#干货满满# 零信任与VPN的理解和区别
  

李生鸿 175138人觉得有帮助

{{ttag.title}}
#干货满满#  零信任与VPN的理解和区别
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
以上是百度词条的内容,其中最主要的一点就是“持续验证,永不信任”,也就是说你每次访问资源都需要验证身份,并且在验证通过之前你永远都是不可信的,不知道这样说大家可不可以理解
好了,铺垫了这么多,终于到了重头戏了,也就是大家最关心的,零信任到底跟VPN有什么关系呢?下面我就来跟大家讲讲
严格意义来说,VPN并非纯粹的安全解决方案,而是一种将远程用户接入企业网络的一种技术手段,因此,大多数VPN产品都具有一次认证网络全开、基于静态规则、单体架构难以扩展等诸多不足,特别是在网络攻击日益严峻的今天,VPN的安全问题凸显,攻击者惯用伎俩就是“打穿”VPN进入内网,VPN的典型安全痛点包括:
痛点1:端口之痛
VPN产品无一例外,都需要开放网络端口进行监听,这无疑是门户洞开,攻击者可以全天候的对VPN进行密码爆破、注入攻击尝试等,并往往最终得逞。
痛点2:认证之痛
VPN产品采用静态认证方式,安全性弱。缺乏终端认证、自适应多因子认证等能力;VPN一次认证始终访问的工作模式无法在用户访问过程中持续验证用户身份和终端是否可信。
痛点3:权限之痛
VPN产品提供网络隧道接入能力,用户拨通VPN后,事实上就和内网在网络层面打通了,用户终端上的恶意软件,意图不轨的用户都可以肆无忌惮的对内网资源进行访问和窃取。
痛点4:漏洞之痛
VPN产品漏洞层出不穷,攻击者利用VPN漏洞极易绕过VPN用户验证,直接进入VPN后台将VPN作为渗透内网的跳板,进行肆意横向移动。
痛点5:架构之痛
VPN产品作为远程接入的专用产品,大多属于单体架构,自成一体,和其他安全能力,比如终端安全能力、权限管理系统、威胁检测系统等难以打通;事实上,VPN在安全运营范畴也经常位于 “遗忘角落”。
零信任远程访问解决方案
知名咨询机构Gartner指出,到2021年,60%的企业将使用基于零信任的远程访问解决方案逐步替代现有的VPN产品,更好地保障企业数字化转型。
区别之处
1、深信服 aTrust 零信任访问控制系统是基于零信任理念设计的 SDP 产品。aTrust以身份为中心,用身份重塑边界;通过网络隐身、动态业务准入等实现可信访问;通过动态权限控制、权限基线工具等实现智能权限;通过免客户端、权限申请自服务等实现简单运维。深信服零信任访问控制系统,为用户构建更安全、体验更好的安全解决方案。

2、aTrust相比SSLVPN而言有以下优势

(1)、极简运维

①、更强的资源访问诊断能力和独立的增强诊断修复工具

②、客户端支持灰度升级

③、终端体验增强:下载后客户端不需要手动输入vpn地址,只要客户端不主动退出,管理员开启一键在线后,即使电脑重启或注销重登,客户端自动上线,开机即用。

④、支持免拆集群升级。通过架构改进,实现免拆集群升级。单集群变更窗口缩短至1分钟。

⑤、实现时光机快照机制,升降级确保能任意回退。

(2)、设备安全性 - 纵深防护架构

①、设备自安全增强 -- 服务隐身(SPA)

通过SPA单包授权安全机制实现『服务隐身』,保护服务器(服务器不会响应来自任何客户端的任何连接)没有安装企业专有客户端的电脑,无法打开VPN认证界面,无法访问任何接口。安全性等同于双向SSL证书认证SPA能有效防止0day攻击运用。 即使有0day,如果未获取到专有客户端,也无法利用。

②、支持控制台管理员账号双因素认证

(3)、业务访问安全增强:

采集企业内访问业务系统的所有进程,根据使用人员、使用频次、程序签名情况等确认是否可信, 配置对应的ACL控制规则,实现业务访问可信   

(4)、审计增强

①、完备、结构化的访问/操作日志

②、全新架构外置数据中心

(5)、账号安全增强

①、闲置账号回收

②、防慢速爆破

③、弱密码识别自动增强二次认证

(6)、更高的架构规格

①、大用户管理:验证支持100万用户,20万用户组LDAP用户管理

②、大应用管理:可支持10万以上应用数量,10万以上角色数量,满足大规模用户管理

(7)、支持安全工作空间

在接入安全基础上,可提供远程办公的安全工作空间,保护数据安全,形成接入+安全一体化的业务访问安全体系。

①、已支持WINDOWS 7&WINDOWS 10数据沙箱(MAC开发中)

②、已支持ANDROID&IOS 数据沙箱

打赏鼓励作者,期待更多好文!

打赏
64人已打赏

C罗单手卸AF 发表于 2023-3-1 10:57
  
非常感谢楼主的分享,楼主将两款产品进行了详细的说明,分析了两款产品的差异化优势,希望楼主可以附上产品界面截图,让小白更容易上手,期待楼主的下次分享!
新手800119 发表于 2024-9-12 20:04
  
每天坚持打卡学习签到!!!!!
无殇001 发表于 2024-8-14 11:16
  
一起来学习!一起来学习!
张嘉烽 发表于 2023-3-22 08:36
  
学习一下 很实用 感谢楼主分享
糖果星球 发表于 2023-2-21 12:24
  
资料非常详细,感谢分享知识
Varliu 发表于 2023-2-18 10:33
  
感谢分享,有助于工作,学习了!!!
Xaney 发表于 2023-2-14 10:34
  
感谢分享,有助于工作,学习了!!!
蟲爺 发表于 2023-2-14 00:04
  
感谢分享
头像被屏蔽
新手741261 发表于 2023-2-13 19:44
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人