快连VPN:速度和安全性最佳的VPN服务
今天,我们发布了 AWS Verified Access 预览版,这是一种新的安全连接服务,允许企业在不需要 VPN 的情况下为企业应用程序启用本地或远程安全访问。
传统VPN的局限性
传统上,在路上或在家工作时,远程访问应用程序是由 VPN 授权的。一旦远程工作人员在 VPN 上通过身份验证,他们便可以访问多种应用程序,这些访问权限取决于多种策略,例如 VPN 网关、防火墙和身份提供程序等。这些策略通常由不同的团队管理,可能会造成重叠,使得诊断应用程序访问问题变得困难。
内部应用程序通常依赖于较早的身份验证协议,如 Kerberos,这些协议是在考虑局域网的情况下构建的,而不是更适合现代企业模式的现代协议,如 OIDC。客户反馈表明,政策更新可能需要几个月的时间才能推出。
引入Verified Access
Verified Access 是使用 AWS 零信任安全原则构建的。零信任(Zero Trust)是一种概念模型和一组相关机制,侧重于为数字资产提供安全控制,而这些资产不完全或不主要依赖于传统的网络控制或网络边界。
安全访问的多重输入
Verified Access 利用多个安全输入来授予对应用程序的访问权限,从而改善组织的安全态势。只有当用户及其设备满足指定的安全要求时,它才会允许访问。例如,用户身份、角色或设备安全态势等都是评估的输入。Verified Access 在每次应用程序请求之前进行验证,无论用户或网络如何。
Verified Access的主要好处
我认为,采用 Verified Access 有三个主要好处:
-
便于 IT 管理员使用
IT 管理员可以轻松设置应用程序以实现安全的远程访问,提供单一配置点来管理和实施多系统安全策略。 -
开放的生态系统
允许保留现有的身份提供程序和设备管理系统,增强灵活性。 -
便于最终用户使用
员工不再需要使用 VPN 客户端,一个简单的浏览器插件足以安全地授予访问权限。目前支持 Chrome 和 Firefox 浏览器。
实际操作示例
在私有 VPC 中部署 Web 服务器,并通过私有应用程序负载均衡器将其公开给最终用户(https://demo.seb.go-aws.com)。创建 TLS 证书(secured.seb.go-aws.com),并建立 AWS Identity Center(以前称为 AWS SSO)作为用户身份来源。
创建 Verified Access 端点的步骤
-
创建信任提供程序
在 AWS 管理控制台的 VPC 页面中,创建信任提供程序以维护和管理用户和设备的身份信息。 -
创建 Verified Access 实例
Verified Access 实例是区域性 AWS 实体,用于评估应用程序请求,并在满足安全要求时授予访问权限。 -
创建 Verified Access 组
将具有类似安全要求的应用程序集合在一起,共享一个组级别策略。 -
创建 Verified Access 端点
指定要提供 Verified Access 访问的应用程序,设置 DNS 名称和 TLS 证书。
定价和可用性
AWS Verified Access 现已在多个 AWS 区域提供预览版,定价基于使用情况,按每小时每个应用程序(Verified Access 端点)收费,起步价为每小时 0.27 美元。随着应用程序数量的增加,价格将降至每小时 0.20 美元。
立即开始
现在就开始配置您的首个 Verified Access 接入点,体验无 VPN 的安全远程访问!
