AWS Verified Access
无需 VPN,基于设备安全状态和身份提供者认证信息实现企业应用零信任访问的服务
概述
AWS Verified Access 是一项零信任网络访问服务,无需 VPN 即可基于用户身份和设备安全状态控制对企业内部应用的访问。每次访问请求都根据策略实时评估用户的身份认证状态和设备合规性(如是否安装最新补丁、是否启用磁盘加密),只有同时满足所有条件才允许访问。
信任提供者与策略引擎
Verified Access 的信任提供者(Trust Provider)分为两类:身份信任提供者(IAM Identity Center、OIDC 兼容 IdP)验证用户身份;设备信任提供者(CrowdStrike、Jamf、JumpCloud 等)评估设备安全状态。策略引擎使用 Cedar 策略语言编写访问规则,可基于用户组、设备合规状态、IP 范围、时间等条件组合判断。例如:「仅允许 engineering 组的用户,且设备已安装最新 OS 补丁,从公司网络 IP 范围访问」。策略评估在每次请求时实时执行,实现持续验证而非一次性认证。
端点与访问组的设计
Verified Access 端点(Endpoint)定义受保护的应用入口,支持负载均衡器端点(ALB)和网络接口端点(ENI)两种类型。访问组(Access Group)将多个端点归组并应用统一策略,简化管理。典型设计:按应用敏感度分组——公共应用组(宽松策略)、内部工具组(标准策略)、敏感数据组(严格策略+设备合规要求)。每个组可关联不同的信任提供者组合。Verified Access 实例是顶层容器,包含信任提供者配置和访问组。DNS 通过 CNAME 将应用域名指向 Verified Access 端点,用户访问应用 URL 时自动触发认证和策略评估流程。
设备态势评估与日志审计
设备态势(Device Posture)评估是零信任的关键差异化能力。通过集成 CrowdStrike Zero Trust Assessment、Jamf Pro 等 MDM/EDR 工具,实时获取设备的安全评分、OS 版本、防病毒状态、磁盘加密状态等信息。策略可基于这些属性做出访问决策:设备评分低于阈值则拒绝访问或要求额外认证。访问日志记录每次请求的完整上下文(用户、设备、策略评估结果、允许/拒绝),发送到 CloudWatch Logs、S3 或 Kinesis Data Firehose。日志支持与 SIEM 工具集成进行安全分析。与 WAF 集成可在 Verified Access 前端添加 Web 应用防护层。