关于零信任:Deep-Insight-去虚向实从海外技术创新看零信任

自从Google 2016年公开BeyondCorp(办公网零信赖) 之后，零信赖从理念到落地跨出了一大步。随后Gartner于2019年提出平安拜访服务边缘（Secure Access Service Edge, SASE），将零信赖网络拜访 (ZTNA) 作为外围组件之一，进一步地让所有企业置信并拥抱零信赖。

咱们看到一个很有趣味的景象，海内因为数字化和云化走的更快，简直所有大型平安厂商都公布了SASE / SSE 平安服务，这两年疫情催发的混合办公模式下的平安需要使得SASE / SSE 在海内被迅速承受。以后很多是以替换VPN 为切入点进行零信赖网络拜访（ZTNA）落地， 然而实际上当零信赖真正来落地的时候，须要做到内外网拜访完全一致，这意味着所有的办公拜访流量都要通过这张网络，这时候零信赖网络拜访（ZTNA）曾经成为了办公根底底层设施，其工程化能力、零信赖平安能力、端和网络稳定性、架构非侵入性、将来可拓展性等因素成为产品最外围的几个要害。

借助Gartner的报告，咱们剖析了Zscaler、Netskope等TOP象限厂商、老牌厂商 Palo Alto Networks、初创公司Axis security、Twingate 几家，尝试来对这些海内零信赖网络拜访（ZTNA ）产品来进行技术还原，帮忙企业的平安和IT负责人在做零信赖内网拜访技术选型时作肯定的技术参考。上述所有公司咱们都进行了实在产品测试和技术剖析，但受限于集体能力，如有问题还请随时斧正。

     2022 Gartner Magic Quadrant for Security Service Edge (Source: Gartner)

咱们尝试从整个零信赖网络拜访（ZTNA） 的流量门路来还原技术实现，如下图所示次要拆分为终端拆流、利用标记、传输协定、平安网关、云SD-WAN 网络、利用隐身这六个局部来进行技术剖析。

                            零信赖网络拜访流量门路

终端拆流

如何将流量从端精细化的引流到云端，是整个零信赖网络拜访（ZTNA ）的根底。过来的VPN通常会创立一个虚构网卡，通过默认路由将流量引流到虚构网卡，进行隧道封装后发送给VPN服务器。为了缓解性能瓶颈并节俭带宽，局部厂商反对了拆分隧道（Split tunneling），通常做法是通过下发精密路由只引流局部内网网段，管制粒度在IP粒度。基于路由模式的计划通常采纳开源的TUN或TAP驱动，整体实现难度较低。

咱们这次测试中发现TOP象限的海内厂商并没有采纳该计划，如Zscaler和Netskope都采纳了基于Packet Filtering的引流计划。究其原因，是其对流量精细化拆分有了更高的要求，须要能精细化地管制哪些域名或端口走内网，哪些流量走互联网，甚至是哪些流量走减速链路。Packet Filter计划通常采纳NDIS或WFP过滤驱动获取用户流量，在过滤驱动层实现一套规定引擎，能够实现IP粒度、端口粒度、过程粒度拆流，配合上面探讨的Fake DNS，还能够实现域名和泛域名粒度的拆流。

采纳基于Packet Filter计划的另一个长处是有更好的兼容性，因为其不在IP层同其余VPN客户端竞争，所以客户不会遇到路由抵触等兼容性问题。这在某些须要同时应用VPN和ZTNA计划场景下，能够给终端用户更好的网络体验。Packet Filter计划实现难度绝对路由模式要更高些，这也可能是初创公司没有宽泛应用此计划的起因。

                         Zscaler Z-Tunnel 2.0原理图

利用标记（Fake DNS）

零信赖网络拜访（ZTNA ）外围绝对VPN 的变动是从过来的网络(Network Access) 访问控制进化到利用(Application Access)访问控制，而这个变动中最核心技术要害是怎么在数据流量中辨别进去是拜访什么利用。VPN 只能以IP 来进行辨别，其配置复杂度高，且在IP 共用、网络重叠等场景不能准确标识利用。

