AWS Verified Access 可在无需 VPN 的情况下提供对企业应用程序和资源的安全访问。它允许您根据用户的身份和设备安全状态定义精细的访问策略,并对每个访问请求执行这些策略,以此提高您的安全性。它还简化了安全操作,管理员可以从单一界面为具有类似安全需求的应用程序和资源创建、分组和管理访问策略。Verified Access 会记录每次访问尝试,让您可以高效地响应安全和连接事件。
借助 Verified Access,您可以为数据库和 EC2 实例等企业应用程序和资源配置精细的访问策略。Verified Access 会根据精细的上下文访问策略不断验证每个访问请求,并动态调整访问权限。它可以确保仅在用户满足指定的安全要求(例如用户身份和设备安全状态)时才授予和维护访问权限。
Verified Access 与 AWS IAM Identity Center 无缝集成,允许终端用户通过基于 SAML 的第三方身份提供者(IdP)进行身份验证。如果您已经有与 OpenID Connect 兼容的自定义 IdP 解决方案,Verified Access 还可以直接连接您的 IdP,对用户进行身份验证。
Verified Access 与第三方设备管理服务集成,提供额外的安全环境。因此,您可以使用用户设备的安全性和合规性状态来额外评估访问尝试。
Verified Access 将已签名的身份上下文(例如用户别名)传递给您的应用程序。这可以帮助您使用此上下文对应用程序进行个性化设置,无需在应用程序中重新对用户进行身份验证。签名上下文还可以保护您的应用程序,以防意外禁用 Verified Access,因为如果应用程序未收到上下文,则可能拒绝请求。
借助 Verified Access,您可以将具有类似安全需求的应用程序分为一组,通过单一界面创建和管理访问策略。组中的所有应用程序共享一种全局策略,从而建立起基准安全级别。这样就无需为每个应用程序单独管理策略。例如,您可以对所有“开发”应用程序进行分组,并设置组范围的访问策略。
Verified Access 会持续监控和详细记录访问尝试,让您可以快速响应安全和连接事件。Verified Access 支持将这些日志传送到 Amazon Simple Storage Service(Amazon S3)、Amazon CloudWatch Logs 和 Amazon Kinesis Data Firehose。Verified Access 支持开放网络安全模式框架(OCSF)日志记录格式,使您可以使用受支持的安全信息和事件管理(SIEM)以及可观测性提供程序中的一个来分析日志。
提供对 HTTP(S) 应用程序(如基于浏览器的应用程序)和 TCP 应用程序(如 Git 存储库)的安全访问,这些应用程序可以通过命令行终端或桌面应用程序访问。
通过指定 IP 地址和端口范围,提供对 VPC 内的一组 AWS 基础设施资源(如 EC2 实例)的访问。