零信任网络访问 - 使用 AWS Verified Access 实现无 VPN 的安全访问
解析使用 AWS Verified Access 实现无 VPN 的零信任访问。介绍身份提供商集成、设备信任、基于策略的访问控制以及与传统 VPN 的比较。
VPN 的课题与零信任的必要性
传统的内部应用程序远程访问以 VPN 为主流。但 VPN 存在许多课题。连接 VPN 后可以访问整个网络,违反最小权限原则。VPN 集中设备的带宽成为瓶颈,随着远程工作者增加性能下降。VPN 客户端的安装和配置给用户带来负担。VPN 认证信息泄露时整个网络面临风险。零信任模型基于「无论网络内外,验证所有访问」的原则解决这些课题。AWS Verified Access 基于零信任原则,以应用程序为单位验证用户身份和设备安全状态后才允许访问。
架构与策略定义
Verified Access 由信任提供商(Trust Provider)、访问组(Access Group)和端点(Endpoint)3 个要素构成。访问组是共享策略的端点组。端点是保护对象的应用程序(ALB 或网络接口)。访问策略使用 Cedar 策略语言定义。Cedar 是 AWS 开发的开源策略语言,可以声明式地编写访问规则。例如可以定义「属于工程师组且设备安全评分在 80 以上时允许访问」等条件组合的策略。
与 VPN 的比较和迁移路径
与 VPN 相比,Verified Access 在安全性和用户体验方面都有优势。VPN 提供网络级访问(连接后可访问所有内部资源),Verified Access 提供应用程序级访问(仅允许访问特定应用)。VPN 需要客户端安装,Verified Access 通过浏览器直接访问。VPN 的认证是连接时一次性的,Verified Access 每次请求都验证。迁移路径建议从低风险的内部工具开始,逐步将应用程序从 VPN 迁移到 Verified Access。
Verified Access 的定价与运维
Verified Access 的定价由端点的按时计费和数据处理量构成。每个端点约 0.27 美元/小时(月额约 194 美元),数据处理每 GB 约 0.02 美元。与 Client VPN(每连接约 0.05 美元/小时 + 子网关联约 0.10 美元/小时)相比,应用程序数量少时 Verified Access 更经济。访问日志记录用户 ID、设备信息、策略评估结果,发送到 CloudWatch Logs 或 S3 进行安全分析。
总结
Verified Access 是消除 VPN、基于零信任原则提供应用程序级安全访问的服务。通过身份提供商和设备信任提供商每次验证访问,通过 Cedar 策略实现精细的访问控制。与 VPN 相比在安全性(最小权限)和用户体验(无需客户端)方面都有优势。建议从内部工具开始分阶段迁移。