[AWS] Verified Access

---

Verified Access 등장 배경

• 대부분의 기업 고객이 AWS 내의 어플리케이션에 접근하려면 VPN과 기업에서 관리하는 장비를 사용하여야 합니다.
• 이는 결국 여러가지 정책을 여러 팀에서 관리하게 만들고, 어플리케이션에 접근하지 못하는 문제를 여러 포인트에서 찾게끔 만듭니다.
• Verified Access는 Zero Trust에 기반하여 VPN 없이 웹브라우저로만 어플리케이션에 접근 할 수 있도록 해줍니다.

• AVA(AWS Verified Access)는 유저가 어플리케이션에 접근할 때 Trust Provider에서 가져온 정보와 정책을 비교하여 어플리케이션에 대한 액세스 권한을 부여합니다.
• AVA는 모든 액세스 시도를 로깅합니다.

---

사용 예시

---

주요 컴포넌트

• VA instance
  • 어플리케이션 액세스 요청을 평가하고 보안 요구사항이 충족되는 경우에만 액세스 권한을 부여하는 주체입니다.
  • 최소 1개 이상의 Trust provider와 연결해야합니다.
• 
• VA endpoints
  • VA 엔드포인트는 어플리케이션로 연결되는 끝점입니다.
  • LB 엔드포인트, 네트워크 인터페이스 엔드포인트로 생성 가능합니다.
  • hyperplane ENI가 어플리케이션이 존재하는 서브넷에 위치하여 point-to-point로 트래픽을 전달하게 됩니다.
• 
• VA groups
  • 보안 요구 사항이 유사한 애플리케이션의 모음입니다.
  • 그룹 내의 애플리케이션은 그룹의 정책을 공유합니다.
• 
• Access policies
  • 애플리케이션에 대한 액세스 정책입니다.
  • 그룹에 할당하거나 어플리케이션 엔드포인트로 연결할 수 있습니다.
  • AWS에서 새로 만든 정책 언어인 Cedar로 작성할 수 있습니다.
• 
• Trust providers
  • 사용자 정보와 디바이스 정보를 유지하고 관리합니다.
  • AWS IAM Identity Center와 OIDC Provider를 지원합니다.
  • 여러 개의 VA 인스턴스에 연결할 수 있습니다.

---

참고자료

AWS re:Invent 2022 - Advanced VPC design and new Amazon VPC capabilities (NET302)

AWS re:Invent 2022 - [NEW] Introducing AWS Verified Access: Secure connections to your apps (NET214)

How Verified Access works