Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Pelajari lebih lanjut


Pada konferensi re:Invent musim gugur ini, AWS membuat dua pengumuman keamanan siber IoT yang mencerminkan bagaimana identitas mesin adalah bagian inti dari strategi keamanan tanpa kepercayaan . IoT ExpressLink, adalah layanan cloud yang dirancang untuk melacak cepat perangkat IoT baru melalui siklus DevOps yang aman dan terintegrasi dengan AWS IoT Device Defender. Peningkatan pada AWS IoT Greengrass mencakup fitur untuk membantu pelanggan AWS dalam melakukan manajemen patch dalam skala besar di seluruh armada IoT dan perangkat jaringan, yang semuanya memiliki identitas mesin mereka sendiri.

Administrator TI sering berjuang dengan melacak pembaruan tambalan di seluruh inventaris besar titik akhir yang mereka miliki, yang merupakan salah satu tujuan desain utama yang memandu rilis terbaru. Mendapatkan tampilan terpusat dari semua perangkat di jaringan perusahaan sangat penting untuk semua departemen TI, baik dari sudut pandang manajemen aset dan keamanan siber, yang membuat AWS terus meningkatkan pemantauan titik akhir. Visibilitas dan kontrol titik akhir adalah area paling menantang dari kerangka kerja tanpa kepercayaan untuk dipertahankan dan diamankan, itulah sebabnya AWS mengubahnya menjadi tujuan desain untuk layanan cloud saat ini dan di masa mendatang.

Berisi permukaan ancaman yang tumbuh paling cepat

Forrester memperkirakan bahwa identitas mesin tumbuh dua kali lipat secepat identitas manusia di seluruh jaringan perusahaan saat ini. Namun, 50% perusahaan merasa sulit untuk melindungi identitas mesin, mengingat seberapa cepat mereka tumbuh. Untuk pertama kalinya dalam analisis tren tahunannya, Gartner memprioritaskan manajemen identitas mesin untuk CISO dan tim keamanannya. Keputusan AWS untuk mengeluarkan IoT ExpressLink sekarang dan peningkatan jalur cepat ke AWS IoT Greengrass menunjukkan komitmennya terhadap keamanan tanpa kepercayaan yang diperkuat pada titik akhir terlebih dahulu.

Saat AWS pelanggan, pengembang, dan ISV menggunakan ExpressLink dan Greengrass bersama-sama, mereka dapat mengamankan identitas mesin di tingkat kernel atau sistem operasi dari setiap jenis sensor IoT dan IIoT yang telah mereka standarisasi.

Visi Amazon tentang zero trust didasarkan pada arsitektur NIST 800-207, seperti semua layanan AWS IoT. Menurut AWS, struktur arsitektur layanan cloud mereka mendukung persyaratan utama tanpa kepercayaan, termasuk mikrosegmentasi, Identity and Access Management (IAM), Privileged Access Management (PAM), dan mengamankan semua data saat istirahat dan dalam perjalanan. Layanan cloud AWS juga dirancang pada tingkat platform untuk memungkinkan akses ke sumber daya perusahaan pada basis per sesi, dan semua autentikasi dan otorisasi sumber daya bersifat dinamis dan ditegakkan menggunakan akses dengan hak istimewa paling rendah. Ada juga lokakarya AWS IoT Zero Trust yang mencakup penyiapan dan pengamanan konfigurasi jaringan IoT. Visi AWS dalam menggunakan layanan IoT untuk memberikan Keamanan Tanpa Kepercayaan di tingkat titik akhir didefinisikan pada tingkat tinggi dalam grafik berikut:

Di atas: AWS menawarkan IoT Zero Trust Workshop untuk pelanggan layanan cloud yang perlu mengetahui cara untuk menyediakan, mengaudit, melakukan deteksi anomali, dan memperbarui konfigurasi jaringan AWS IoT Zero Trust mereka.

Identitas mesin adalah yang baru perimeter keamanan

Identitas mesin juga harus memiliki kebijakan akses keamanan yang ditetapkan, ditegakkan, dan diaudit pada tingkat titik akhir. Intinya, identitas mesin adalah perimeter keamanan baru yang paling berisiko. AWS memfokuskan layanan cloud IoT-nya pada pembuatan perangkat lunak dan firmware perangkat dalam siklus DevOps yang aman, dikombinasikan dengan visibilitas real-time dari setiap titik akhir, mencerminkan pelajaran yang telah mereka pelajari dari membangun dan menggabungkan di IAM mereka sendiri selama bertahun-tahun – dan menerjemahkan pelajaran tersebut. untuk identitas mesin.

AWS menyediakan IAM-nya sendiri tanpa biaya sebagai bagian dari instans AWS-nya. Ini dirancang untuk memberi pelanggan AWS dukungan penting untuk IAM. Meskipun AWS IAM dapat berintegrasi pada tingkat API ke berbagai basis sistem perusahaan, AWS IAM tidak memberikan dukungan tingkat perusahaan untuk aspek yang lebih menantang dari IAM dan PAM yang dihadapi perusahaan saat ini. Area ini termasuk mendefinisikan dan menegakkan beberapa kebijakan berbasis identitas, mengaudit setiap mesin untuk kesehatan titik akhir dan manajemen aset, dan kebutuhan akan dukungan integrasi yang lebih baik di seluruh mesin dan sistem pemantauan.

Menggunakan Versi AWS dari Model Tanggung Jawab Bersama untuk mengilustrasikan bagaimana AWS membedakan antara apa yang menjadi tanggung jawab platform mereka versus pelanggan mereka, jelas bahwa pelanggan AWS akan membutuhkan penyegaran inovasi terus-menerus untuk tetap aman dalam jangka panjang. Pelanggan AWS juga memerlukan layanan cloud IoT yang terintegrasi secara andal dengan platform pilihan mereka untuk manajemen identitas mesin guna meningkatkan skala dan mengamankan operasi mereka.

AWS Shared Responsibility Model

Di atas: Model Tanggung Jawab Bersama AWS memberikan ikhtisar tentang apa yang diberikan AWS kepada pelanggan versus apa pelanggan diharapkan untuk menyediakan untuk diri mereka sendiri. Tersirat dalam diagram ini adalah perlunya inovasi terus-menerus di kedua sisi untuk menjaga keseimbangan kekuasaan, dengan aktor jahat