AWS Verified Access の特徴

AWS Verified Access を使用すると、VPN なしで企業アプリケーションへの安全なネットワークアクセスを提供できます。Verified Access は各アクセス要求をリアルタイムで評価し、アクセスが許可されているアプリケーションにのみユーザーを接続します。これにより、企業アプリケーションに幅広くアクセスできなくなり、関連するリスクが軽減されます。特定のセキュリティ要件に照らしてユーザーを検証するために、Verified Access は AWS およびサードパーティーのセキュリティサービスと統合して、ID、デバイスのセキュリティステータス、および位置に関する情報を提供します。IT 管理者は Verified Access を使用して、ユーザーが各アプリケーションにアクセスできるかどうかを定義する一連のポリシーを作成できます。また、Verified Access は、管理者がアクセスポリシーを効率的に設定およびモニタリングできるようにすることで、セキュリティオペレーションを簡素化し、ポリシーの更新、セキュリティおよび接続インシデントへの対応、およびコンプライアンス基準の監査により短時間で対応できるようになります。

Verified Access を使用することで、アプリケーションへのアクセスをきめ細かく設定して、ユーザーが特定のセキュリティ要件 (ユーザー ID やデバイスのセキュリティステータスなど) を満たしている場合にのみアプリケーションアクセスを許可するようにできます。ゼロトラストの基本原則に基づいて構築された Verified Access は、アクセス許可を付与する前に、すべてのアプリケーションリクエストを検証します。Verified Access は AWS WAF もサポートしているため、SQL インジェクションやクロスサイトスクリプティング (XSS) などの一般的な脅威をフィルタリングできます。

Verified Access は AWS IAM アイデンティティセンターとシームレスに統合されており、エンドユーザーは SAML ベースのサードパーティー ID プロバイダー (IdP) を使用して認証できます。OpenID Connect と互換性のあるカスタム idP ソリューションを既にお持ちの場合、Verified Access は、idP に直接接続してユーザーを認証することもできます。

Verified Access はサードパーティーのデバイス管理サービスと統合し、追加のセキュリティコンテキストを提供します。これにより、ユーザーのデバイスのセキュリティとコンプライアンスの状態を使用して、アクセス試行をさらに評価できます。

Verified Access は、ユーザーエイリアスなどの署名付き ID コンテキストをアプリケーションに渡します。これにより、このコンテキストを使用してアプリケーションをパーソナライズでき、アプリケーションでユーザーを再認証する必要がなくなります。署名されたコンテキストは、Verified Access が誤って無効になった場合でもアプリケーションを保護します。これは、アプリケーションがコンテキストを受信しない場合にリクエストを拒否できるためです。

Verified Access を使用すると、類似のセキュリティニーズのあるアプリケーションをグループ化できます。グループ内の各アプリケーションはグローバルポリシーを共有するため、グループ全体で最小限のセキュリティ水準を達成でき、アプリケーションごとに個別のポリシーを管理する必要がなくなります。例えば、すべての「dev」アプリケーションをグループ化し、グループ全体のアクセスポリシーを設定できます。

Verified Access はあらゆるアクセス試行をログに記録するため、セキュリティインシデントや監査リクエストに迅速に対応できます。Verified Access は、Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch Logs、および Amazon Kinesis Data Firehose へのこれらのログの配信をサポートします。Verified Access は Open Cybersecurity Schema Framework (OCSF) のログ記録の形式をサポートするため、お客様は、サポートされているセキュリティ情報とイベント管理 (SIEM) およびオブザーバビリティプロバイダーのいずれかを使用して、ログをより簡単に分析できます。