为什么说“零信任”可以代替VPN_

1

远程办公的新挑战

      随着2020年全球新冠疫情的席卷，远程办公、居家办公、移动办公已逐渐替代原有的高校办公模式，成为当下的混合工作新常态。过去数十年里，VPN为所有远程工作者们提供了随时随地远程访问高校网络的安全通道，同时VPN也暴露出了作为远程访问安全方案的不足。零信任网络访问方案，因其秉持“持续验证，永不信任”的原则，默认不信任网络内外的任何人、任何设备及系统，基于身份认证和授权，重新构建访问控制的信任基础等特点，受到越来越多高校的青睐。

      随着业务网络环境和安全态势变得更加复杂，许多高校正在转向零信任网络访问以提高其安全性，同时还替代或补充了VPN等旧技术。

2

高校网络的现状

校园内外网安全体系不健全

      大部分高校基于传统的网络边界隔离防护架构，把网络划分为外网、内网、DMZ 区等不同的区域，然后在边界上部署防火墙、入侵检测、WAF 等产品。这种网络安全架构假设或默认了内网比外网更安全，不法分子一旦突破高校的边界安全防护进入内网，会像进入无人之境，将带来严重的后果。目前资产防护的安全边界越来越不清晰，传统的边界防护架构主要存在如下一些问题：

•1.黑客可以轻松劫持边界内的设备并从内部攻击高校应用。

• 2.随着自带设备（BYOD）、外包人员、合作伙伴的增多，以及边界内部设备不确定因素的增加，导致安全漏洞不断增多。

• 3.高校的业务资源除了部署在传统数据中心，也在不断向外部云资源扩展，如PaaS，IaaS和 SaaS。因此，边界安全网络设备在拓扑上并不能很好地保护高校应用基础设施。

4.传统VPN，用于网络接入内网资源。对于这种虚拟专用网络，信任范围较大，一旦攻击者通过VPN接入校园网，网络薄弱点将一一暴露，形成一个大的攻击面。并且当高校的业务更多的迁移到公有云上，对于VPN等安全设备的管理将会很复杂，网络管理员需要根据需要来调整VPN策略。

2

高校网络的现状

应用服务器的安全防护不到位

      传统数据中心的三层架构无法满足海量虚拟机的配置和不断扩大的业务需求，越来越多的高校在数据中心设计中采用虚拟化技术。也就是，服务器虚拟化将以服务器为主的硬件平台分为一个或者多个虚拟机，虚拟机成为业务应用系统运行的直接载体。同时，在物理服务器内引入了虚拟交换机，这样网络内部的主机是可信的，外部部署的网络安全设备不会对网络内部流量进行过滤，原有的安全访问机制将变得形如虚设。加强服务器自身的安全和采取必要的安全措施来防范来自内外网攻击的发生，是目前虚拟化网络安全领域面临的新的挑战。

      边界内部设备不断增长，移动终端、远程办公、高校业务在内网和公有云同时部署，这样的趋势已经破坏了高校使用的传统安全模型。为适配更多业务场景，高校在业务云化后不得不面临跨不同云服务部署应用，且需要支持移动办公。高校本地数据中心不再是网络架构的中心，多云环境下，对用户访问开展认证、权限管理的工作量大，于是在云架构下具有严格访问控制的零信任接入(ZTA, Zero-Trust Access)技术被广为推崇。

3

混合办公新常态下的具体挑战

      面对日益复杂的网络环境与办公形态，高校对于远程接入访问的需求也在不断增加，而传统VPN技术实现远程安全接入的方案带来了较大的挑战。主要体现在以下几点：       

一、端口暴露风险不受控

      在传统VPN的架构，必须要对外暴露端口已实现远程连接的功能，这就让所有互联网上的黑客或扫描器都能够轻而易举的攻击VPN站点。这将是高校一个严重的安全隐患，尤其是VPN爆出高危漏洞的时候。

二、未被发现的漏洞，时常暴雷

      已知的VPN漏洞已经超过500个，每当爆出VPN漏洞时，就是每个数字高校安全运营同学彻夜难眠的日子，一旦黑客利用VPN漏洞入侵高校内网，内网中的应用都将成为黑客的攻击目标。

三、终端风险无感知

      传统VPN只针对用户进入身份做认证，缺少业务访问全周期的终端安全检测能力，使得访问过程存在巨大网络安全风险，病毒或攻击者很有可能通过VPN感染高校内部业务系统。

四、多云复杂环境难应用

     高校上云趋势的广泛应用，在多云、混合云环境下，传统VPN难以适应统一安全接入、统一建立安全边界的需求。

五、权限粗放风险大

     传统VPN 认证通过后业务访问权限不会进行调整，默认接入内网等于进入“安全地带”，不会持续监测身份、终端、行为和进程信息，引发权限固化造成的安全事件。

六、访问体验遭诟病

      在当前云计算时代，各种部署环境、应用环境变得异常复杂，于是VPN的访问模式在易用性、灵活性、稳定性等各个层面，都显得不尽人意。

4

SDP和VPN的区别

      现阶段，零信任将和传统VPN并存（主要受限于高校进行零信任改造、升级的速度）；长远看，零信任解决方案将会替代传统VPN的全部功能和适用场景，部分传统VPN产品可能会根据零信任理念扩展升级成为零信任的核心组件（这种情况下，VPN原始的概念实际已不存在）。

4

SDP和VPN的区别

零信任与VPN概念内涵的区分

      VPN提供了一种在公共网络上建立专用数据通道的技术。包含两层含义：一是“虚拟”，即并不存在一个端到端的物理通信链路，而是在公共网络上建立一个逻辑上的专用网络；二是“专用”，强调私有性和安全性。VPN是对高校内网的延伸，通过VPN可帮助高校分支机构、远程用户、外部合作伙伴等与高校内部网络建立安全的网络连接，实现安全保密通信。

