连续6年不跑路的安全速度最适合国人VPN
今天,我们宣布了 AWS Verified Access 的预览,这是一个全新的安全连接服务,允许企业为其企业应用程序启用本地或远程安全访问,而无需使用 VPN。
传统的远程访问挑战
传统上,远程访问应用程序时,通常依赖于 VPN。当远程员工在 VPN 上通过身份验证后,他们可以根据不同团队在孤立系统中定义的多个策略访问广泛的应用程序。这些策略通常由不同的团队管理,可能导致重叠,使诊断应用访问问题变得困难。内部应用程序通常依赖于较旧的身份验证协议,如 Kerberos,而不是现代协议,如 OIDC,这些协议更适合现代企业模式。客户告诉我们,策略更新可能需要数月才能推出。
Verified Access 的核心理念
Verified Access 是基于 AWS 零信任安全原则构建的。零信任是一种概念模型及相关机制,专注于为数字资产提供安全控制,这些控制不单独或根本依赖于传统网络控制或网络边界。
Verified Access 通过利用多种安全输入来改善组织的安全态势。只有当用户及其设备满足特定的安全要求时,才能访问应用程序。安全输入的例子包括用户身份和角色或设备安全态势等。Verified Access 在授予访问权限之前,会验证每个应用请求,无论用户或网络如何。这种评估使 Verified Access 能够根据变化的条件调整安全态势。例如,如果设备安全信号表明您的设备态势不合规,则 Verified Access 将不再允许您访问应用程序。
采用 Verified Access 的三大主要好处
-
便于 IT 管理员使用
作为 IT 管理员,您现在可以轻松设置应用程序以进行安全远程访问。它提供了一个单一配置点,管理和执行多系统安全策略,以允许或拒绝对企业应用程序的访问。 -
开放生态系统
Verified Access 允许您保留现有的身份提供者和设备管理系统。我们在本文末尾列出了所有合作伙伴。 -
便于最终用户使用
这是我最喜欢的部分。您的员工不再需要使用 VPN 客户端。一个简单的浏览器插件足以在用户和设备被识别和验证时安全地授予访问权限。到目前为止,我们支持 Chrome 和 Firefox 浏览器。这是我个人的经验。几年前,亚马逊采取了无 VPN 策略。能够访问大多数内部 Web 应用程序而不必启动 VPN 客户端并全天保持连接,对我和我的同事来说是一种解脱。
实际操作演示
我在私有 VPC 中部署了一个 Web 服务器,并通过私有应用负载均衡器(https://demo.seb.go-aws.com)将其暴露给最终用户。我为应用程序外部端点(secured.seb.go-aws.com)创建了一个 TLS 证书。我还设置了 AWS 身份中心(AWS SSO 的继任者)。在此演示中,我将其用作用户身份的来源。现在,我准备将此应用程序暴露给我的远程员工。
创建 Verified Access 端点的四个步骤
-
创建信任提供者
我导航到 AWS 管理控制台的 VPC 页面,首先创建信任提供者。信任提供者维护和管理用户和设备的身份信息。当发出应用请求时,信任提供者发送的身份信息将由 Verified Access 评估,然后决定是否允许或拒绝该请求。 -
创建 Verified Access 实例
Verified Access 实例是一个区域性 AWS 实体,它评估应用请求,并仅在满足安全要求时授予访问权限。 -
创建 Verified Access 组
Verified Access 组是具有相似安全要求的应用程序集合。每个应用程序共享一个组级策略,例如,可以将所有“财务”用户的应用程序组合在一起,并使用一个公共策略。这简化了策略管理。 -
创建 Verified Access 端点
Verified Access 端点是一个区域资源,指定 Verified Access 将提供访问的应用程序。这是最终用户连接的地方。每个端点都有自己的 DNS 名称和 TLS 证书。
完成设置
完成设置后,我看到 Verified Access 端点已激活。接下来,我将端点域名添加为我的应用程序 DNS 名称(secured.seb.go-aws.com)的 CNAME 记录。然后,我在浏览器中输入 https://secured.seb.go-aws.com。浏览器被重定向到 IAM 身份中心(之前的 AWS SSO),我输入测试用户的用户名和密码。
结论
AWS Verified Access 为企业提供了一种新的安全连接方式,解决了传统 VPN 的许多问题。通过采用零信任模型,它不仅提高了安全性,还简化了管理流程,提升了用户体验。无论您是 IT 管理员还是最终用户,Verified Access 都是一个值得关注的解决方案。
