云对比

AWS 的零信任网络 - 通过 Verified Access 和 PrivateLink 实现无边界安全

解析通过 AWS Verified Access、PrivateLink、VPC Lattice 实现零信任网络的方法,并与 Azure Private Link 的设计差异进行比较。

約 2 分で読めます

零信任原则与 AWS 的实现方式

零信任是「不信任任何事物,始终验证」的安全模型。传统的边界型安全信任内部网络、防御与外部的边界,而零信任不论网络位置如何都验证所有访问。AWS 采用的不是单一服务而是多个服务组合来实现零信任的方式。Verified Access 控制应用级访问,PrivateLink 提供服务间的私有连接,VPC Lattice 统一管理微服务间通信。这些服务的组合覆盖了从用户到应用、从应用到服务、从服务到服务的所有通信路径。

Verified Access - 无需 VPN 的应用访问

AWS Verified Access 是无需 VPN 即可安全提供企业应用访问的服务。传统上远程工作者访问内部应用需要 VPN 连接,但 VPN 允许对整个网络的访问,违反零信任原则。Verified Access 按应用单位定义访问策略,根据用户的身份、设备状态、网络位置等多个信号进行访问判断。与 AWS IAM Identity Center 和第三方身份提供商(Okta、Ping Identity 等)集成,实现基于身份的精细访问控制。每次访问请求都经过策略评估,仅允许满足条件的访问。

PrivateLink 实现服务间的私有连接

AWS PrivateLink 是从 VPC 内资源到 AWS 服务或其他 VPC 服务的私有连接机制,无需经过互联网。使用 PrivateLink 时,流量在 AWS 骨干网络内传输,不暴露于公共互联网。这直接对应零信任的「最小化攻击面」原则。PrivateLink 的技术实现是在消费者 VPC 中创建 ENI(弹性网络接口),通过该 ENI 与提供者服务通信。流量不经过互联网网关、NAT 网关或 VPN 连接,完全在 AWS 网络内完成。

VPC Lattice - 微服务间通信的统一管理

VPC Lattice 是 2023 年 GA 的相对较新的服务,是统一管理微服务间通信的应用网络服务。传统上控制微服务间通信需要组合 ALB、NLB、API GatewayApp Mesh 等,VPC Lattice 将这些功能整合,以单一服务提供服务间连接、流量管理和访问控制。VPC Lattice 的特点是可以跨 VPC 和账户边界连接服务。不同 VPC、不同账户的服务可以通过 VPC Lattice 的服务网络安全通信,无需 VPC Peering 或 Transit Gateway

与 Azure Private Link 的设计差异

Azure 也提供 Private Link,基本概念与 AWS PrivateLink 相同。在 VNet 中创建私有端点,私有连接到 Azure 服务或其他 VNet 的服务。但存在一些设计差异。Azure Private Link 以与 Private DNS Zone 的集成为前提,DNS 解析的配置比 AWS 复杂。AWS 的 PrivateLink 通过 VPC 端点策略可以精细控制允许访问的操作和资源,这种策略级控制在 Azure 中较为有限。在零信任网络的整体方案上,Azure 以 Azure AD Conditional Access 和 Microsoft Defender for Cloud 为中心构建,与 Microsoft 生态系统的整合是其优势。AWS 则以 Verified Access + PrivateLink + VPC Lattice 的组合提供更灵活的构成。 如需深入了解零信任网络设计,相关书籍 (Amazon) 也可供参考。

总结

AWS 的零信任网络通过 Verified Access 的应用级访问控制、PrivateLink 的服务间私有连接、VPC Lattice 的微服务间通信统一管理的组合来实现。不依赖 VPN 的访问模型、不经过互联网的服务间通信、跨 VPC 边界的统一通信管理,超越了传统边界型安全的局限,实现了真正的零信任架构。Azure 以 Azure AD 为中心的整合方式在 Microsoft 生态系统中有效,但 AWS 的组合方式提供了更高的灵活性和精细控制。

