有没有通俗易懂的方式来理解0信任VPN和SSLvpn的区别？

有没有通俗易懂的方式来理解0信任VPN和SSLvpn的区别？

SSLvpn，就是你卖了一把锁（VPN），锁（VPN）着你家门了，你有钥匙（如：用户密码），就可以开门（认证过通了） 进去了（访问了）

0信任VPN，就是请个保安，第一次见你时，问你有没有身份证明、 有没有物主证明、做什么的等，确认身份后开门进去入，第二次，保安认识你了，放行通过了，有一天你换了一发型，没认出来，又来一遍身份确认；再一天你带着女朋友来了，保安又得问候你了

上友表述的就很形象哈，SSLVPM就相当于一次认证下次做认证会有个印象知道还是你。0信任VPN就是谁都不信任，下次访问还仍需做认证操作。

关键是这个0字，ssl只需要认证一次

学习了学习了,谢谢。

VPN的典型安全痛点包括：

痛点1：端口之痛

VPN产品无一例外，都需要开放网络端口进行监听，这无疑是门户洞开，攻击者可以全天候的对VPN进行密码爆破、注入攻击尝试等，并往往最终得逞。

痛点2：认证之痛

VPN产品采用静态认证方式，安全性弱。缺乏终端认证、自适应多因子认证等能力；VPN一次认证始终访问的工作模式无法在用户访问过程中持续验证用户身份和终端是否可信。

痛点3：权限之痛

VPN产品提供网络隧道接入能力，用户拨通VPN后，事实上就和内网在网络层面打通了，用户终端上的恶意软件，意图不轨的用户都可以肆无忌惮的对内网资源进行访问和窃取。

痛点4：漏洞之痛

VPN产品漏洞层出不穷，攻击者利用VPN漏洞极易绕过VPN用户验证，直接进入VPN后台将VPN作为渗透内网的跳板，进行肆意横向移动。

痛点5：架构之痛

VPN产品作为远程接入的专用产品，大多属于单体架构，自成一体，和其他安全能力，比如终端安全能力、权限管理系统、威胁检测系统等难以打通；事实上，VPN在安全运营范畴也经常位于 “遗忘角落”。


针对VPN典型痛点，零信任远程访问解决方案，应提供如下安全能力：

能力1：端口隐藏

基于SPA单包授权技术，默认情况下端口全隐藏，业务全隐身，只有验证用户和设备身份的合法性后，才针对合法用户合规终端开放网络端口和业务访问权限。有效缓解DDoS攻击、流量攻击、端口扫描、远程注入等威胁。

能力2：最小权限

遵循最小权限原则，基于场景化应用授权而非网络全开放，用户只能访问完成其日常工作所必须的应用资源。访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定，并可在风险发生时动态实时撤销。

能力3：自身安全

内置WAF组件，有效缓解漏洞注入、溢出攻击等威胁；内置RASP模块，抵御基于传统签名方式无法有效保护的未知攻击，同时具备基于自学习的进程白名单和驱动级文件防纂改能力。

能力4：持续验证

通过自适应多因子认证能力，根据人员、终端、环境等因素动态调整认证策略，兼顾安全与易用，访问过程中，根据风险情况，持续验证用户身份是否可信；另外，不仅仅验证人员身份，还持续对终端设备身份、设备归属、设备健康度进行评估。

能力5：架构安全

在统一的零信任架构视野下构建远程安全访问能力，避免远程接入场景成为整体安全能力的短板，且可持续扩展到其他业务场景，最终实现全场景零信任架构。