AWS Verified Access
Servicio de acceso de red zero-trust que verifica la identidad del usuario y la postura del dispositivo antes de conceder acceso a aplicaciones corporativas sin necesidad de VPN
Descripción general
AWS Verified Access es un servicio que proporciona acceso seguro a aplicaciones corporativas sin necesidad de VPN, implementando principios de zero-trust. Verifica la identidad del usuario mediante proveedores de identidad (IdP) y evalúa la postura de seguridad del dispositivo antes de conceder acceso a cada aplicación individualmente. Cada solicitud de acceso se evalúa contra políticas que consideran identidad, contexto del dispositivo y atributos de la solicitud, eliminando la confianza implícita basada en la ubicación de red.
Arquitectura zero-trust y componentes del servicio
Verified Access implementa el modelo zero-trust donde ninguna solicitud se confía implícitamente basándose en la red de origen. Los componentes principales son: instancias de Verified Access (el plano de control), grupos de Verified Access (agrupaciones lógicas de aplicaciones con políticas comunes), endpoints de Verified Access (puntos de entrada para cada aplicación) y proveedores de confianza (trust providers) que proporcionan señales de identidad y dispositivo. El flujo es: el usuario accede a la URL de la aplicación, Verified Access redirige al IdP para autenticación, evalúa la postura del dispositivo mediante el trust provider de dispositivo, aplica la política de acceso y, si se aprueba, proxea la solicitud a la aplicación backend. Las aplicaciones no necesitan modificación ya que Verified Access actúa como proxy inverso transparente.
Políticas de acceso y proveedores de confianza
Las políticas de acceso se escriben en Cedar (el mismo lenguaje usado por Verified Permissions) y evalúan atributos del usuario (grupos, departamento, rol), atributos del dispositivo (estado de cifrado de disco, versión del SO, presencia de antivirus) y contexto de la solicitud (hora, ubicación). Los proveedores de confianza de identidad incluyen IAM Identity Center, Okta, CrowdStrike, Jamf y otros IdPs compatibles con OIDC. Los proveedores de confianza de dispositivo evalúan la postura de seguridad del endpoint usando agentes instalados en los dispositivos corporativos. Las políticas pueden ser tan granulares como: 'permitir acceso a la aplicación de finanzas solo a usuarios del grupo Finance, con dispositivos corporativos que tengan disco cifrado y SO actualizado, durante horario laboral'. Los logs de acceso registran cada decisión de autorización con todos los atributos evaluados para auditoría.
Migración desde VPN y patrones de despliegue
La migración desde VPN tradicional a Verified Access se realiza gradualmente: se configura Verified Access para aplicaciones individuales mientras la VPN sigue disponible como fallback. Los usuarios acceden a aplicaciones migradas directamente por URL sin conectar VPN, mejorando la experiencia de usuario y reduciendo la carga en la infraestructura VPN. Los endpoints de Verified Access pueden ser públicos (accesibles desde Internet con verificación) o privados (accesibles solo desde VPCs específicas para defensa en profundidad). Para aplicaciones que requieren acceso desde dispositivos no gestionados (contratistas, BYOD), se pueden crear políticas más restrictivas que limiten el acceso a funciones de solo lectura o requieran autenticación adicional. La integración con WAF proporciona protección adicional contra ataques web en las aplicaciones expuestas a través de Verified Access.