相关服务

Amazon VPC在 AWS 云中构建逻辑隔离的虚拟网络的服务

相关文章

AWS 网络服务的深度 - VPC、Transit Gateway、PrivateLink 实现的企业网络设计将以 AWS 的 VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall 为核心的网络服务群与 Azure VNet/ExpressRoute 及 GCP VPC/Cloud Interconnect 进行比较,解析企业网络设计中灵活性的优势。AWS IAM 细粒度访问控制 - 基于策略的设计实现最小权限原则解析 AWS IAM 基于策略的访问控制设计思想,并与 Azure RBAC 和 GCP IAM 在粒度方面进行具体比较。AWS 安全服务的整合力 - 从 GuardDuty 到 Detective 无需 SIEM 的原生威胁检测解析 GuardDuty、Security Hub、Detective、Macie 协同实现的原生威胁检测机制,并与 Azure Sentinel 的设计思想进行比较。

本主题的更多内容

Amazon.com 是 AWS 最大的客户 - 内部吃狗粮机制打造的服务质量秘密从 Amazon.com 的电商网站、Prime Video、Alexa 运行在 AWS 上的事实出发,解析内部吃狗粮机制如何提升服务质量,以及 Prime Day 的负载如何锤炼 AWS 的架构设计。AWS AI/ML 服务层级结构 - SageMaker、Bedrock 与 API 型服务三层实现的灵活性将 AWS 的 AI/ML 服务整理为 SageMaker(完全控制)、Bedrock(托管式生成 AI)和 Rekognition 等(API 型)三层结构,通过与 GCP Vertex AI 和 Azure OpenAI Service 的对比,解析包含自研芯片集成在内的 AWS 灵活性优势。AWS 数据分析与数据湖 - Athena、Glue、Lake Formation、Redshift 的集成生态系统解析 AWS 的 Athena、Glue、Lake Formation、Redshift、QuickSight 构成的集成数据分析栈,与 Azure Synapse Analytics 和 GCP BigQuery 对比,阐述 AWS 在生态系统整体集成度方面的优势。AWS 的向后兼容性与 API 稳定性 - 永不废弃已发布 API 的方针所建立的信任解析 AWS 坚持不废弃已发布 API 的实绩,与 Azure 的品牌变更和 GCP 的服务停用案例对比,阐述 API 稳定性对企业为何至关重要。AWS 可用区设计 - 物理隔离与故障隔离带来的可靠性差异解析 AWS 可用区作为物理独立数据中心群的设计理念,与 Azure 和 GCP 的可用区对比,通过实际故障案例阐述故障隔离成熟度的差异。AWS 技能的招聘市场价值与认证资格的薪资溢价分析 AWS 技能相关的职位数量、认证资格持有者的薪资溢价及对职业路径的影响,与 Azure 和 GCP 对比,评估 AWS 资格认证的投资回报。AWS 技术社区与学习资源 - 从 re:Invent 到 JAWS-UG将 re:Invent、AWS Summit、JAWS-UG 等技术社区以及日语文档和培训的充实度与 Azure 和 GCP 对比,解析 AWS 学习环境的优势。AWS 143 项以上合规认证的全面覆盖 - 从 ISMAP 到 PCI DSS 压倒性的取得实绩以 ISMAP、SOC、PCI DSS、HIPAA 为轴解析 AWS 取得的 143 项以上合规认证,并与 Azure 和 GCP 的认证覆盖度进行对比。

相似的文章与服务

零信任网络访问 - 使用 AWS Verified Access 实现无 VPN 的安全访问解析使用 AWS Verified Access 实现无 VPN 的零信任访问。介绍身份提供商集成、设备信任、基于策略的访问控制以及与传统 VPN 的比较。AWS Verified Access无需 VPN 即可安全访问企业应用的零信任网络访问服务使用 AWS Verified Access 实现零信任访问 - 无需 VPN 的应用程序连接消除 VPN,每次验证用户身份和设备安全状态,实现零信任访问。介绍通过 Cedar 策略实现精细控制的方法。Amazon VPC Lattice 的服务网络 - 简化微服务间通信无需 Envoy 代理的 L7 服务网络,简化跨 VPC、跨账户的微服务间通信。介绍 IAM 认证和与 App Mesh 的选择对比。Amazon VPC Lattice统一管理跨 VPC 和跨账户的服务间通信,提供认证、授权和流量控制的应用网络服务