《秒懂零信任》第二讲预告片：零信任 vs VPN，零信任为何更具优势？发言有奖>>

你发现没？绝大多数工程师说起远程办公安全，都只知VPN

基于此，上一讲我们邀请到深信服资深产品专家“阿信”

揭开了『零信任』这个产品的神秘面纱

点击回顾：【秒懂零信任】第一讲 | 是时候重新认识下“零信任aTrust"

那...那...那...，零信任&VPN究竟有何区别？

都在吹『零信任』，它比VPN更安全吗？

在阿信专家上场科普前，先邀请咱社区的技术牛们来讲讲吧！

如留言被专家选中，还有惊喜小礼品哦~

---

  

---

【请回答】发言有奖

1、零信任跟传统的SSL VPN有什么区别？从用户使用体验、接入体验和安全防护等视角聊一聊，您认为零信任作为新一代的远程办公解决方案，都有哪些优势呢？

（PS:回帖形式不限，可漫画、可图文、可手绘、可文字，切勿长篇大论，通俗易懂更易获得课代表奖励哦~）

【奖励设置】

1、【发言有奖】本帖设置1000S豆回帖奖励，可在本帖评论留言，说出您的独到见解；

2、【课代表奖励】活动结束后，由深信服零信任产品专家评选出1条【最佳回复】并颁发本期课代表奖励；

//奖品：深信服定制签字笔一支

【活动时间】

2023年12月15日-12月25日

【获取参考资料】

点击前往找灵感>>点击查看

预知「零信任 vs VPN，零信任为何更具优势？」请听12月25日专家讲解

《零信任：安全办公新姿态》线上公开课，即将开讲，敬请关注！

零信任和VPN的区别：传统SSL VPN是通过对外发布端口的形式将业务发布在互联网上，在进行数据连接的时候，用户访问应用，通过VPN的鉴权后即可建立一个VPN的隧道，这个连接会涉及两个问题，首先是在连接过程中只会做一次鉴权，除非掉线否则不进行二次验证。二是在VPN隧道建立前，用户就已经访问到了业务端口，一旦VPN被攻破，这个“用户”就会获得所有的业务权限，所以传统VPN在架构上就不够安全。下面我们在看看零信任是如何工作的：首先通过代理网关+控制中心的模式将业务完全收缩进内网，并且所有访问默认都是不可信任的，所有用户要访问业务都要通过零信任本身的验证，验证通过后控制中心下发相关权限，由代理网关进行代理访问业务。用户不直接和业务接触，在架构设计上就比VPN安全。其次零信任采取SPA单包授权的模式，对用户的连接实时的进行动态的验证，在连接过程中实时发现用户侧的连接是否安全，网络状态是否变化等。第三零信任采用灰度权限，当用户的网络情况发生变化如从公司网络环境变成手机热点或者家庭wifl，零信任可以开启二次验证，使用灰度权限的功能既确保了用户接入业务的安全，也确保了用户的接入体验，最后零信任还可以联动EDR等其它设备对终端进行验证等。整体来说零信任在身份认证、终端安全认证、连接安全、用户权限、数据安全和行为安全方面都有VPN所不具备的优势。

认证方式：零信任：持续校验用户、设备、授权。SSL VPN：用户访问应用时，通过VPN鉴权，账号登录成功后，即会建立SSL VPN隧道，VPN下发IP地址、路由到终端。之后VPN会维持该隧道，并基于IP和端口进行访问权限控制。除非掉线重新登陆，否则不会有第二次校验。
安全性和访问控制：零信任：不仅仅依赖于网络边界上的信任，而是将信任放在用户身份和设备状态的实时验证上。这意味着在访问企业资源时，每个用户和设备都需要经过严格的身份验证和授权，不论其所处的网络环境如何。SSL VPN：可能存在安全问题，例如内部人员所为导致的安全问题或VPN本身的问题。
扩展性和用户体验：零信任：可扩展性更好，因为其基于策略和验证的安全模型可以灵活地应对各种网络环境和用户需求。SSL VPN：可能在某些情况下对用户体验产生影响，例如掉线重新登陆等情况。
综上所述，零信任和传统的SSL VPN在认证方式、安全性和访问控制、扩展性和用户体验等方面存在显著的区别。零信任通过持续校验用户、设备、授权来提高安全性，而SSL VPN则可能存在安全问题。同时，零信任还具有更好的可扩展性和用户体验。

1、用户使用体验

VPN需要在用户设备上安装专门的VPN客户端软件，并进行配置。这使得使用VPN的过程相对繁琐；而且通过建立安全隧道来实现远程连接，因此可能会导致连接速度变慢。最后，VPN的连接方式比较固定，一般需要预先配置一组网络设置，灵活性相对较低。相比之下，零信任服务在用户体验方面相对更加便捷和灵活。它不需要复杂的客户端软件，支持直接访问云应用和互联网资源，而且具备自动化的访问权限管理和灵活的安全策略适配，为用户提供了更好的工作体验和个性化定制选项。

