安全

使用 AWS Verified Access 实现零信任访问 - 无需 VPN 的应用程序连接

消除 VPN,每次验证用户身份和设备安全状态,实现零信任访问。介绍通过 Cedar 策略实现精细控制的方法。

約 1 分で読めます

零信任与 Verified Access

零信任否定了「因为在网络内部所以信任」的传统边界安全模型,是一种验证所有访问的理念。VPN 提供到企业内网的隧道,但存在连接 VPN 后就能访问所有资源的问题。Verified Access 以应用程序为单位控制访问,每次验证用户的身份和设备的安全状态。无需安装 VPN 客户端、管理 VPN 连接、扩展 VPN 服务器,用户通过浏览器直接访问应用程序。

信任提供商与策略设计

信任提供商是验证用户身份和设备可信度的组件。作为用户信任提供商,设置 IAM Identity Center、Okta、Ping Identity 等 IdP,通过 OIDC 令牌认证用户。作为设备信任提供商,设置 CrowdStrike 或 Jamf,验证设备的操作系统版本、补丁状态和安全软件运行状态。访问策略使用 Cedar 语言编写,通过用户组和设备状态的组合来允许或拒绝访问。例如可以定义「仅允许属于工程师组且 CrowdStrike 处于活动状态的设备的访问」等策略。

端点设置与运维

Verified Access 端点通过指定 ALB 或网络接口来创建。在现有 ALB 前端部署 Verified Access,无需修改应用程序即可应用零信任访问。端点设置自定义域名和 TLS 证书,用户通过 https://app.example.com 这样的 URL 进行访问。访问日志记录用户 ID、设备信息、访问源 IP 和策略评估结果,可发送到 CloudWatch Logs 或 S3。安全团队分析日志检测可疑的访问模式,用于改进策略。 要深入了解无 VPN 的实践知识,专业书籍 (Amazon)会有所帮助。

Verified Access 的定价

Verified Access 的定价由应用程序(端点)的按时计费和数据处理量构成。每个端点约 0.27 美元/小时(月额约 194 美元),数据处理每 GB 约 0.02 美元。与 VPN 解决方案(Client VPN 每连接约 0.05 美元/小时 + 子网关联约 0.10 美元/小时)相比,对少量应用程序的访问控制,Verified Access 更简单且成本更低。但在应用程序数量多的环境中,端点的固定费用会累积,因此建议分阶段引入并验证性价比。

总结

Verified Access 是消除 VPN、基于零信任原则提供应用程序访问的服务。每次验证用户身份和设备安全状态,通过 Cedar 策略实现精细的访问控制。最适合远程办公环境中的安全应用程序访问。

相关服务

AWS Verified Access无需 VPN 即可安全访问企业应用的零信任网络访问服务AWS IAM安全管理 AWS 资源访问权限的身份认证与授权服务Amazon CloudWatch提供 AWS 资源和应用程序的监控、日志管理和告警的服务

相关文章

AWS Network Firewall 实现 VPC 流量控制 - 有状态规则与域名过滤通过有状态/无状态规则和域名过滤控制 VPC 流量。介绍 Suricata 兼容规则和托管规则的应用方法。使用 Amazon Verified Permissions 实现精细授权 - 基于 Cedar 策略的访问控制使用 Cedar 策略语言将授权逻辑从应用程序代码中外部化,通过 Cognito 集成实现基于令牌的授权判定。零信任网络访问 - 使用 AWS Verified Access 实现无 VPN 的安全访问解析使用 AWS Verified Access 实现无 VPN 的零信任访问。介绍身份提供商集成、设备信任、基于策略的访问控制以及与传统 VPN 的比较。

本主题的更多内容

使用 IAM Access Analyzer 检测过度访问权限 - 外部访问与未使用权限分析基于 CloudTrail 检测 IAM 角色的未使用权限,并自动生成最小权限策略。本文涵盖外部访问检测以及将自定义策略检查集成到 CI/CD 流水线的完整流程。使用 AWS Certificate Manager 自动化 SSL/TLS 证书管理 - 从签发到轮换详解 ACM 免费签发公共证书、DNS 验证、自动续期,以及部署到 ALB 和 CloudFront 的完整流程。使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS 账户 ID 12 位数字背后的结构 - 为什么是 12 位,能读取哪些信息从趣味知识角度解析 AWS 账户 ID 为何是 12 位数字、ARN 结构中蕴含的设计意图,以及从账户 ID 可推测的信息和安全注意事项。AWS 账户根用户为何如此危险 - 权限分离的设计思想与封印实践解析 AWS 根用户拥有 IAM 无法限制的特权的原因,列举仅根用户可执行的操作,介绍 MFA 设置方法以及通过 Organizations 根访问管理实现的封印策略。证书管理与 HTTPS 化 - 使用 AWS Certificate Manager 自动运维 TLS 证书介绍使用 AWS Certificate Manager(ACM)进行 TLS/SSL 证书的签发、自动续期和部署。包括与 CloudFront、ALB、API Gateway 的集成、DNS 验证以及 Private CA 的应用。通过 AWS CloudHSM 实现专用密钥管理 - 符合 FIPS 140-2 Level 3 的加密通过专有 HSM 实例实现符合 FIPS 140-2 Level 3 的密钥管理。介绍与 KMS 的区分使用以及通过 KMS 自定义密钥存储实现两者集成的方法。

相似的文章与服务

零信任网络访问 - 使用 AWS Verified Access 实现无 VPN 的安全访问解析使用 AWS Verified Access 实现无 VPN 的零信任访问。介绍身份提供商集成、设备信任、基于策略的访问控制以及与传统 VPN 的比较。AWS Verified Access无需 VPN,基于设备安全状态和身份提供者认证信息实现企业应用零信任访问的服务AWS 的零信任网络 - 通过 Verified Access 和 PrivateLink 实现无边界安全解析通过 AWS Verified Access、PrivateLink、VPC Lattice 实现零信任网络的方法,并与 Azure Private Link 的设计差异进行比较。身份与访问管理设计 - 通过 IAM 实现零信任安全解析利用 AWS IAM 的访问管理设计方法,介绍最小权限原则、策略设计、与 Cognito 联动实现零信任安全的方法。