Seguridad

Acceso de red Zero Trust - Acceso seguro sin VPN con AWS Verified Access

Explicamos el acceso Zero Trust sin VPN usando AWS Verified Access. Integración con proveedores de identidad, confianza de dispositivos, control de acceso basado en políticas y comparación con VPN tradicional.

約 5 分で読めます

Problemas de VPN y necesidad de Zero Trust

El acceso remoto tradicional a aplicaciones corporativas se realizaba principalmente mediante VPN. Sin embargo, VPN tiene muchos problemas. Al conectarse a la VPN se puede acceder a toda la red, violando el principio de mínimo privilegio. El ancho de banda del concentrador VPN se convierte en cuello de botella, degradando el rendimiento con el aumento de trabajadores remotos. La instalación y configuración del cliente VPN supone una carga para los usuarios. Si las credenciales VPN se filtran, toda la red queda en riesgo. El modelo Zero Trust se basa en el principio de verificar todo acceso independientemente de si es interno o externo a la red, resolviendo estos problemas. AWS Verified Access es un servicio de acceso de red Zero Trust lanzado en 2023 que verifica la identidad del usuario y la confiabilidad del dispositivo antes de permitir el acceso por aplicación.

Arquitectura y definición de políticas

Verified Access se compone de tres elementos: Trust Provider (proveedor de confianza), Access Group (grupo de acceso) y Endpoint (punto final). Los grupos de acceso son grupos de endpoints que comparten políticas. Los endpoints son las aplicaciones protegidas (ALB o interfaz de red). Las políticas de acceso se definen con el lenguaje de políticas Cedar. Cedar es un lenguaje de políticas open source desarrollado por AWS que permite escribir reglas de acceso de forma declarativa. ``` // Permitir acceso si pertenece al grupo de ingeniería y el dispositivo está en estado conforme permit(principal, action, resource) when { context.identity.groups.contains("engineering") && context.device.status == "compliant" }; ``` Es posible un control granular combinando atributos de usuario (grupos, dominio de correo), atributos de dispositivo (versión de SO, estado de cifrado, estado de parches) y atributos de solicitud (dirección IP, franja horaria).

Implementación e integración con aplicaciones existentes

La implementación de Verified Access se puede realizar sin modificar las aplicaciones existentes. Se coloca un endpoint de Verified Access delante del ALB, y los usuarios acceden a la URL del endpoint de Verified Access desde el navegador. Verified Access verifica la identidad y el dispositivo, y solo reenvía la solicitud al ALB si cumple con la política. Los usuarios no necesitan instalar un cliente VPN y pueden acceder directamente a la aplicación desde el navegador. Verified Access agrega información del usuario (dirección de correo, grupos, etc.) en los encabezados de la solicitud al reenviar al ALB, por lo que la aplicación también puede aprovechar la información del usuario. La integración con CloudWatch Logs permite registrar logs de acceso para auditar quién accedió a qué aplicación y cuándo. Para profundizar en conocimientos prácticos de Zero Trust, puede consultar libros especializados (Amazon).

Comparación con VPN y precios

Las principales diferencias entre Verified Access y VPN son la granularidad del acceso y la experiencia del usuario. VPN proporciona acceso a nivel de red, permitiendo acceder a todos los recursos de la red una vez conectado. Verified Access proporciona acceso a nivel de aplicación, permitiendo acceder solo a las aplicaciones autorizadas por la política. VPN requiere instalación de software cliente, mientras que Verified Access funciona solo con el navegador. VPN tiene el ancho de banda como cuello de botella, mientras que Verified Access aprovecha la red global de AWS para proporcionar alto rendimiento. Sin embargo, hay casos donde VPN sigue siendo necesario: acceso directo a servidores mediante SSH o RDP, comunicación con protocolos no HTTP, y cuando se requiere acceso a nivel de red, Client VPN sigue siendo adecuado. El precio es de 0,27 USD/hora por endpoint (aproximadamente 197 USD/mes) y 0,02 USD/GB de procesamiento de datos.

Resumen - Directrices de uso de Verified Access

AWS Verified Access es un servicio que controla el acceso a aplicaciones corporativas con modelo Zero Trust sin usar VPN. Sus principales fortalezas son la integración con proveedores de identidad y soluciones de gestión de dispositivos, el control de acceso granular con políticas Cedar, y la implementación sin cambios en aplicaciones existentes. Vale la pena considerarlo como alternativa a VPN para casos de uso donde trabajadores remotos acceden a aplicaciones corporativas basadas en web.

Servicios relacionados

AWS Verified AccessServicio que proporciona acceso seguro a aplicaciones corporativas sin VPNAWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaSAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Artículos relacionados

Inicio de sesión único con AWS IAM Identity Center - Gestión de acceso multi-cuentaLogra inicio de sesión único para entornos multi-cuenta y controla los niveles de acceso a cada cuenta con conjuntos de permisos. Cubre integración con IdP externo y uso de ABAC.Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Redes de servicios con Amazon VPC Lattice - Simplificación de la comunicación entre microserviciosSimplifica la comunicación entre microservicios cross-VPC y cross-cuenta con redes de servicios L7 sin necesidad de proxy Envoy. Presentamos la autenticación IAM y la diferenciación con App Mesh.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Acceso Zero Trust con AWS Verified Access - Conexión a aplicaciones sin VPNEliminación de VPN y acceso zero trust que verifica la identidad del usuario y el estado de seguridad del dispositivo en cada acceso. Presentamos el control granular con políticas Cedar.AWS Verified AccessServicio de acceso de red zero-trust que verifica la identidad del usuario y la postura del dispositivo antes de conceder acceso a aplicaciones corporativas sin necesidad de VPNRedes Zero Trust en AWS - Seguridad sin perímetro con Verified Access y PrivateLinkExplicamos la implementación de redes Zero Trust con AWS Verified Access, PrivateLink y VPC Lattice, comparando las diferencias de diseño con Azure Private Link.Amazon Verified PermissionsServicio de autorización detallada para aplicaciones personalizadas usando el lenguaje de políticas Cedar