      零信任是一种行业上新的安全理念和多种相关技术的概括性叫法。零信任的基本目标是防止未经授权情况下的资源访问，其高阶目标是降低资源访问过程中的所有安全风险，所以零信任是一种网络安全防护/保护理念。

      从概念和安全目标（高校急需解决的问题）可以看出，相较VPN,零信任对于高校目标的满足度更高：VPN侧重于解决不可信链路上的安全通信问题；零信任架构在确保链路安全可信之余，核心解决端到端的安全防护、访问控制权限等问题。

4

SDP和VPN的区别

容易产生的误区

      VPN与零信任最令人迷惑的地方有两点：一是VPN和零信任都须解决一定安全问题，二是VPN和零信任都适用于远程办公场景。因此很多人认为零信任和VPN是完全等同的关系，其实不然。

4

SDP和VPN的区别

核心技术点分析

      VPN的关键技术是隧道技术，通过对通信数据的封装和解封装，实现数据的透明、安全传输。根据隧道所在的网络层次，可分为二层、三层、应用层隧道协议。常见的二层隧道协议包括PPTP、L2TP，三层隧道协议包括GRE、IPsec，应用层隧道协议SSL VPN等。VPN一般会和用户身份认证（通常基于口令、基于数字证书等）技术结合使用。一旦鉴权通过，VPN即默认“信任”所有内部访问流量，无持续动态监测用户安全状态。

      零信任的核心技术涉及较多，包括身份认证（用户/设备/应用/进程、MFA等）、访问控制（基于安全评估而非仅仅依赖传统的基于用户角色、基于静态属性、基于网络位置等因素）、持续安全验证（包括身份认证、访问控制、信道安全、端侧安全、服务侧安全等）、自动化（策略自适应、安全评估AI化等）、设备和资产管理等。零信任安全基于“持续验证、永不信任”的安全设计原则，对用户身份和行为进行动态授权，默认任何流量“不可信”。

4

SDP和VPN的区别

应用场景分析

      VPN通常被需要将远程工作者或位置连接到更集中的专用网络的组织所使用。这可以包括公共云中的虚拟私有云。当高校业务发展迅速，无法负担像SD-WAN这样尽可能避免公共互联网的网络解决方案时，使用VPN是一种低资本支出的选择。然而，传统网络、虚拟专用网络和非军事区架构用来建立访问的iP地址和网络位置通常被配置为允许过多的隐式信任和未修补的漏洞，从而使高校面临遭受攻击的风险。

      零信任理念主要阐述了以动态访问控制为核心的高校内部安全框架。它可以有较多灵活的应对多种安全场景。包括无边界办公/运维场景、多云多通道的安全访问和服务器运维、高校网络对外访问入口的安全防护应用、跨境跨运营商办公加速等。

4

SDP和VPN的区别

VPN和零信任技术对比

4

SDP和VPN的区别

零信任“三剑客”的技术区别

      虽然零信任和VPN是不同维度的概念，但在业界经常拿两者进行比较。现在市场中也出现了基于零信任理念的VPN产品，基本上把零信任安全代理的能力在传统VPN的基础上做了升级和扩展。

5

数字高校，SDP的价值

      SDP是基于零信任理念的软件定义边界的解决方案，它是由国际云安全联盟CSA在2013提出的一个安全模型。它基于用户ID，设备，需要访问的服务，应用程序和网络使用身份的细粒度来访问网络，这样可以替代信任过度的网络接入。可信代理对流量进行加密，对应用进行隐藏。访问权限需要持续验证，以缩小攻击界面。零信任既不是一种技术，也不是一个产品，而是一种安全理念和安全方法。SDP相较于“VPN”对于高校到底有什么样的价值？

一、端口隐藏更安全

      基于 TLS 反向隧道，实现端口0暴露，业务全隐身，只有验证用户和设备身份的合法性后，才针对合法用户合规终端开放网络端口和业务访问权限。有效缓解 DDoS 攻击、流量攻击、端口扫描、远程注入等威胁。

二、终端安全全覆盖

      终端安全全覆盖终端能力 ALL IN ONE，结合千万级威胁情报库，有效解决终端漏洞、木马攻击等威胁，对敏感数据进行定义并管控，实现数据安全全流程覆盖。

三、多云访问极致体验

      思福迪零信任远程访问方案，将能力云化适配更多业务架构的同时，在介于用户和高校资源之间，为高校提供更敏捷、可适应、可扩展的服务。

四、动态调整访问权限

      遵循最小权限原则，基于场景化应用授权而非网络全开放，用户只能访问完成其日常工作所必须的应用资源。访问权限可以基于角色、访问上下文、访问者的信任等级等多维属性制定，并可在风险发生时动态实时撤销。

五、访问体验全面提升

      思福迪SDP基于云原生架构，在全球部署数十个网络接入点，搭建高速专属通道，保障用户通过最短路径即可访问高校应用，访问速度更快，稳定性更好，给用户提供最优质的的访问体验。

      综上所述，思福迪SDP相对于传统的VPN，首先是全面身份化，每一次访问交互都与身份绑定，杜绝外部威胁；其次是多源信任评估，防止不安全访问；第三是持续而精益的访问控制，实现权限最小化，防止不合法身份的不安全访问；最后是可成长的统一安全架构，针对全网资源自动化、可视化的精益控制。

6

总结

      零信任从雏形到概念再到落地实践，经历着十余年发展，“零信任”时代早已到来，网络安全作为高校重要生命基石，推动零信任的安全体系也将被提上日程。