2、接入体验

VPN通常通过提供远程用户与企业网络之间的安全连接来实现网络资源访问控制。用户在通过VPN连接后，被授予了访问企业网络中特定资源的权限。然而，这种授权往往是基于用户的身份验证，一旦用户通过身份验证，他们将获得相对广泛的网络访问权限，包括访问敏感数据或者关键系统的权限。这种静态且广泛的访问权限可能会增加潜在的安全风险，因为一旦用户的凭证被泄露或被滥用，黑客或恶意用户可能会获取到敏感信息或者对关键系统进行未经授权的访问。

而零信任服务在网络资源访问控制和权限认证方面具有明显的优势。它通过动态的权限分配、细粒度的访问控制和加强的身份验证机制，为企业提供了更为安全和可控的访问控制方案。

3、安全防护

VPN使用加密隧道来保护数据的传输，通过对数据包进行加密和解密来确保数据的机密性。然而，VPN通常采用预共享密钥或证书等静态的身份验证方式，容易受到密码破解和中间人攻击的威胁。相比之下，零信任服务采用更强大的动态身份验证机制，如多因素身份验证和单一登录（SSO），以及细粒度的访问控制策略，从而提供了更高级别的数据保护。

我觉得它们两者有四点差异：
1. VPN采用网段划分的粗粒度访问控制,用户可以访问所在网段内的全部资源。零信任采用细粒度访问控制,用户只可以访问被授权的特定资源。(在这里可以把VPN看成在足球场，你只要进入就可以看见所有人，和他们对话；而零信任可以把他看成一个村庄，找谁就去谁家，你进入一个，你和其他人对话，隔着墙，也不见）

2. VPN存在一定安全隐患,一旦攻破VPN,可获取相应网段的全部访问权。零信任安全性更高,采取细粒度授权和监控。

3. VPN访问控制局限于网络层面,一旦进入内部网络就可获取权限。零信任可以跨网络进行细粒度访问控制。

4. VPN的访问控制策略与网络拓扑强耦合,较难变更。零信任访问策略与网络布局解耦,易于管理。

有助于学习，感谢分享！！

零信任，更高级。。。。。。

零信任：

零信任模型通过动态策略和访问控制实现了更加精细的安全控制。它更强调以数据为中心的安全，采用了分层次、细粒度的权限控制策略。
采用了更多的行为分析和设备健康检查，以确保连接的设备和用户的身份是安全可信的。
SSL VPN：

SSL VPN 基于连接方式进行访问控制，对于已经连接的设备，可能存在被信任但实际上已被感染的风险。此外，SSL VPN 对于基于网络的安全策略更依赖于固定的边界控制，可能无法应对现代威胁的变化。

有助于学习，感谢分享！！

1、用户使用体验
VPN需要在用户设备上安装专门的VPN客户端软件，并进行配置。这使得使用VPN的过程相对繁琐；而且通过建立安全隧道来实现远程连接，因此可能会导致连接速度变慢。最后，VPN的连接方式比较固定，一般需要预先配置一组网络设置，灵活性相对较低。相比之下，零信任服务在用户体验方面相对更加便捷和灵活。它不需要复杂的客户端软件，支持直接访问云应用和互联网资源，而且具备自动化的访问权限管理和灵活的安全策略适配，为用户提供了更好的工作体验和个性化定制选项。
2、接入体验
VPN通常通过提供远程用户与企业网络之间的安全连接来实现网络资源访问控制。用户在通过VPN连接后，被授予了访问企业网络中特定资源的权限。然而，这种授权往往是基于用户的身份验证，一旦用户通过身份验证，他们将获得相对广泛的网络访问权限，包括访问敏感数据或者关键系统的权限。这种静态且广泛的访问权限可能会增加潜在的安全风险，因为一旦用户的凭证被泄露或被滥用，黑客或恶意用户可能会获取到敏感信息或者对关键系统进行未经授权的访问。
而零信任服务在网络资源访问控制和权限认证方面具有明显的优势。它通过动态的权限分配、细粒度的访问控制和加强的身份验证机制，为企业提供了更为安全和可控的访问控制方案。
3、安全防护
VPN使用加密隧道来保护数据的传输，通过对数据包进行加密和解密来确保数据的机密性。然而，VPN通常采用预共享密钥或证书等静态的身份验证方式，容易受到密码破解和中间人攻击的威胁。相比之下，零信任服务采用更强大的动态身份验证机制，如多因素身份验证和单一登录（SSO），以及细粒度的访问控制策略，从而提供了更高级别的数据保护。