bởi Diego Hernandez và Kunj | vào ngày 04 tháng 01 năm 2024 |

Amazon Web Services (AWS) Verified Access (AVA) là một dịch vụ truy cập từ xa an toàn loại bỏ sự cần thiết của VPN. AVA giảm độ phức tạp trong quản lý và cải thiện tính bảo mật thông qua đánh giá thời gian thực các yêu cầu dựa trên các yếu tố như danh tính và tình trạng thiết bị. Với Verified Access, bạn có thể xác định các chính sách truy cập được viết bằng ngôn ngữ Cedar sử dụng ngữ cảnh người dùng cuối, chẳng hạn như các nhóm người dùng và điểm rủi ro thiết bị, nhận được từ các dịch vụ bảo mật danh tính và thiết bị bên thứ ba hiện tại của bạn.

Bài đăng blog này giới thiệu trợ lý chính sách, cung cấp khả năng mới để viết, sửa lỗi và mô phỏng các chính sách trên bảng điều khiển Verified Access, cho phép bạn xem xét cách một chính sách mới hoặc được sửa đổi ảnh hưởng đến khả năng truy cập ứng dụng của người dùng. Trong bài đăng blog này, chúng tôi hướng dẫn cách sử dụng trợ lý chính sách Verified Access để phát triển và điều chỉnh chính sách truy cập nhanh chóng. Và chúng tôi cung cấp hai ví dụ minh họa về việc sửa lỗi và điều chỉnh chính sách.

Điều kiện tiên quyết

Trước khi chúng ta bắt đầu, bạn cần triển khai một phiên bản Verified Access và điểm cuối đã tồn tại. Các bước cần thiết để triển khai Verified Access có thể được tìm thấy trong hướng dẫn này. Ngoài ra, hãy đảm bảo rằng Include trust context và Deliver to Amazon Cloudwatch Logs được bật trên phiên bản Verified Access. Những cài đặt này không được bật mặc định và là bắt buộc để trợ lý chính sách hoạt động đúng cách. Không bật hai chức năng này sẽ dẫn đến lỗi “Không tìm thấy nhật ký” bởi trợ lý chính sách. Trợ lý chính sách truy xuất nhật ký mới nhất cho một đăng nhập người dùng cụ thể. Do đó, người dùng được sử dụng để sửa lỗi cần phải đã thử đăng nhập vào ứng dụng Verified Access gần đây.

Những hình ảnh sau và văn bản đi kèm giải thích cách xác minh và bật Include trust context và Deliver to Amazon Cloudwatch Logs.

Figure 1 – Verified Access instances – Instance logging configuration

Figure 2 – Verified Access instances – Deliver to CloudWatch Logs and Include Trust Context

Tổng quan về giải pháp

Xây dựng trên cơ sở của chức năng nhật ký được cải thiện, trợ lý chính sách có thể viết, xác nhận, sửa lỗi và mô phỏng các chính sách trên bảng điều khiển AVA, giúp bạn xem xét cách một chính sách mới hoặc được sửa đổi ảnh hưởng đến khả năng truy cập ứng dụng của người dùng. Bạn có thể quan sát kết quả của chính sách hiện tại của mình và sau đó sửa đổi và kiểm thử những chính sách này một cách lặp lại theo cách này. Khi bạn có thể xác nhận chính sách thành công, nó có thể được triển khai trong môi trường sản xuất.

Dưới đây là một tóm tắt các bước mà các quản trị viên Verified Access cần thực hiện để sửa lỗi một chính sách với trợ lý chính sách:

1. Chọn liên kết ID phiên bản Verified Access trong phiên bản Verified Access liên kết với điểm cuối.
2. Cung cấp thông tin người dùng cho phần mềm trợ lý chính sách sẽ truy xuất nhật ký truy cập mới nhất.
3. Xem xét ngữ cảnh nhật ký truy cập mới nhất và chính sách Verified Access như được trình bày bởi trợ lý chính sách.
4. Lặp lại chính sách khi cần thiết và mô phỏng tác động của các thay đổi theo thời gian thực cho đến khi trạng thái chính sách mục tiêu trở thành allow.
5. [Tùy chọn] Triển khai phiên bản chính sách mới vào môi trường sản xuất.

