Verkkoturvallisuus: Perimetri on kuollut, kauan eläköön perimetri

Ajattele itse, typerys! Verkkoturvallisuus oli ennen yksinkertaista: kova kuori, pehmeä sisältä. Palomuuri pitää pahikset ulkona, kaikki sisällä on luotettavaa. Se oli aina fantasiaa, mutta se oli mukavaa.

Hack23:n lähestymistapa verkkoturvallisuuteen perustuu zero-trust-periaatteisiin, jotka on toteutettu AWS-pilvi-infrastruktuurin kautta. Oletamme, että perimetri on jo vaarantunut, ja siksi suunnittelemme turvallisuutemme kerroksittain.

AWS Zero-Trust Arkkitehtuuri

Verkkoturvallisuutemme on toteutettu seuraavilla:

• CloudFront + WAF: DDoS-suojaus ja sovelluskerroksen suodatus
• GuardDuty: Uhkien havaitseminen VPC Flow Logien, DNS-lokien ja CloudTrail-tapahtumien perusteella
• Security Hub: Keskitetty turvallisuusvalvonta ja vaatimustenmukaisuus
• VPC Flow Logs: Verkkoliikenteen analyysi poikkeavuuksien havaitsemiseksi
• Moniregionaalinen käyttöönotto: eu-west-1 (ensisijainen), eu-central-1 (varmuuskopio)

Avainperiaatteet

• Oleta murtautuminen: Suunnittele olettaen, että hyökkääjät ovat jo sisällä
• Zero trust: Älä luota mihinkään, vahvista kaikki
• Segmentointi: Eristä järjestelmät ja palvelut
• Salaus: TLS 1.2+ kaikelle liikenteelle
• Valvonta: Reaaliaikainen uhkien havaitseminen

Yksityiskohtaisemman tiedon saamiseksi katso tämän politiikan englanninkielinen versio.

ISO 27001:2022 Mapping

A.8.20: Network Security | A.8.21: Security of network services | A.8.22: Segregation of networks

NIST CSF 2.0: PR.AC-5 (Network segmentation), DE.CM-1 (Network monitoring)

CIS Controls v8.1: 12 (Network Infrastructure Management), 13 (Network Monitoring and Defense)