使用 AWS Verified Access,在无需 VPN 的情况下为企业应用程序提供安全的网络访问。Verified Access 会实时验证每个访问请求,并且仅将用户连接到允许其访问的应用程序。这可避免对企业应用程序的广泛访问,同时降低相关的风险。为了根据特定的安全要求验证用户,Verified Access 与 AWS 和第三方安全服务集成,以获取有关身份、设备安全状态和位置的信息。IT 管理员可以使用 Verified Access 制定一组策略,定义用户访问每个应用程序的能力。Verified Access 还简化了安全操作,协助管理员高效地设置和监控访问策略,腾出时间来更新策略、响应安全和连接事件以及审核合规性标准。
安全性
使用 Verified Access,您可以为应用程序配置精细访问权,确保仅在用户满足指定的安全要求(例如,用户身份和设备安全状态)时才授予应用程序访问权。Verified Access 建立在零信任指导原则的基础上,在授予访问权限之前验证每个应用程序请求。Verified Access 还支持 AWS WAF,可帮助您筛选出 SQL 注入和跨站脚本攻击(XSS)等常见威胁。
用户身份验证
Verified Access 与 AWS IAM Identity Center 无缝集成,允许终端用户通过基于 SAML 的第三方身份提供者(IdP)进行身份验证。如果您已经有与 OpenID Connect 兼容的自定义 IdP 解决方案,Verified Access 还可以直接连接您的 IdP,对用户进行身份验证。
设备状况评估
Verified Access 与第三方设备管理服务集成,提供额外的安全环境。因此,您可以使用用户设备的安全性和合规性状态来额外评估访问尝试。
对应用程序进行个性化设置
Verified Access 将已签名的身份上下文(例如用户别名)传递给您的应用程序。这可以帮助您使用此上下文对应用程序进行个性化设置,无需在应用程序中重新对用户进行身份验证。签名上下文还可以保护您的应用程序,以防意外禁用 Verified Access,因为如果应用程序未收到上下文,则可能拒绝请求。
对应用程序进行分组
通过 Verified Access,您可以按照相似安全需求对应用程序进行分组。一个组中的每个应用程序共享一个全局策略,实现了整个组的最低安全标准,并且消除了为每个应用程序管理单独策略的需要。例如,您可以对所有“开发”应用程序进行分组,并设置组范围的访问策略。
访问日志
Verified Access 记录每次访问尝试,以便您可以快速响应安全事件和审计请求。Verified Access 支持将这些日志传送到 Amazon Simple Storage Service(Amazon S3)、Amazon CloudWatch Logs 和 Amazon Kinesis Data Firehose。Verified Access 支持开放网络安全模式框架(OCSF)日志记录格式,使您可以使用受支持的安全信息和事件管理(SIEM)以及可观测性提供程序中的一个来分析日志。