Dẫn đường giải pháp: Sử dụng trợ lý chính sách Verified Access để sửa lỗi và điều chỉnh tinh chỉnh

Trong ví dụ dẫn đường này, chúng tôi đi từng bước trên các ví dụ sau đây:

1. Sửa lỗi chính sách truy cập khi người dùng báo cáo không thể truy cập vào ứng dụng.
2. Điều chỉnh tinh chỉnh chính sách hiện tại để thêm điều kiện bổ sung dựa trên một nhà cung cấp tin cậy thiết bị mới được giới thiệu.

Sửa lỗi

Trong kịch bản này, chúng ta sử dụng một kịch bản giả tưởng với miền example.com và người dùng john_stiles. Hãy điều chỉnh theo miền và người dùng của bạn nếu cần thiết.

Chúng tôi đã nhận được báo cáo từ người dùng john_stiles cho biết họ không thể truy cập ứng dụng tài chính example.com. Người dùng cuối john_stiles thông báo cho chúng tôi rằng cho đến vài ngày trước, họ đã có thể truy cập ứng dụng một cách thành công. Chúng tôi sẽ hướng dẫn qua việc lấy nhật ký truy cập Verified Access, nhóm truy cập hoặc chính sách truy cập điểm cuối cho john_stiles bằng cách sử dụng trợ lý chính sách. Khi đã nhận được, trợ lý chính sách cung cấp một sân chơi nơi các chính sách truy cập có thể được sửa đổi và xác nhận để có kết quả mong đợi. Tất cả điều này được thực hiện trong sân chơi mà không làm thay đổi chính sách hiện tại.

1. Trên AWS Management Console, di chuyển đến VPC

Figure 3 – AWS console

2. Ở bảng điều khiển bên trái, dưới mục AWS Verified Access, chọn Verified Access Instances.

Figure 4 – AWS Verified Access

3. Chọn liên kết ID phiên bản Verified Access cho phiên bản Verified Access đó.

Figure 5 – Verified Access instances

4. Ở góc phải trên cùng, chọn Launch policy assistant.

Figure 6 – Launch policy assistant

5. Ở đây, chúng ta nhập địa chỉ email của john_stiles, được sử dụng để xác thực khi truy cập ứng dụng qua Verified Access. Tiếp theo, chọn Verified Access endpoint liên kết với ứng dụng mà người dùng đang cố truy cập. Cuối cùng, chọn Latest deny result dưới Authorization result và nhấn Next.

Figure 7 – Policy assistant – Specify resources

6. Trợ lý chính sách đã có thể truy xuất dữ liệu ngữ cảnh cho mục từ chối cuối cùng từ các nhật ký. Trợ lý chính sách cũng có khả năng tự động truy xuất chính sách nhóm và điểm cuối. Với điều này trên màn hình, chúng ta có thể bắt đầu xem xét ngữ cảnh liên quan đến các chính sách hiện tại và đánh giá tại sao người dùng bị từ chối quyền truy cập. Trong hình ảnh sau, dựa trên siêu dữ liệu ngữ cảnh của nhà cung cấp danh tính, chúng ta có thể thấy rằng john_stiles là thành viên của nhóm HR-Managers. Chúng ta đã xác định lý do người dùng john_stiles bị từ chối quyền truy cập. Chính sách nhóm chỉ cho phép thành viên của nhóm HR-Frontdesk. Hóa ra john_stiles vừa được thăng chức, và sự thay đổi trong vai trò của anh ta đã dẫn đến thay đổi trong thành viên nhóm của anh ta.

Figure 8 – Policy assistant – Review policies

Fine-tuning

Trong kịch bản giả tưởng thứ hai này, chúng ta tiếp tục sử dụng miền example.com, và người dùng của chúng ta bây giờ là nikki_wolf. Hãy điều chỉnh theo miền và người dùng của bạn nếu cần thiết.

