连续6年不跑路的安全速度最适合国人VPN
Fever是全球领先的现场娱乐发现平台,自2014年以来,已帮助数百万用户在其城市中发现最佳体验。Fever的使命是通过其平台实现文化和娱乐的民主化,激励用户享受独特的本地活动和体验。我们为创作者提供数据和技术支持,帮助他们在全球范围内创建和扩展体验。
需求背景
在Fever,我们每天使用多种跨职能工具和服务。为了保护这些服务的隐私,同时确保远程工作的企业团队能够访问这些服务,我们需要全球范围内的私人访问权限。最初,我们使用基于OpenVPN软件的定制虚拟专用网络(VPN)解决方案来满足这一需求。然而,随着公司的增长,用户证书的管理变得复杂且耗时。因此,我们决定寻找一种可扩展、安全且易于维护的解决方案,以便为用户提供访问权限,并与我们现有的单点登录体验兼容。
选择AWS Verified Access
经过评估,我们发现AWS Verified Access满足了所有要求。Verified Access提供了无VPN的安全访问企业应用程序的能力,同时降低了远程连接的风险。该解决方案基于AWS零信任原则,只有当用户及其设备满足特定安全要求时,才会授予对应用程序的访问权限。我们在少量用户中进行了测试,成功后决定在生产环境中推广这一解决方案,涵盖更广泛的应用程序。部署成功后,应用程序能够受益于安全的单点登录集成。
用户和证书管理的挑战
在使用OpenVPN多年后,我们面临以下挑战:
- 证书管理:随着用户数量的增加,我们需要为越来越多的用户签发证书,并在不再需要访问的用户中撤销证书。
- 单点登录同步:所有用户未与单点登录系统同步。
- 系统更新:服务器和客户端需要更新和安全补丁,有时会导致意外的停机。
- 高可用性:由于所有连接都由单个Amazon EC2实例处理,缺乏高可用性。
这些任务占用了大量时间,使我们无法专注于更重要的业务活动。
向AWS Verified Access的转型
为了评估Verified Access的采用,我们选择了一个开发环境中的小型应用程序进行测试。该应用程序的用户界面没有访问控制,内部应用负载均衡器作为入口点。我们创建了一个新的客户端,并在Verified Access信任提供者中创建了OpenID Connect(OIDC)提供者,管理用户和设备的身份信息。
接下来,我们为新创建的Verified Access信任提供者创建了一个Verified Access实例,并创建了一个用于测试的用户组。Verified Access策略允许我们定义访问AWS托管应用程序的规则。
以下是我们创建的策略示例:
plaintext
permit(principal,action,resource)
when {
[
"example.email@example.com",
].contains(context.GoogleSSO.email) &&
context.GoogleSSO.email_verified == true
};
该策略测试两个条件:
- 电子邮件必须在组织内经过验证。
- 电子邮件必须匹配特定地址。
结果与收获
在使用OpenVPN解决方案时,每当收到新VPN用户的请求时,我们需要收集用户信息、签署证书、更新OpenVPN服务器证书存储,并测试用户的连接。这一过程通常需要15分钟到1小时。而采用AWS Verified Access后,这一时间缩短至5分钟。我们现在可以在几分钟内为大批用户或整个公司提供访问权限。
用户还报告说,他们对内部工具的访问速度更快,因为我们不再依赖单个EC2实例运行OpenVPN,而是采用了专用的负载均衡器。
总结
通过转型到AWS Verified Access,Fever不仅提高了用户的访问速度和安全性,还简化了用户和证书的管理流程。这一转型让我们能够将更多的精力集中在业务增长和用户体验上,同时保持对内部工具的安全访问。
