零信任网关

前言

讲零信任，要先从VPN说起。

在电影《指环王》的圣盔谷守卫战中，洛汗军民依托城堡坚固的防御工事，一次次打退敌军的攻击，却因敌人利用了一条通向城内的下水道将厚重的城墙炸穿，攻守形势瞬间逆转。

VPN作为企业远程办公的常用工具，如今也如同那个致命的下水道一样，反倒为黑客突破层层边界防御提供了“捷径”。

如果把VPN网关比作小区门卫，在外网环境下通过VPN访问公司内网应用，好比小甲要去位于该小区的小乙家玩，门卫只需对小甲身份和来意简单盘问即可放他进门。

VPN网关IP和连接端口须映射到互联网，能被黑客扫描到并发起攻击。这就好比欲对小乙家图谋不轨的法外狂徒张三，可以轻易地获取到小乙家的地址。面对小区门卫，张三使点小伎俩，即可骗过门卫，进入小区。比方说：

由于VPN默认“信任”所有内部访问流量，因此一旦VPN网关被攻破，就没有更进一步的安全措施阻止攻击到达企业数字资产。也就是说，只要张三骗过门卫进入小区，就可以：

除了盗窃和破坏，张三还能叫来一大群地痞流氓，围住小区门口不让进出，勒索小区住户打钱……

按照Gartner所定义的零信任最佳实践——SDP（软件定义边界）技术路线，零信任架构是无法被检测到的，因此企业应用不会对外暴露端口和IP，只有通过授权的客户端才能使用专有协议进行连接。

换言之，这回小区门卫守的只是一个虚拟的小区大门，小乙家真实地址对外是隐形的，即便是作为朋友的小甲也无从得知。小区还加设了一个访客接待中心，小甲需要通过一整套的访客接待机制验证，才能顺利到达小乙家：

这样一来，狂徒张三对小乙家作案的机会，将被层层拦截：

零信任的中心思想就是不信任内部或外部的任何用户、设备、服务或应用程序，必须通过身份和访问管理过程才能获得最低级别的信任和访问权限。

若小区门卫懂得零信任，张三便再也无法在小区内肆意作案。同样地，VPN的缺陷给企业内部应用和数字资产带来的威胁，也能被零信任架构逐一封死。

说到这，什么是零信任，零信任为何能保障企业应用安全，你get了吗~

那么，下面进入安利时间