跳到内容

在现代工作环境中,如何使用 AWS Verified Access 和 Client VPN

更新时间
快连VPN:速度和安全性最佳的VPN服务
快连VPN:速度和安全性最佳的VPN服务

在当今的工作场所,用户需要安全、经过身份验证的远程连接来访问应用程序。直到最近,许多组织将这一需求理解为“VPN 连接”。自 2018 年推出的 AWS Client VPN 为 AWS 客户提供了一种基于 OpenVPN 的托管 VPN 客户端解决方案,以确保远程访问本地和 AWS 托管的应用程序。而在 2023 年推出的 AWS Verified Access 则采取了不同的远程连接方式,基于零信任的指导原则。Verified Access 在授予用户访问权限之前验证每个应用请求,并且关键在于,它消除了访问这些应用所需的客户端 VPN 解决方案。

有了这两种解决方案,您可能会想:Client VPN 和 Verified Access 可以一起使用吗?如果可以,如何使用?在保持 Client VPN 以满足某些工作负载的同时,如何为 Verified Access 部署新应用或迁移现有应用?

如果您今天正在使用 Client VPN 或类似的第三方基于 VPN 的解决方案来提供安全访问,这篇文章就是为您准备的。我们将探讨 Client VPN 和 Verified Access 的结合使用,并为将来将新应用和现有应用集成到 Verified Access 中提供路径。这些模式可以帮助您将零信任安全原则添加到网络中。

迁移和互操作性模式概述

在这篇博客中,我们将探讨四种场景,使用一个包含三个应用的示例架构来演示可以使用的不同模式:

  1. 在 Verified Access 之前 - 仅使用 Client VPN
  2. 使用 Verified Access 添加新应用
  3. 将现有应用迁移到 Verified Access
  4. 仅使用 Verified Access

在 AWS Verified Access 之前 - 仅使用 AWS Client VPN

使用 Client VPN 时,访问应用程序的方法可能类似于图 1 中的示例。在这个例子中,我们在各自的私有应用负载均衡器后面托管应用 A 和应用 B。用户必须通过 Client VPN 连接到 AWS,以安全访问这些应用。我们将每个应用隔离在自己的 Amazon 虚拟私有云 (VPC) 中,并使用 Transit Gateway 提供应用 VPC 之间的连接,以及与 Client VPN VPC 的连接。用户使用完全限定域名 (FQDN) 访问应用 A 和应用 B,即 app-A.example.com 和 app-B.example.com。在这种情况下,我们使用 Amazon Route 53 DNS 服务来配置这些记录。

在继续之前,让我们回顾 Client VPN 上的两个配置参数,这将影响我们与 Verified Access 的工作方式:

  • 分离隧道 - 如果您打算在 VPN 旁边实现 Verified Access,我们建议在 VPN 端点上启用分离隧道。启用分离隧道后,只有目标路由在 Client VPN 端点路由表中的流量会通过 VPN 隧道路由。否则,连接 VPN 时,访问 Verified Access 应用的流量将被强制通过 VPN 隧道。

  • DNS 服务器 - 如果您没有在 Client VPN 端点中指定自定义 DNS 服务器,客户端将使用其本地配置的 DNS 解析器通过 Route 53 的公共托管区域解析域名,如 App-A.example.com。如果您使用的是私有托管区域,例如 example.com,您必须指定一个自定义 DNS 服务器,例如 Route 53 Resolver 入站端点。当客户端对 App-A.example.com 执行 DNS 查询时,它们将从私有托管区域收到响应。

使用 AWS Verified Access 添加新应用

如果您第一次接触 Verified Access,您可能决定直接在 Verified Access 中引入新应用,同时保留 Client VPN 解决方案以支持现有应用。图 2 显示了我们的环境,其中包含一个新应用,应用 C,我们将为其配置 Verified Access。

要开始使用 Verified Access,您必须创建一个信任提供者来管理用户和设备的身份信息。在这个例子中,我们使用 IAM 身份中心作为用户信任提供者,但您可以配置任何支持的身份提供者(IdP)或添加额外的设备信任提供者。然后,您将创建一个 Verified Access 实例,附加信任提供者,并为实例添加一个 Verified Access 组以及任何适用的策略。可选地,您还可以将 AWS WAF 访问控制列表(ACL)与您的 Verified Access 实例集成。有关创建新 Verified Access 应用的详细分步说明,请查看 AWS 新闻博客频道上的 AWS Verified Access 预览 - 无 VPN 的安全网络访问企业应用 文章。

最后一步是创建一个 Verified Access 端点,表示一个单独的应用。当创建 Verified Access 端点时,您必须指定应用的 DNS 名称和匹配的 AWS 证书管理器(ACM)证书。为了使客户端能够正确解析该 DNS 名称到 Verified Access 应用,请在您的公共托管区域中创建一个规范名称记录(CNAME记录)——我们将使用 App-C.example.com。

如果您已用自定义 DNS 服务器 IP 配置了 Client VPN,并且有与 Client VPN VPC 关联的私有托管区域(如 example.com),还有一步要记住。您必须在私有托管区域中创建一个匹配的 CNAME 记录,以确保您的客户端在连接到 VPN 时可以正确解析 App C 的 FQDN。要解释原因,让我们深入了解在使用 Verified Access 和 Client VPN 时可能的不同 DNS 流。

将现有应用迁移到 AWS Verified Access

随着您对 AWS Verified Access 的了解加深,您可能会考虑将现有应用迁移到 Verified Access。通过这种方式,您可以逐步过渡到更安全的零信任架构,同时保持对现有应用的访问。

结论

AWS Verified Access 和 Client VPN 提供了灵活的解决方案,以满足现代工作环境中对安全远程访问的需求。通过理解这两种技术的结合使用,您可以有效地迁移现有应用并引入新应用,同时保持网络的安全性和高效性。无论您是首次接触还是寻求优化现有架构,这些策略都可以帮助您实现目标。

更新时间