AWS Verified Access 专业2022年〜
无需 VPN 即可安全访问企业应用的零信任网络访问服务
它能做什么
AWS Verified Access 是一项基于零信任原则提供企业应用安全访问的服务。无需 VPN,根据用户身份和设备安全状态动态判断是否允许访问。与 IAM Identity Center、第三方身份提供商(Okta、CrowdStrike 等)集成,实现基于策略的细粒度访问控制。
使用场景
用于替代传统 VPN 的远程访问、基于设备安全状态的条件访问、企业内部应用的安全发布、零信任架构的实现。
日常类比
可以比作智能门禁系统。不是只看门卡(VPN 连接)就放行,而是每次都检查身份(用户认证)和健康状况(设备安全状态),只有两者都合格才允许进入特定房间(应用)。
什么是 Verified Access
AWS Verified Access 是一项零信任网络访问(ZTNA)服务。传统 VPN 一旦连接就能访问网络内所有资源,而 Verified Access 对每个应用独立验证访问权限。即使用户已通过身份验证,如果设备不符合安全策略(如未安装最新补丁),也会拒绝访问。
信任提供商与策略
Verified Access 使用信任提供商(Trust Provider)评估用户和设备的可信度。用户信任提供商验证身份(IAM Identity Center、Okta 等),设备信任提供商验证设备状态(CrowdStrike、Jamf 等)。访问策略使用 Cedar 语言定义,可以基于用户组、设备状态等条件精细控制访问。 如需了解信任提供商与策略的配置方法,可参考相关书籍(Amazon)。
开始使用
在 Verified Access 控制台创建实例,配置信任提供商(身份和设备)。创建 Verified Access 组并定义访问策略。创建端点将应用(ALB 或网络接口)关联到组。用户通过浏览器访问应用 URL 时自动进行验证。
注意事项
- 无需 VPN 客户端,用户通过浏览器直接访问应用
- 使用 Cedar 策略语言定义细粒度的访问控制规则
