AWS Verified Access の機能

AWS Verified Access を使用すると、VPN なしで企業のアプリケーションやリソースに安全にアクセスできます。ユーザーの ID とデバイスのセキュリティ状態に基づいてきめ細かいアクセスポリシーを定義できるようにして、すべてのアクセスリクエストにポリシーを適用することにより、セキュリティ体制を強化します。管理者がセキュリティ要件が同じようなアプリケーションとリソースのアクセスポリシーを単一のインターフェイスから作成、グループ化、管理できるようにすることにより、セキュリティ運用を簡素化します。Verified Access はすべてのアクセス試行をログに記録するため、セキュリティや接続に関するインシデントに効率的に対応できます。

Verified Access を使用すると、データベースや EC2 インスタンスなどの企業アプリケーションやリソースにきめ細かなアクセスポリシーを設定できます。Verified Access は、各アクセスリクエストを詳細なコンテキストアクセスポリシーと照合して常に検証し、アクセス権限を動的に調整します。これにより、ユーザーがユーザー ID やデバイスのセキュリティ体制など、指定されたセキュリティ要件を満たした場合にのみ、アクセスが許可され、維持されます。

Verified Access は AWS IAM アイデンティティセンターとシームレスに統合されており、エンドユーザーは SAML ベースのサードパーティー ID プロバイダー (IdP) を使用して認証できます。OpenID Connect と互換性のあるカスタム idP ソリューションを既にお持ちの場合、Verified Access は、idP に直接接続してユーザーを認証することもできます。

Verified Access はサードパーティーのデバイス管理サービスと統合し、追加のセキュリティコンテキストを提供します。これにより、ユーザーのデバイスのセキュリティとコンプライアンスの状態を使用して、アクセス試行をさらに評価できます。

Verified Access は、ユーザーエイリアスなどの署名付き ID コンテキストをアプリケーションに渡します。これにより、このコンテキストを使用してアプリケーションをパーソナライズでき、アプリケーションでユーザーを再認証する必要がなくなります。署名されたコンテキストは、Verified Access が誤って無効になった場合でもアプリケーションを保護します。これは、アプリケーションがコンテキストを受信しない場合にリクエストを拒否できるためです。

Verified Access を使用すると、同じようなセキュリティニーズを持つアプリケーションをグループ化し、1 つのインターフェイスからアクセスポリシーを作成および管理できます。グループ内の各アプリケーションでグローバルポリシーが共有され、ベースラインのセキュリティレベルが確立されます。これにより、アプリケーションごとに個別のポリシーを管理する必要がなくなります。例えば、すべての「dev」アプリケーションをグループ化し、グループ全体のアクセスポリシーを設定できます。

Verified Access では、アクセス試行の継続的な監視と詳細なログ記録が可能なため、セキュリティや接続に関するインシデントに迅速に対応できます。Verified Access は、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs、および Amazon Kinesis Data Firehose へのこれらのログの配信をサポートします。Verified Access は Open Cybersecurity Schema Framework (OCSF) のログ記録の形式をサポートするため、お客様は、サポートされているセキュリティ情報とイベント管理 (SIEM) およびオブザーバビリティプロバイダーのいずれかを使用して、ログをより簡単に分析できます。

ブラウザベースのアプリケーションなどの HTTP(S) アプリケーションや、コマンドラインターミナルまたはデスクトップアプリケーションを使用してアクセスできる Git リポジトリなどの TCP アプリケーションへの安全なアクセスを提供します。

IP アドレスとポート範囲を指定して、VPC 内の EC2 インスタンスなどの AWS インフラストラクチャリソースのグループへのアクセスを提供します。