Seguridad

Acceso Zero Trust con AWS Verified Access - Conexión a aplicaciones sin VPN

Eliminación de VPN y acceso zero trust que verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. Presentamos el control granular con políticas Cedar.

約 3 分で読めます

Zero Trust y Verified Access

Zero Trust es un enfoque que niega el modelo de seguridad perimetral tradicional de "confiar porque está dentro de la red" y verifica todos los accesos. VPN proporciona un túnel a la red corporativa, pero tiene el problema de que una vez conectado a la VPN, se puede acceder a todos los recursos. Verified Access controla el acceso por aplicación, verificando la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. A diferencia de VPN, no proporciona acceso a nivel de red sino acceso a nivel de aplicación, implementando el principio de mínimo privilegio.

Proveedores de confianza y diseño de políticas

Los proveedores de confianza son componentes que verifican la identidad del usuario y la confiabilidad del dispositivo. Se configuran proveedores de identidad (IdP) como IAM Identity Center, Okta o Ping Identity como proveedores de confianza de usuario, autenticando usuarios con tokens OIDC. Se configuran CrowdStrike o Jamf como proveedores de confianza de dispositivo, verificando la versión del SO, el estado de parcheado y el software de seguridad del dispositivo. Las políticas Cedar combinan estas señales de confianza para definir condiciones de acceso como "permitir acceso solo si el usuario pertenece al grupo de ingeniería Y el dispositivo tiene el SO actualizado Y el disco está cifrado".

Configuración de endpoints y operación

Los endpoints de Verified Access se crean especificando un ALB o una interfaz de red. Al colocar Verified Access delante de un ALB existente, se puede aplicar acceso zero trust sin cambios en la aplicación. Se configuran dominios personalizados y certificados TLS en los endpoints, y los usuarios acceden a través de URLs como https://app.example.com. Los logs de acceso se envían a CloudWatch Logs, S3 o Kinesis Data Firehose, registrando quién accedió a qué aplicación, cuándo y desde qué dispositivo para auditoría. Para aprender de forma sistemática sobre zero trust, libros (Amazon) son una referencia útil.

Precios de Verified Access

Los precios de Verified Access se componen de cobro por hora de aplicación (endpoint) y volumen de datos procesados. Cada endpoint cuesta aproximadamente 0.27 USD/hora (aproximadamente 194 USD/mes), y el procesamiento de datos cuesta aproximadamente 0.02 USD por GB. En comparación con soluciones VPN (Client VPN cuesta aproximadamente 0.05 USD/hora por conexión + aproximadamente 0.10 USD/hora por asociación de subred), Verified Access puede ser más económico cuando hay muchos usuarios pero pocas aplicaciones.

Resumen

Verified Access es un servicio que elimina VPN y proporciona acceso a aplicaciones basado en principios zero trust. Verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso, y logra control de acceso granular con políticas Cedar. Es ideal para el acceso seguro a aplicaciones en entornos de trabajo remoto.

Servicios relacionados

AWS Verified AccessServicio que proporciona acceso seguro a aplicaciones corporativas sin VPNAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSAmazon CloudWatchUn servicio que proporciona monitoreo, gestión de logs y alarmas para recursos AWS y aplicaciones

Artículos relacionados

Control de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.Autorización granular con Amazon Verified Permissions - Control de acceso con políticas CedarPresentamos la técnica de externalizar la lógica de autorización del código de la aplicación con el lenguaje de políticas Cedar, y lograr decisiones de autorización basadas en tokens con la integración de Cognito.Acceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Acceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified AccessExplicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.AWS Verified AccessServicio de acceso de red zero-trust que verifica la identidad del usuario y la postura del dispositivo antes de conceder acceso a aplicaciones corporativas sin necesidad de VPNRedes Zero Trust en AWS - Seguridad sin perímetro con Verified Access y PrivateLinkExplicamos la implementación de redes Zero Trust con AWS Verified Access, PrivateLink y VPC Lattice, comparando las diferencias de diseño con Azure Private Link.Amazon Verified PermissionsServicio de autorización detallada para aplicaciones personalizadas usando el lenguaje de políticas Cedar