pj
Facebook Linkedin Instagram Youtube

Como permitir acesso remoto seguro a recursos AWS sem expor sua VPC?

Foto de Eduardo
Eduardo

Muitas pessoas com quem já conversei acreditam que o acesso remoto na AWS depende de uma única solução, como simplesmente habilitar uma VPN com acesso ao ambiente. Mas será que é só isso mesmo?

Isso pode até funcionar bem em alguns cenários, porém, sem uma visão clara da segurança do ambiente, você pode acabar concedendo ao usuário mais privilégios de acesso do que o necessário.
A documentação da AWS orienta a separar o acesso à aplicação, o acesso administrativo e o acesso à rede, sempre com foco em menor privilégio. E o próprio AWS Well Architected Framework, no pilar de segurança, recomenda conceder apenas o acesso mínimo necessário para cada função.
Pergunte-se: Quando um colaborador que só precisa abrir um portal interno, ele também precisa enxergar a VPC inteira? Ou um administrador que precisa acessar uma instância privada, é necessário ter um bastion host público? É exatamente nesses contextos que o AWS Verified Access, o EC2 Instance Connect Endpoint e o AWS Client VPN fazem sentido.

Sumário

Por que abrir VPN para tudo não é a melhor escolha?

Durante muito tempo, a lógica era simples. Para acessar algo privado, o usuário precisava entrar primeiro em uma VPN e fazer o seu trabalho. O problema é que, nesse modelo, quando as permissões do acesso são permissivas demais, fazem com que o usuário consiga obter acesso além do necessário. E qual a solução podemos recorrer?

Bem, se a pessoa só precisa abrir uma aplicação web privada, faz mais sentido liberar somente aquela aplicação. Se ela precisa administrar uma EC2 privada, também faz sentido liberar só o acesso administrativo naquela carga de trabalho, e assim por diante.

Agora, quando a necessidade é necessária para o administrador da rede ter acesso ao banco de dados, utilizar ferramentas internas para corrigir algo ou usar recursos on-premises conectados, a VPN se torna a melhor opção.

Quando usar AWS Verified Access?

O AWS Verified Access foi feito para fornecer acesso seguro a aplicações sem exigir VPN. Para isso, ele avalia cada requisição da aplicação e só libera o acesso quando o usuário atende aos requisitos de segurança definidos por política. Além disso, o acesso é negado por padrão até que uma política seja criada.
AWS Verified Access e seus componentes-chave

Outro detalhe sobre o AWS Verified Access é que ele não concede acesso à rede, mas sim à aplicação. Por exemplo, se você tem um portal interno, um painel corporativo, ou uma aplicação web privada, esse serviço é a melhor escolha do que colocar todo mundo em uma VPN só para abrir uma URL.

Se a sua aplicação utiliza um Application Load Balancer, durante a criação do endpoint é possível fazer com que o seu backend permaneça privado e o acesso do usuário final será controlado pelo AWS Verified Access com política, identidade e contexto.

Quando usar EC2 Instance Connect Endpoint?

O EC2 Instance Connect Endpoint foi desenvolvido para estabelecer uma conexão segura a instâncias EC2, usando IP privado, sem bastion host e sem exigir conectividade direta da VPC com a internet. Pessoalmente, esse é um dos recursos que mais gosto de utilizar e é útil quando o objetivo é administrar cargas de trabalho privadas.
EC2 Instance Connect Endpoint Arquitetura
Outro detalhe importante é que ele foi pensado para tráfego de gerenciamento, não para transferência pesada de dados. A própria AWS deixa claro que transferências de alto volume são limitadas.

Também gosto de mencionar que você pode restringir as regras de entrada da instância para permitir tráfego de gerenciamento apenas a partir do endpoint. Isso é bem melhor do que deixar SSH ou RDP aberto para a internet.

Quando usar AWS Client VPN?

O AWS Client VPN é um serviço gerenciado de VPN baseado em cliente, compatível com OpenVPN, que permite acessar com segurança recursos da AWS e também recursos da rede local.
AWS Client VPN
Ele faz sentido quando o usuário precisa alcançar bancos de dados privados, APIs internas, servidores legados, redes conectadas por peering ou até ambientes on-premises integrados. Além disso, o endpoint pode ser associado a múltiplas sub-redes da mesma VPC, em diferentes zonas de disponibilidade, o que ajuda na alta disponibilidade.
Porém, utilizar esse serviço não é apenas “conectou e está liberado“. O serviço atua com a associação de sub-redes, configuração de rotas e com regras de autorização. E para redes adicionais, você precisa adicionar uma rota no endpoint e configurar a autorização correspondente.

Qual serviço usar em cada cenário?

NECESSIDADE DO USUÁRIOSERVIÇO INDICADOMOTIVO
Abrir uma aplicação web privadaAWS Verified AccessEntrega acesso à aplicação sem exigir VPN e avalia cada requisição com base em política
Administrar uma instância EC2 privadaEC2 Instance Connect EndpointPermite acesso por IP privado, sem bastion host e sem expor gerenciamento à internet
Acessar banco de dados, APIs internas e vários recursos privadosAWS Client VPNEntrega acesso de rede com rotas, associação de sub-redes e regras de autorização

Quatro erros comuns para evitar

O primeiro erro é usar VPN para tudo. Isso pode até parecer prático no começo, mas costuma ampliar demais o alcance do usuário e aumentar a complexidade operacional.

O segundo erro é tratar AWS Verified Access como se fosse um substituto de VPN. Ele não é! Lembre-se que ele funciona muito bem para acesso à aplicação, mas não foi criado para entregar acesso à rede.

O terceiro erro é manter bastion host por costume, mesmo quando o EC2 Instance Connect Endpoint atende melhor o cenário de administração privada. Você precisa pensar em reduzir a exposição do seu ambiente para mitigar ataques externos. A própria documentação da AWS sugere o uso de NAT gateway quando o único motivo do acesso externo seria para uma manutenção ou acesso emergencial.

O quarto erro é esquecer que acesso seguro também depende do desenho da rede, das rotas e de autorização. No AWS Client VPN, por exemplo, não basta criar o endpoint. Você precisa associá-lo corretamente às sub-redes, criar as rotas necessárias e definir as regras de autorização adequadas.

Você quer ser um Arquiteto de Soluções AWS?

Se o seu objetivo é evoluir na carreira e entender como esses serviços se encaixam em arquiteturas reais, estudar cenários para ganhar experiência fará muita diferença. Por isso, não basta decorar o nome de serviço. É preciso entender quando usar, quando não usar e qual serviço foi feito para aquele cenário.

No curso preparatório do exame AWS Solutions Architect Associate da Você Certificado, você aprenderá a teoria e a prática da tecnologia e serviços AWS que são necessários para passar no exame na primeira tentativa.
Dê o passo certo hoje, rumo à sua certificação e seja Você Certificado!
Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Artigos Relacionados

Continue aprendendo com nosso conteúdo especializado

Top 10 Comandos Linux

Aprender comandos Linux é um dos primeiros passos para quem deseja trabalhar melhor tanto no terminal quanto

Nova Fase Você Certificado 2026

A Você Certificado está entrando em uma nova fase em 2026. A partir de 1º de junho

Minha experiência no AWS New Voices 2026

Nessa semana, participei do primeiro encontro do AWS New Voices 2026, um programa voltado para desenvolver habilidades