一般公司都会存在两个网络,一个是公司的内网,一个是外网,在办公室可以直接连接内网,比如内网的 OA 或者 MIS 系统之类的,这些系统是只能员工访问的,办公室外的人是无法访问的,但是遇到一个问题,比如员工去外面出差,或者在家办公,这个时候要连接内网的 OA 或者 MIS 之类的怎么办呢?传统的方法是通过 VPN,相信没几个人想用 VPN,VPN 会遇到稳定性等各种问题,所以有一些公司开始搞零信任方案。
什么是零信任
VPN 解决方案是基于网络的信任,比如你来到了公司接入网络,我就相信你是内部员工,你通过 VPN 验证后登录,也对你完全信任,零信任的方案正好相反,我对你的每一个行为都是零信任,也就是完全不信任,你的每一个行为我都要验证。
零信任是完全不信任网络,而是基于设备、用户、动态访问控制和行为感知策略。零信任需要一个强大的身份服务来确保每个用户的访问,一旦身份验证通过,并能证明自己设备的完整性,则赋予适当权限访问资源。所以这里有四个元素:验证用户、验证设备、权限控制、自学习和自适应。
最主要的特征是不在基于网络 的信任,而是基于设备 行为 的验证。
零信任资料汇总
Google BeyondCorp 相关论文
最早是 Google 开始实践零信任方案,他写了 5 篇论文,要想了解 Google 的零信任方案是怎么设计并实施的,这 5 篇论文一定要读。
BeyondCorp: A New Approach to Enterprise Security – Google Research
BeyondCorp: Design to Deployment at Google – Google Research
BeyondCorp: The Access Proxy – Google Research
Migrating to BeyondCorp: Maintaining Productivity While Improving Security – Google Research
BeyondCorp: The User Experience (google.com)
Forrester Build Security Into Your Network’s DNA: The Zero Trust Network Architecture