Bộ phận IT đã triển khai một điểm cuối khách hàng như một phần của quy định của tổ chức để chuyển đổi sang kiến trúc Zero Trust. Sự ra mắt của kiến trúc mới đã thành công rực rỡ, với việc triển khai 100% cho tất cả các máy tính trạm doanh nghiệp. Trong các bước sau, chúng ta sẽ đi qua cách kiểm thử các điều kiện chính sách bổ sung trên chính sách sản xuất hiện tại trước khi đẩy cập nhật lên môi trường sản xuất.

Trong ví dụ này, nhà cung cấp tin cậy thiết bị đã được thiết lập trước đó. Tích hợp nhà cung cấp tin cậy thiết bị được thảo luận chi tiết trong Việc tích hợp AWS Verified Access với nhà cung cấp tin cậy thiết bị.

1. Chúng ta quay trở lại chế độ xem Verified Access Policy Assistant trên AWS console. Lần này, chúng ta nhập địa chỉ email của tài khoản kiểm thử của chúng ta, nikki_wolf. Tùy chọn, các kết quả ủy quyền có thể được lọc thêm bằng cách cung cấp User’s Name hoặc Device identifier từ ngữ cảnh thiết bị.

Figure 9 – Policy assistant – Specify resources

2. Trợ lý chính sách đã có thể truy xuất dữ liệu ngữ cảnh cho nhật ký Verified Access mới nhất cùng với các chính sách truy cập tương ứng. Trong các nhật ký, chúng ta có thể thấy siêu dữ liệu ngữ cảnh của nhà cung cấp tin cậy thiết bị trong khóa ngữ cảnh. Bây giờ, chúng ta sẽ tiến hành phát triển và xác nhận chính sách mục tiêu mới.

Figure 10 – Policy assistant – Edit policies

3. Sau nhiều vòng lặp cho chính sách nhóm (được lược bỏ để tóm gọn), như được hiển thị trong hình ảnh sau, chính sách mới dẫn đến kết quả cho phép. Bây giờ, chúng ta có thể tự tin đẩy chính sách mục tiêu lên môi trường sản xuất. Chúng ta có thể lựa chọn sao chép chính sách mới và áp dụng nó vào sau này hoặc chọn Next và đẩy chính sách cập nhật ngay bây giờ.

Figure 11 – Policy assistant – Test policies

4. Chúng tôi đã quyết định đẩy cập nhật ngay bây giờ. Trong màn hình này, chúng ta có thể xác nhận sự khác biệt giữa các chính sách hiện tại và mới trước khi áp dụng các thay đổi.

Figure 12 – Policy assistant – Push policy changes

Kết luận

Trong bài viết này, chúng tôi đã hướng dẫn cách sử dụng trợ lý chính sách Verified Access khi cần phải xác nhận chính sách trong các tình huống sửa lỗi và điều chỉnh tinh chỉnh. Trợ lý chính sách giúp xác nhận và kiểm thử các thay đổi cho các chính sách sản xuất bằng cách sử dụng nhật ký truy cập thực tế. Điều này loại bỏ việc kiểm thử thử nghiệm và lỗi trong các hệ thống sản xuất và cho phép phát triển chính sách nhanh chóng hơn.

Về tác giả:

Diego Hernandez

Diego Hernandez là Giám đốc tài khoản kỹ thuật có trụ sở tại Canada. Niềm đam mê của Diego là kết nối mọi thứ. Trong thời gian rảnh rỗi, Diego thích dành thời gian cho gia đình và trượt tuyết.

Kunj Thacker

Kunj là Giám đốc tài khoản kỹ thuật tại AWS và có trụ sở tại California. Ông có kiến thức nền tảng sâu rộng về kỹ thuật Mạng và Cơ sở hạ tầng trước khi đảm nhận vai trò này. Anh ấy đam mê các công nghệ mới và thích giúp khách hàng xây dựng, triển khai và tối ưu hóa cơ sở hạ tầng đám mây của họ trên AWS.