AWSは先日、VPNに依存せずに企業アプリケーションへの安全なアクセスを提供するマネージドサービス、Verified Accessの一般提供を発表した。この正式版では、AWS WAFのサポートと、署名されたIDコンテキストをエンドアプリケーションに渡す機能が導入された。
re:Inventカンファレンスのプレビューとして公開されたこの新サービスは、ユーザーIDとデバイスに基づき、きめ細かいポリシーで各アクセス要求をリアルタイムに評価し、どこからでも作業できるモデルをサポートするために利用できる。
Verified Accessは、リモート接続に関連するリスクを軽減し、分散ユーザのセキュリティ保護、企業アプリケーションのアクセス管理、アクセスログの一元化に役立つ。新サービスは、アクセスリクエストを評価し、リクエストデータを記録して、セキュリティや接続に関するインシデントの分析をサポートする。
Verified Accessは、Zero Trustの原則に基づき、サービスの背後にあるアプリケーションへのアクセスを許可するための集中的なポリシー適用する、特定のアプリケーションへのアクセスを許可または禁止するCedarポリシーもサポートしている。クラウドプロバイダーによると、サイト間VPN を備えた企業アプリケーションとインターネットに接続する企業アプリケーションは、新しいマネージド オプションへの移行によってメリットが得られる2つのもっとも一般的なエンタープライズアーキテクチャである。
Verified Accessは2023年5月現在、アプリケーション層の脅威からWebアプリケーションを保護するAWS WAFとの統合をサポートしており、署名されたIDコンテキストをアプリケーションエンドポイントに渡すことができる。AWSのシニアグローバルテックリードであるRiggs Goodman III氏と、プリンシパルプロダクトマネージャであるShovan Dasが、そのメリットを説明する。
以前は、ユーザーはVerified Accessの背後にあるアプリケーションに対して、IDとデバイスの両方のクレームでアクセスを要求していたが、クレームはエンドアプリケーションでは利用できなかった。Verified Accessでは、電子メール、ユーザー名、その他の属性など、署名されたIDコンテキストをIDプロバイダからアプリケーションに渡すようになった。これにより、このコンテキストを使用してアプリケーションをパーソナライズできるようになり、パーソナライズのためにユーザーを再認証する必要がなくなる。
顧客はデータ処理量に応じて課金され、Verified Access上の各アプリケーションに対して、1GBあたり0.02ドル、1時間あたり0.27ドルから時間単位で料金を支払う。この価格モデルはコミュニティから批判を受けており、一部のユーザーはCloudflare VPN Replacementの方が安い場合が多いと指摘している。
以下はThe Duckbill GroupのチーフクラウドエコノミストであるCorey Quinn氏のコメントだ。
AWSが最後に提供したVPNを使用しないサービスはAmazon WorkLinkであったが、これは非常に静かに非推奨となり、"WorkSpaces Web"(それが何であろうと)に移行した。このサービスがうまくいくことを願っている。
Verified Accessは、Beyond Identity、CrowdStike、CyberArk、Cisco Duo、Jamf、JumpCloud、Okta、Ping Identityなど、複数のサードパーティ製IDおよびデバイス管理サービスと統合される。本サービスは2023年5月現在、バージニア北部、フランクフルト、ダブリンを含む10のAWSリージョンで利用可能だ。