【2022争霸赛*干货满满】零信任aTrust与SSL VPN的区别

哈喽，各位小伙伴大家好，2022争霸赛第一周已经圆满结束了，不知道各位有没有获得理想的成绩呢？（虽然我只拿到了8分），高分小伙伴想评论区晒晒分数也是可以的哦

好了，话不多说，咱们赶紧进入正题吧

说起零信任各位小伙伴想必已经不陌生了吧，相信很多小伙伴已经实施过了咱们的零信任-aTrust产品，那么有的小伙伴就要问了，这不就是SSL VPN的功能嘛，为啥还要出个新产品呢，这个跟SSL VPN有啥区别吗？

那么为什么会有零信任这款产品呢，它到底能发挥什么作用呢？

说到这，我就得给大家讲讲零信任的发展背景了

传统的网络安全是基于防火墙的物理边界防御，也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代，该防御模型前提假设是企业所有的办公设备和数据资源都在内网，并且内网是完全可信的。

然而，随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进，还会进一步加速“无边界”的进化过程。与此同时，零信任安全逐渐进入人们的视野，成为解决新时代网络安全问题的新理念、新架构。

说白了就是，现在的网络比以前复杂的多了，云上业务越来越多，而且很多大企业都不止一个数据中心，这样的网络架构大到无边无界，那么如何能更好的保障内网的网络安全，不让贼人有可乘之机呢？

所以零信任产品就应运而生了

零信任的定义

零信任代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以保障办公系统的三个“安全”：终端安全、链路安全和访问控制安全。

以上是百度词条的内容，其中最主要的一点就是“持续验证，永不信任”，也就是说你每次访问资源都需要验证身份，并且在验证通过之前你永远都是不可信的，不知道这样说大家可不可以理解

好了，铺垫了这么多，终于到了重头戏了，也就是大家最关心的，零信任到底跟VPN有什么关系呢？下面我就来跟大家讲讲

严格意义来说，VPN并非纯粹的安全解决方案，而是一种将远程用户接入企业网络的一种技术手段，因此，大多数VPN产品都具有一次认证网络全开、基于静态规则、单体架构难以扩展等诸多不足，特别是在网络攻击日益严峻的今天，VPN的安全问题凸显，攻击者惯用伎俩就是“打穿”VPN进入内网，VPN的典型安全痛点包括：

痛点1：端口之痛

VPN产品无一例外，都需要开放网络端口进行监听，这无疑是门户洞开，攻击者可以全天候的对VPN进行密码爆破、注入攻击尝试等，并往往最终得逞。

痛点2：认证之痛

VPN产品采用静态认证方式，安全性弱。缺乏终端认证、自适应多因子认证等能力；VPN一次认证始终访问的工作模式无法在用户访问过程中持续验证用户身份和终端是否可信。

痛点3：权限之痛

VPN产品提供网络隧道接入能力，用户拨通VPN后，事实上就和内网在网络层面打通了，用户终端上的恶意软件，意图不轨的用户都可以肆无忌惮的对内网资源进行访问和窃取。

痛点4：漏洞之痛

VPN产品漏洞层出不穷，攻击者利用VPN漏洞极易绕过VPN用户验证，直接进入VPN后台将VPN作为渗透内网的跳板，进行肆意横向移动。

痛点5：架构之痛

VPN产品作为远程接入的专用产品，大多属于单体架构，自成一体，和其他安全能力，比如终端安全能力、权限管理系统、威胁检测系统等难以打通；事实上，VPN在安全运营范畴也经常位于 “遗忘角落”。

零信任远程访问解决方案

知名咨询机构Gartner指出，到2021年，60%的企业将使用基于零信任的远程访问解决方案逐步替代现有的VPN产品，更好地保障企业数字化转型。

零信任远程访问解决方案，基于零信任架构，以身份为基石重塑企业安全边界，为企业全业务提供更安全更易用的远程访问体验，保障企业数字化工作空间。

针对VPN典型痛点，零信任远程访问解决方案，应提供如下安全能力：

能力1：端口隐藏

基于SPA单包授权技术，默认情况下端口全隐藏，业务全隐身，只有验证用户和设备身份的合法性后，才针对合法用户合规终端开放网络端口和业务访问权限。有效缓解DDoS攻击、流量攻击、端口扫描、远程注入等威胁。

能力2：最小权限

遵循最小权限原则，基于场景化应用授权而非网络全开放，用户只能访问完成其日常工作所必须的应用资源。访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定，并可在风险发生时动态实时撤销。

能力3：自身安全

内置WAF组件，有效缓解漏洞注入、溢出攻击等威胁；内置RASP模块，抵御基于传统签名方式无法有效保护的未知攻击，同时具备基于自学习的进程白名单和驱动级文件防纂改能力。

能力4：持续验证

通过自适应多因子认证能力，根据人员、终端、环境等因素动态调整认证策略，兼顾安全与易用，访问过程中，根据风险情况，持续验证用户身份是否可信；另外，不仅仅验证人员身份，还持续对终端设备身份、设备归属、设备健康度进行评估。

能力5：架构安全

在统一的零信任架构视野下构建远程安全访问能力，避免远程接入场景成为整体安全能力的短板，且可持续扩展到其他业务场景，最终实现全场景零信任架构。

好了，今天的分享就到这里了，在下的一点愚见，不知道对各位有没有帮助，如果各位有什么不同的见解，还请各位大佬不吝赐教，在下定当感激不尽

走过路过不要错过，点个赞再走呗~

专家点评：感谢楼主分享！文章将零信任的定义、VPN的缺点、aTrust的优点阐述的都比较清晰，文章的排版还有优化空间，期待楼主后续带来更多有价值的分享。

感谢楼主倾力分享，学习了

五大能力，解决五大痛点。

感谢楼主倾力分享，学习了

感谢楼主倾力分享，学习了

感谢楼主分享，努力学习中！

楼主分析的很详细，不错的实战经验

感谢楼主倾力分享，学习了

感谢楼主分享，努力学习中！