[新产品/新功能] Amazon VPC Reachability Analyzer 和 Amazon VPC Network Access Analyzer 扩展至 AWS GovCloud (US) 区域

**发布时间:** 2025-10-24 **厂商:** AWS **类型:** WHATSNEW **原始链接:** https://aws.amazon.com/about-aws/whats-new/2025/10/amazon-vpc-reachability-network-access-analyzer-govcloud ---  [新产品/新功能] Amazon VPC Reachability Analyzer 和 Amazon VPC Network Access Analyzer 扩展至 AWS GovCloud (US) 区域   # 产品功能分析 ## 新功能/新产品概述本次发布的核心是将两款现有的 AWS 网络分析服务——**VPC Reachability Analyzer** 和 **VPC Network Access Analyzer**——扩展至 **AWS GovCloud (US)** 区域（包括 US-West 和 US-East）。此举旨在为需要满足严格安全与合规性要求的美国政府机构及其合作伙伴，提供原生的、高级的网络诊断与安全审计能力。 - **VPC Reachability Analyzer**：一个网络连通性诊断工具，通过对 **VPC** 网络配置进行静态分析，来判断源与目标资源之间是否存在可达路径。它不发送实际网络包，而是通过分析 **安全组**、**网络ACL**、**路由表** 和 **VPC对等连接** 等配置，生成一个详细的路径分析报告，帮助用户快速定位网络连接问题。 - **VPC Network Access Analyzer**：一个网络安全与合规性审计工具。它利用 **自动推理（Automated Reasoning）** 技术，根据用户定义的网络访问策略，来识别任何非预期的网络访问路径。用户可以定义安全范围（Scope），例如“所有Web应用到互联网的流量必须经过防火墙”，该工具会分析并找出所有违反此策略的网络路径。 - **目标用户群**：在 **AWS GovCloud (US)** 区域内运营的美国政府机构、国防承包商以及其他受严格监管的组织。 - **市场定位**：在高度安全和隔离的云环境中，提供强大的原生网络可见性和验证能力，帮助客户降低对第三方工具的依赖，并自动化满足合规性要求（如 FedRAMP、DoD SRG）所需的部分网络审计工作。 ## 关键客户价值 - **提升网络故障排查效率** - **VPC Reachability Analyzer** 能够快速诊断复杂的网络连接问题，例如跨账户的 **EC2实例** 之间的连接中断。它能清晰地指出是哪个具体的配置（如路由表条目缺失或安全组规则不当）导致了连接失败。 - **差异化优势**：与传统的 `ping` 或 `traceroute` 等动态测试工具不同，它是一种 **静态配置分析** 工具。这意味着它可以在服务部署前或实例停止时进行分析，提前发现潜在问题，从而缩短故障恢复时间（MTTR）。 - **强化安全态势与合规性审计** - **VPC Network Access Analyzer** 帮助安全团队和合规官自动、持续地验证其网络架构是否符合安全基线。例如，它可以确保关键数据库实例不被意外地暴露在公网上，或者确保所有出站流量都经过指定的 **网络防火墙（Network Firewall）**。 - **差异化优势**：该工具提供的不是基于样本的扫描，而是对所有可能网络路径的详尽分析。通过形式化方法，它能提供数学上可证明的网络隔离性保证，这对于需要向审计机构证明其合规性的政府客户至关重要。 ## 关键技术洞察 - **基于形式化验证的静态分析** - 两款工具的核心技术是 _基于网络配置元数据的静态分析_，它们构建了整个VPC网络的数学模型，而无需发送任何实际流量。 - 特别是 **VPC Network Access Analyzer**，其底层运用了 **自动推理** 和 **形式化验证（Formal Verification）** 技术。它将网络配置（如路由表、安全组）和用户定义的访问策略转化为逻辑表达式，然后使用求解器来穷举和验证所有可能的网络路径。 - **技术影响**：这种方法比传统的手动审计或基于流量的监控更为彻底和可靠，能够发现人为审查极易忽略的、由多个配置组合导致的复杂访问路径，为GovCloud客户提供了更高水平的安全保障。 - **原生支持跨账户和AWS Organizations集成** - **VPC Reachability Analyzer** 的示例明确提到了分析从账户A的 **EC2实例** 到账户B的 **EC2实例** 的连通性。这表明该服务深度集成了 **AWS Organizations**。 - **技术实现**：这要求服务具备安全、高效地聚合和分析来自多个AWS账户的配置数据的能力，同时严格遵守 **IAM** 权限模型。这对于采用多账户策略来隔离工作负载的现代化、大型云环境是至关重要的，极大地简化了复杂网络环境的管理和排障。   # Amazon VPC 可达性分析器和 Amazon VPC 网络访问分析器现已在 AWS GovCloud (美国) 区域推出发布于: 2025年10月24日随着本次发布，Amazon [VPC 可达性分析器 (VPC Reachability Analyzer)](https://docs.aws.amazon.com/vpc/latest/reachability/getting-started.html) 和 Amazon VPC [网络访问分析器 (Network Access Analyzer)](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) 现已在 AWS GovCloud (US-West) 和 AWS GovCloud (US-East) 区域推出。 VPC 可达性分析器通过分析您的网络配置，可以诊断您在虚拟私有云 (VPC) 中源资源与目标资源之间的网络可达性。例如，可达性分析器可以帮助您识别 VPC 路由表 (route table) 中缺失的路由表条目，该条目可能阻塞了您 AWS Organization 中账户 A 的一个 EC2 实例与账户 B 的另一个 EC2 实例之间的网络可达性。 VPC 网络访问分析器可以帮助您识别对 AWS 资源的意外网络访问，从而满足您的安全与合规性准则。例如，您可以创建一个范围 (scope) 来验证从您的 Web 应用程序到互联网的所有路径都经过防火墙 (firewall)，并检测任何绕过防火墙的路径。要了解更多信息，请访问 [VPC 可达性分析器](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 和 [VPC 网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) 的文档。有关定价信息，请参阅 [Amazon VPC 定价页面](https://aws.amazon.com/vpc/pricing/) 上的“网络分析”选项卡。