Traditionally, systems not meant for the public internet have been protected with a security paradigm known as perimeter security. An entity on the internal network is considered trusted, and hence has access to the resources on that network. The main concern is that an adversary breaching the network gains access to everything. Zero trust is a newer security paradigm which does not rely on the network perimeter, but rather leverages identities, context of requests, and more to determine if each individual request is trusted or not. With many industries still being dependent on legacy entities, while using hybrid cloud deployments, it is highly motivated to research the migration towards zero-trust, while keeping these legacy entities. The thesis implemented two zero-trust like solutions spanning across AWS and an on-prem environment based on the zero-trust definition of NIST (SP 800-207). The first solution made use of a mediator, which leveraged the Identity and Access Management System in AWS to determine trust. The second solution leveraged network access control lists and firewalls to configure temporary routes for communication with the legacy devices. Along with this, a reference system, based on perimeter defense was implemented as well. The systems were evaluated from a security perspective, as well as with regard to performance, compliance (with relevant part of the AWS Well-Architected Framework), and compatibility (with requirements in NIST SP 800-207). The security analysis indicates that the security of the implemented zero-trust systems improved significantly. Performance-wise, both solutions performed worse than the reference system. A number of possible ways to improve performance were identified, but requires further testing. Given the proof-of-concept, the systems did not fulfill full compliance nor compatibility with the mentioned frameworks but is expected to fulfill most if implemented in a production environment with greater resources.

Traditionellt sett har system som inte är menade att vara publika på öppna internet varit skyddade med den så kallade skalskyddsmodellen. En enhet på det interna nätverket anses betrodd, och ges tillgång till dem resurser som finns på nätverket. Det huvudsakliga problemet med detta är att någon som brutit skalskyddet får tillgång till allt på det interna nätverket. Nolltillitsmodellen är en modernare säkerhetslösning som inte bygger på skalskydd, utan istället nyttjar identiteter, kontexten i enskilda förfrågningar, och liknande för att utvärdera tillit för varje enskild förfrågan. Många branscher är fortfarande beroende av äldre komponenter, som ofta nyttjas tillsammans med hybridmolnlösningar. Det är därmed motiverat att undersöka migrering mot nolltillitsmodellen i hybridmiljöer där de föråldrade komponenterna finns kvar. Uppsatsen har implementerat två lösningar baserade på nolltillitskoncept från NIST SP 800-207 som sträcker sig över AWS och ett lokalt datacenter. Den första lösningen baserades på en komponent som medlar anslutningen, och som nyttjar identitetshanteringssystemet i AWS för att fastställa trovärdighet. Den andra lösningen nyttjar AWS funktion för att styra tillåten och otillåten nätverkstrafik (Network Access Control List), samt en lokal brandvägg för att tillåta temporär kommunikation med den föråldrade komponenten. Parallellt med dessa system implementerades även ett referenssystem som bygger på den föråldrade skalskyddsmodellen. Systemen utvärderades från ett säkerhetsperspektiv, samt med avseende på prestanda, efterlevnad (med AWS ramverk AWS Well-Architected Framework), and kompabilitet med de krav som listas i NISTs SP 800-207. Säkerhetsanalysen indikerar en påtaglig förbättring för de implementerade systemen. Snittprestandan var avsevärt sämre i för båda lösningarna. Ett antal möjliga prestandaförbättringar har identifierats, men kräver vidare tester. Givet att detta var en prototyp uppnåddes inte full efterlevnad eller kompabilitet med dem listade ramverken. Däremot är det väntat att ett skarpt system skulle ha potential att uppnå dem flesta kraven förutsatt större resurser.