数据面。

通过结合视频中的精确数据点，本总结全面概述了ZTNA 2.0如何为现代企业提供强大、以云为中心的安全保护。

下面是一些演讲现场的精彩瞬间：

领导者们讨论了自公司成立以来如何专注于网络安全并研发了下一代防火墙的问题。

这种基础设施非常智能，能够自动化保护应用程序访问的过程，而无需对任何内容进行重新编程。

演讲者强调了在情况恶化之前控制物联网设备及其数据的重要性。

演讲者还描述了新技术的发展如何使得员工对自己的使用所需应用程序的权利感到膨胀，给安全团队带来了在满足用户需求的同时仍制定确保安全的政策这一挑战。

Palo Alto Networks利用AI阻止了每天50亿次的攻击。

亚马逊云科技支持真正的企业级多租户环境，其中每个客户的出口数据平面都是专门为优化性能和安全而定制的。

领导者们强调将安全功能与业务成果相结合，以支持混合工作模式。

总结

亚马逊云科技（Amazon Web Services）主办的re:Invent是一场展示最新云计算技术和服务的盛会。在这次活动中，Palo Alto Networks发表了一场关于利用零信任网络访问（ZTNA 2.0）增强远程访问安全的主题演讲。演讲者首先阐述了新冠疫情大流行如何加速了数字化转型和混合工作模式，而传统的VPN带来了安全挑战。随着越来越多的应用程序迁移到云端，仅仅依靠网络位置来保护访问的方式已经不够。因此，零信任网络访问（ZTNA）这一概念应运而生，旨在超越基于IP地址的隐式信任。

零信任网络访问（ZTNA 1.0）通过在授予访问权限之前验证用户身份进行了改进。然而，它仍然受到限制，只检查用户在初始访问时的用户和设备。需要在整个会话期间进行持续的验证。零信任网络访问（ZTNA 2.0）旨在提供更针对用户、设备和应用程序的持续信任验证。它会授予最小权限访问，保持私密应用隐藏，并对所有流量进行持续的安全检查。

Palo Alto Networks将高级人工智能和机器学习集成到零信任网络访问（ZTNA 2.0）中，以实现更智能的威胁检测。这允许根据常见属性更快地识别新威胁。流量检查可以揭示异常并实现更聪明的安全策略。

通过在亚马逊云科技全球基础设施上交付具有人工智能/机器学习功能的零信任网络访问（ZTNA 2.0）功能，客户受益于优化的性能、可用性和规模。用户无论身处何地都能获得无缝、安全的应用程序访问。它将安全性与业务需求而非阻碍它们保持一致。Palo Alto Networks认为，零信任网络访问的这一下一步发展对于保护今天的混合工作环境是必不可少的。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134831815

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。