re:Invent 2023 | 与亚马逊云科技进行安全远程连接

关键字: [Amazon Web Services re:Invent 2023, Amazon Verified Access, Secure Remote Connectivity, Network Access, Application Access, Ssh, Rdp, Https, Zero Trust, Continuous Verification]

本文字数: 1200, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1SC4y1973d

导读

探索安全有效的方法，访问私有亚马逊云科技和内部资源，而不会将它们直接暴露在互联网上。加入本论坛，了解如何为私人公司应用程序和虚拟机提供远程连接。探索亚马逊云科技验证访问、亚马逊云科技客户端 VPN 和 Amazon EC2 实例连接等服务，以帮助您决定哪一个最适合用例。

演讲精华

以下是小编为您整理的本次演讲的精华，共900字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

视频开始于演讲者Tom Adamski的介绍，作为亚马逊云科技的首席解决方案架构师，他的专业领域是网络解决方案。他表示他将探讨在亚马逊云科技中访问资源的安全远程连接选项。这种远程连接方式允许个人用户通过互联网访问公司的私有资源，而非直接将企业内部基础设施接入云端。

Adamski先生列出了会议的主要议题，包括远程访问的考虑因素、使用亚马逊云科技客户端VPN的网络访问案例、使用Amazon EC2实例连接和亚马逊系统管理器会话管理器的SSH/RDP应用程序访问案例以及使用亚马逊云科技验证访问的应用程序层访问。

在选择远程访问方案时，Adamski先生建议关注三个关键因素：要访问的资源及其地理位置、对用户的信任和验证程度以及如何审计访问记录。他建议在制定合适的控制和访问策略时，可以参考网络安全框架，如NIST 800-53、CIS控制和ISO 27001标准。

接着，演讲者详细解释了TCP/IP模型中的网络访问和应用访问的区别。网络访问层位于IP地址层，而应用访问层则允许访问特定应用程序，如HTTP、FTP和SSH等。

针对网络级别的访问案例，Adamski先生介绍了亚马逊云科技的客户端VPN服务。这是一个完全管理的远程访问VPN服务，支持从任何地点进行安全的连接。它能自动扩展以满足需求峰值，并允许使用安全组来应用细粒度的网络控制。

从日志记录的角度来看，客户端VPN允许将日志发送到CloudWatch。据亚当斯基先生介绍，这些日志条目通常包含类似的公共IP地址、用户名、连接状态和失败原因等信息，以支持审计工作。

亚当斯基先生提供了一个具体的客户应用场景，即使用客户端VPN安全地连接零售商店到托管在亚马逊云科技中的中央数据仓库。该VPN系统会根据Active Directory组提供访问控制，确保商店只能访问他们所需的具体数据集。这种集中式日志记录方式有助于了解谁在访问相关资源。

关于应用层访问，亚当斯基先生重点关注了SSH和RDP协议。他还讨论了传统SSH实施所面临的诸多挑战，如公钥管理和实例需要具备公共IP地址等要求。

为了解决这些问题，亚当斯基先生提出了一种解决方案：使用Amazon EC2 Instance Connect，它可自动生成临时密钥，从而减少密钥管理的开销。该服务可以使用简单的公共端点或专用的VPC内部端点。用户可以通过亚马逊云科技CLI基于IAM策略启动连接。亚当斯基先生还展示了一个允许连接到具有特定标签值的实例的示例策略。

接着，亚当斯基先生介绍了亚马逊云科技Systems Manager会话管理器，它能够通过让托管的实例向Session Manager服务发起出站连接来启动SSH或RDP会话。这无需在实例上打开任何入站端口。为了实现这一功能，需要在实例上安装SSM代理。

会话管理器还为会话记录提供了多种选项，可将诸如运行命令和活动等信息发送到CloudWatch或S3。亚当斯基先生展示了一个人工生成的日志条目示例，强调了用户、角色、IP地址和执行的命令等关键信息。

EC2 Instance Connect和会话管理器都支持使用IAM策略进行访问控制。此外，会话管理器还能连接到内部网络上的资源和针对高级使用场景在执行文档启动时强制执行执行。

最后，亚当斯基先生介绍了亚马逊云科技验证访问，这是一种遵循零信任方法的应用层访问方案。在该方案中，系统会在允许访问HTTP/HTTPS应用程序之前，先验证用户身份、设备健康状况以及其他相关信号。这意味着集中的政策管理可以使新应用程序和策略更改在环境中迅速推广。

亚当斯基先生提交了一个关于客户的案例研究，该公司利用亚马逊云科技的Verified Access功能将内部网络应用程序向外部医生和合作伙伴开放，从而实现了安全性。他们制定了细致的政策，根据用户的身份和群组成员资格来限制对特定资源的访问。

总的来说，亚当斯基先生在视频中介绍了各种亚马逊云科技的服务，如Client VPN、EC2 Instance Connect、Session Manager和Verified Access等。这些解决方案通过网络或应用访问方式实现了安全的远程连接。企业可以通过仔细评估访问需求和控制，在支持远程工作的同时，保持最小的权限许可。

视频中详细介绍了远程访问的考虑因素、网络和应用连接的详细架构以及现实生活中的客户使用案例。亚当斯基先生阐述了在选择合适技术来实现对亚马逊云科技云资源的安全、可审计远程访问时所需考虑的核心功能、安全特性和实施权衡。

下面是一些演讲现场的精彩瞬间：

领导者们在选择远程访问连接解决方案时，会充分考虑诸如资源识别、用户信任与验证以及审计访问等关键因素。

亚马逊云科技的Client VPN提供了一种可自动扩展的托管远程访问服务，具备细致的访问控制能力，使得用户能够随时随地访问所需资源。

通过使用Session Manager，用户可以连接到更多操作系统和亚马逊云科技服务，而无需允许入站SSH访问。

亚马逊云科技为各种敏感应用程序提供了精细的访问控制和简便的管理方案。

亚马逊云科技的零信任架构理念强调在授予用户对应用程序的访问权限之前，需持续验证用户身份和设备的安全性。

总结

这段视频探讨了如何在亚马逊云科技中实施安全的远程连接解决方案。首先，它解释了企业级连接和远程连接之间的差异。在挑选远程访问解决方案时，演讲者列出了需要考虑的关键因素，如要访问的资源、用户的信任和验证需求以及如何监控访问权限。

视频中涉及了两个主要应用场景：网络访问和应用访问。对于网络访问，讲述了如何使用亚马逊云科技的Client VPN，通过将客户端VPN端点与VPC（虚拟专用网络）关联，实现受控的远程访问。Client VPN支持多种身份验证方法，如相互TLS和Active Directory集成。 在应用访问方面，演讲者关注了SSH和HTTPS的使用情况。对于SSH，介绍了Amazon EC2实例连接和亚马逊云科技的Systems Manager会话管理器，作为直接连接到EC2实例的更安全替代品。两者均支持实时生成密钥和基于IAM（亚马逊管理权限）的访问控制。

对于HTTPS应用访问，讲解了基于零信任原则的亚马逊云科技Verified Access。它作为一个安全网关，用于验证用户身份、设备状态以及跨多个HTTPS应用的细粒度访问控制。强调的重点包括集中化策略、持续验证以及提高应用程序部署速度的优势。

总之，这段视频详细介绍了亚马逊云科技的远程访问和零信任产品，以支持远程用户安全地连接到云和内部环境中的各种资源。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134795346

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。