Avalon 使用 AWS Verified Access 增强远程访问安全性

Avalon 希望对数字化实验室结果进行预测性分析，以帮助健康计划和实验室提供商改善护理，从而增强临床结果。该公司从一开始就一直在使用 AWS 和零信任模式。“Avalon 在成立时以安全第一为原则，我们在各项工作中都坚持这一原则，”Avalon 的企业云技术助理副总裁 Eric Ellis 表示。

出于业务和财务目的，企业用户和员工需要安全地远程访问报告。然而，鉴于所需的资源数量和 Avalon 以前使用的 VPN 解决方案的复杂性，建立新的外围网络可能需要几天时间。Avalon 使用 AWS 合作伙伴解决方案 Tableau Server 存储受保护的健康信息（PHI）。为了支持零信任模式，Avalon 隔离了他们的业务应用程序和 Tableau Server。当尝试访问资源时，员工和企业用户必须登录到不同的工作区和 VPN，并记住每个环境的不同密码。

Avalon 需要保持强大的安全性、简化用户访问报告和 PHI 的方式，并遵循零信任框架。该公司希望用户在边缘拥有基于浏览器的访问权限，而不是登录到不同的云解决方案。该公司于 2023 年 5 月开始研究 AWS 解决方案，并在 6 月采用了 AVA。“我们发现，我们不仅能够使用 AVA 安全地访问 PHI，还可以节省由于试图寻找其他 VPN 解决方案而产生的成本，也不必构建额外的基础设施以获得其他功能，”Ellis 说道。

Avalon 于 2023 年 9 月将他们的新解决方案部署到生产环境中。该公司还采用了 Okta，这是一个面向企业和 AWS 合作伙伴的独立身份提供程序。“我们不想把钱花在建造我们这家医疗保健公司所需的数据中心上，”Ellis 表示。“在 AWS 上，我们可以保护我们的 PHI 数据。”

使用 AVA，Avalon 的员工只需在浏览器中输入一个特定的 URL 并通过 Okta 登录一次，即可访问业务报告。同时，外部用户无需使用 VPN 即可从浏览器中访问 PHI。AVA 支持通过现代协议（例如使用 Okta 的 OpenID Connect 以及 OAuth）对用户进行身份验证。当用户访问一个 Tableau URL 以访问 Avalon 的数据时，AVA 会使用 Okta 连接到 OpenID Connect，以便对用户进行身份验证。在确认用户拥有适当的权限并处于经过批准的安全组中之后，AVA 会安全地将用户转交给 Tableau。最后，在提供任何数据之前，Tableau 使用 Okta 确认用户已登录。

Avalon 还实施了单点登录，以使用户更方便地进行访问。“自从采用 AVA 以来，我们极大地改善了用户体验，”Ellis 说道。“我们正在扩展我们的服务，并提供以前无法交付的服务。” Avalon 在保持行业合规性的同时实现了所有这些目标。该公司每年都会进行审计，以检查 700 多项控制措施，并满足医疗保健行业法规的要求。

作为额外的一层安全性，Avalon 在 AVA 的后面运行一个防火墙。该公司过去每天记录数十万次企图突破防火墙的攻击。但自从实施 AVA 以来，试图突破防火墙的次数显著减少。这是因为，如果一个人没有正确的身份和访问管理权限，AVA 会立即阻止访问。“通过使用 AVA，我们可以保护通过 Web 访问的本地资源，”Avalon 的高级信息安全分析师 Juan Suarez 表示。“我们集中监控这些资源，我们可以控制访问。”

Avalon 还简化了为应用程序设置远程连接的过程，过去需要 1 天或更长的时间才能完成这一设置。而现在，工程师可以在大约 1 小时内完成此操作。该公司还增大了可以从浏览器访问数据的用户数量。到 2024 年 2 月，在 50 个企业用户加入 AVA 之后，Avalon 预计这一数字会快速增长。“通过使用 AVA，我们极大地简化和加快了零信任模式的实施，”Ellis 说道。“我们正在做以前从未做过的事情，例如将 Tableau 等报告服务器置于边缘，以使用户能够在浏览器中显示它。”

在实施 AVA 之后，Avalon 还采用了 AWS Enterprise Support，它提供了一整套资源，包括主动规划、沟通渠道和全天候专家支持。“AWS 在支持机制、资源和团队方面非常得非常出色，”Ellis 表示。