- Сеть›
- Проверенный доступ AWS›
- Функции
Функции Проверенного доступа AWS
Темы страниц
ФункцииФункции
Обзор
Проверенный доступ AWS позволяет предоставить безопасный доступ к корпоративным приложениям и ресурсам без использования VPN. Он повышает уровень безопасности, позволяя точно задавать политики доступа на основе удостоверения пользователя и состояния безопасности устройства, а также применять политики к каждому запросу на доступ. Он упрощает работу по обеспечению безопасности, предоставляя администраторам возможность создавать и группировать политики доступа к приложениям и ресурсам со схожими требованиями безопасности, а также управлять ими из единого интерфейса. При использовании Проверенного доступа фиксируется каждая попытка доступа, чтобы вы могли эффективно реагировать на инциденты безопасности и проблемы с подключением.
Безопасность
Используя Проверенный доступ, вы можете настроить точные политики доступа для корпоративных приложений и ресурсов, таких как базы данных и инстансы EC2. Этот компонент постоянно проверяет каждый запрос на доступ на соответствие точным контекстным политикам доступа и динамически корректирует разрешения на доступ. Это гарантирует, что доступ будет получен и сохранен только при соблюдении пользователем определенных требований безопасности, таких как удостоверение пользователя и уровень безопасности устройства.
Аутентификация пользователей
Проверенный доступ легко интегрируется с Центром идентификации AWS IAM, что позволяет конечным пользователям проходить аутентификацию через сторонние программы проверки личности на основе SAML. Если у вас есть собственный IdP, совместимый с OpenID Connect, Проверенный доступ может проводить аутентификацию пользователей путем прямого подключения к вашему IdP.
Оценка положения устройства
Проверенный доступ интегрирован со сторонними службами управления устройствами для обеспечения дополнительного уровня безопасности. Это позволяет дополнительно оценивать попытки доступа, используя информацию про состояние безопасности и соответствие требованиям устройства пользователя.
Персонализируйте приложения
Проверенный доступ передает подписанный контекст идентификации, например псевдоним пользователя, вашим приложениям. Это позволяет персонализировать приложения с использованием этого контекста, устраняя необходимость повторной аутентификации пользователя в приложении. Подписанный контекст также защищает ваши приложения в случае случайного отключения Проверенного доступа, поскольку приложение может отклонить запрос, если оно не получит контекст.
Упрощенное управление доступом
Используя Проверенный доступ, вы можете группировать приложения со схожими требованиями безопасности, создавать политики доступа и управлять ими из единого интерфейса. К каждому приложению в группе применяется глобальная политика, устанавливающая базовый уровень безопасности. Это избавляет от необходимости управлять отдельными политиками для каждого приложения. Например, вы можете сгруппировать все приложения dev и установить политику доступа для всей группы.
Комплексное ведение журнала и контроль
Проверенный доступ обеспечивает непрерывный мониторинг и подробное ведение журнала попыток доступа, чтобы вы могли быстро реагировать на инциденты безопасности и проблемы с подключением. Проверенный доступ поддерживает доставку журналов в Простой сервис хранения данных Amazon (Amazon S3), Журналы Amazon CloudWatch и Данные Amazon Kinesis Firehose. Проверенный доступ поддерживает формат ведения журнала Open Cybersecurity Schema Framework (OCSF), упрощая анализ журналов с помощью одного из поддерживаемых сервисов информации в сфере безопасности и управления событиями (SIEM), а также средств наблюдения.
Доступ к приложениям HTTP(S) и TCP (ознакомительный режим)
Обеспечивает безопасный доступ к приложениям HTTP(S), таким как браузерные приложения, и приложениям TCP, таким как репозитории Git, с помощью терминала командной строки или традиционного приложения для ПК.
Безопасный сетевой доступ для группы ресурсов (ознакомительный режим)
Обеспечивает доступ к группе ресурсов инфраструктуры AWS, таких как инстансы EC2 в VPC путем указания их IP-адресов и диапазон портов.