最佳 AWS VPN 是什么？

随著亚马逊网路服务AWS在云服务行业的主导地位，AWS 自然成为公司云计算策略的首选。但是，如何为托管在 AWS 上的资源提供安全访问呢？AWS VPN 又有哪些缺点？

什么是 AWS VPN？

AWS 对于安全的承诺仅限于此。公司可以依赖亚马逊来保护其数据中心和网路基础设施。然而，管理对公司在亚马逊云上托管资源的访问权限并不在 AWS 的责任范畴内。无论是将本地网络连接到 AWS 托管的资源，还是为远程工作者提供访问，公司 IT 部门都必须自行开发访问管理系统。

当然，亚马逊提供了一整套可以授权的安全工具。例如，亚马逊虚拟私人网络Amazon Virtual Private Network有两种形式。AWS 客户 VPN 允许终端用户从全球任何地方访问公司的 AWS 资源和本地网络。这项完全管理的服务可快速扩展，因为其不依赖于物理硬体。

AWS 站对站 VPN 允许公司将其亚马逊虚拟私有云连接到其本地网络。这些冗余的高效能连接完全加密，并由 AWS 的管理工具支援。

对于完全投入 AWS 虚拟化的公司而言，标准化使用亚马逊的安全工具是合情合理的。然而，在更加异质的网络中，AWS 客户 VPN 和 AWS 站对站 VPN 对 IT 部门和终端用户来说增加了更多的复杂性。

常见 AWS VPN 替代方案

亚马逊并不将 AWS 当作一个专有平台，而是开放生态系统，让解决方案提供商将其软体与 AWS 整合。公司可以快速授权及部署这些服务，并通过 AWS 帐户享受合并计费的好处。

像思科这样的网络巨头是 AWS 市场中的主要卖家，其解决方案如 Cisco 自适应安全虚拟设备ASAv就是一例。这是运行在思科硬体基础上的自适应安全设备移植到 AWS 的相同软体。公司可以设置站对站和远程访问 VPN 服务，并使用和物理 ASA 相同的策略。

这种整合是使用思科 ASAv 等企业级解决方案的主要优点，也是一个限制。基于思科解决方案构建网络和安全基础架构的企业，从使用思科的云解决方案来保护 AWS 资源中获益最多。

在另一端，OpenVPN Access Server 是一个专有的、商业导向的二十年历史的 OpenVPN 开源专案版本。这个解决方案承诺简化客户端部署、自动化资源设置基础架构，并与 LDAP 和活动目录等常见身份验证方法整合。然而，与许多开源专案一样，OpenVPN 的用户介面/用户体验并不如其竞争对手那样以用户为中心。设置和配置可能困难，连接也不稳定。OpenVPN Access Server 对于小企业而言，提供了一种经济可行的方式，为其云资源获得 AWS VPN 安全。

在这两个极端之间，可以找到 Barracuda Networks、Aviatrix Systems 和其他企业安全提供商的 AWS VPN 解决方案。然而，所有这些解决方案都依赖于传统的 VPN 技术，这对您在 AWS 上托管的资源的灵活性和安全性设定了限制。

VPN 较老旧的问题

传统的 VPN 技术最早在企业网络高度集中时开发，那时只有少数值得信赖的员工需要远程访问。依赖于基于信任的安全范式，VPN 架构假设本地网络已被安全边界妥善保护。因此，它们假设任何经认证的设备和用户同样可以信任，就像您伺服器机架中的任何设备一样。

这种方法在现代 IT 环境中不再有效。随著更多公司资源移动到本地网络之外，AWS 和其他云服务的战略优势使得安全边界变得更加模糊。信任的问题也变得同样不明确。试图远程连接到网络的设备可能是未受管理的设备，随著越来越多的员工利用自带设备的政策。并且，以前仅限于值得信任的少数员工的远程访问，现在必须授予一组动态混合的员工、个别承包商和第三方合作伙伴。

面对这种复杂和动态环境的需求，管理人员必须投入越来越多的时间来管理基于 VPN 的安全系统。特别是，DevOps 团队受到脆弱、不灵活的 VPN 政策对其操作所施加的低效问题的困扰。

取消信任以提高 AWS 安全性

与其依赖 VPN 三十年前的安全范式，基于零信任原则的现代安全系统能够提供更灵活、响应式和可扩展的访问，无论是对于本地资源还是云端资源。

零信任范式假设网络中没有任何内容，甚至连网络本身，都是值得信赖的。每一个进入的连接请求无论是来自本地计算机还是远程设备，来自员工还是承包商都必须经过身份验证，并评估其是否遵循访问控制政策。只有在验证了设备和终端用户的身份后，零信任安全系统才允许连接到公司的资源。零信任是构建软体定义边缘SDP网络安全系统的框架。在 SDP 中，所有资源都是“黑色”的，并在网络上隐藏，直到建立授权的连接。

Twingate 提供无摩擦的 AWS 安全性

Twingate 的零信任 SDP 实施基于需要知道的原则。所有资源，无论是在本地还是云端，都隐藏在 Twingate 的 SDP 访问节点后面。与 AWS VPN 必须在公共互联网上广告其存在的方式不同，SDP 访问节点是不可见的。即使访问节点收到连接请求，它仅接受来自 Twingate SDP 控制器的请求。是控制器处理身份验证并评估符合用户现有安全堆叠中设置的访问控制政策。

运行在终端用户设备上的 SDP 客户端应用程式不会获知公司资源的存在，更不用说它们的位置了。当客户端发起连接请求时，它提供终端用户的 MFA 凭证和设备状态。一旦经过身份验证和批准，访问节点和客户端通过加密隧道连接。一旦会话结束，客户端就会失去对资源的所有信息。任何重新连接的尝试必须经过身份验证和控制器的批准。

与传统 VPN 技术的不灵活约束不同，Twingate 的 SDP 解决方案非常适合现代 DevOps 团队的动态环境。管理员可以通过一次点击对终端用户进行上线或下线操作，随著他们加入或退出专案。客户端的配置也是无接触的，终端用户只需遵循类似消费者的安装过程即可。

Twingate 安全解决方案的另一个优势是支持所有 TCP 或 UDP 流量。这使得 Twingate 的访问节点易于部署，而不需要对 AWS 托管的服务等资源进行修改。终端用户的端也无需进行修改。设备设置无需改变，用户本身也不需要改变访问和使用资源的方式。

从终端用户的角度来看，Twingate 的 SDP 解决方案远比 VPN 安全简单。他们不需要连接到不同的 VPN 入口来访问不同的资源。SDP 控制器评估终端用户的权限，并将其连接到他们被允许访问的特定资源。由于他们的连接不需要通过单一的 VPN 入口回流，他们能够更快地连接到 AWS，并提高生产力。

对于成本敏感的团队，还需要考虑的一点是，AWS 的 VPN 价格模型很复杂，并基于多种因素，这可能使其在预算评估时变得棘手。Twingate 提供更为简单的固定每位用户费用模型。

如需了解 Twingate 如何提高您的 AWS 资源安全性，请与我们联系。