咱们调研的所有海内厂商，不论是Zscaler 还是Netskope、Axis security都应用了Fake DNS 技术来进行利用标记。技术的原理其实还是比较简单的，提前保留一个大的公有网段，在浏览器或APP 申请DNS 的时候抉择一个公有地址来进行标记返回，这样就构建了一个IP地址和域名的映射表，后续在申请对应IP地址时，就能够依据映射表查问出申请的域名。下图咱们选取了axis security 公开的一个申请逻辑图供大家参考。

利用标记的益处是不言而喻的：

第一：使得利用配置变得简略，咱们晓得在理论生产中是很难一开始就能梳理进去公司的所有利用，必须有一个自学习的过程，应用Fake DNS 管理员能够在施行之初配置公司泛域名来进行利用梳理，之后依据自学习的过程来进行利用准确拜访控制策略达到零信赖的成果。

第二：当每个数据包过去的时候明确晓得是拜访什么利用，这些信息配合专有传输协定和软件定义网络（SDN）技术能够做到网络零侵入性及实现零信赖的高级动静策略，这部分可见前面的技术拆解。

              Axis Securtiy Fake DNS 时序图 (Source: Axis Security)

传输协定

过来许多 VPN 在 OSI 模型第 3 层（网络层）的 IPsec 协定上运行，该协定曾经存在几十年，其设计之初的需要场景和明天的混合办公场景有了微小的扭转，以后很多VPN厂商或开发者也在进行协定的优化。而到了明天， 零信赖网络拜访（ZTNA ）最关键点就是传输协定须要是在应用程序层上运行，特地是QUIC/HTTP 3.0 的被宽泛承受，UDP、多路复用等技术进一步使得利用协定兼具性能和灵活性。

咱们剖析了这几家海内厂商，发现在传输协定侧开始有了肯定的技术辨别，对于Zscaler、Netskope 这类新型领导者厂商，都是采纳借鉴QUIC/HTTP 3.0的自研的利用传输协定， 而 Palo Alto Networks 这类过来具备VPN 技术的厂商，咱们看到的版本还是在连续过来的原有VPN 协定。

传输协定的作用一方面是晋升网络的性能和稳定性，这块咱们看到不论是wireguard 这类对VPN 优化的协定，还是基于QUIC 思路自研的利用传输协定对这块都有较好的晋升。另一方面，零信赖的无效施行依赖于对上下文信息的拜访来进行精密访问控制，而这些上下文信息如果想做好实时的传递最好的计划就是通过自定义传输协定的管制报文进行传输，比方哪个过程发动的利用拜访、在什么网络环境等，而这时候不论是传统VPN 协定还是wireguard 新型VPN 协定在灵活性上都绝对比拟弱。

                          Zscaler DTLS 公开传输协定

平安网关

平安网关是零信赖网络拜访（ZTNA ）的外围组件之一， 传统VPN 协定次要作用于4层，然而因为在传输协定层的瓶颈不能做到身份和利用上下文级别的访问控制， 零信赖网络拜访（ZTNA ）4层平安网关联合上述的Fake DNS 技术、自定义传输协定及身份认证等技术解决了利用拜访上下文的信息传递和剖析，能够做到基于身份和利用上下文的访问控制，这块根本能力的次要关键点其实在于Fake DNS和传输协定，不再深刻论述。

然而零信赖网络拜访（ZTNA ）更进一步是须要增强在应用层的内容分析，基于利用内容的可视和可控得以在办公数据安全层面有技术创新来解决以后办公数据安全的一些痛点问题。咱们剖析了海内的相干公司，Netskope 是CASB 起家的所以其在SaaS 内网利用的访问控制侧有人造的技术积攒，合乎海内办公利用SaaS 化的趋势，然而其利用网关能力还在迭代中。Axis security 作为初创公司始终在强调其在应用层的剖析和控制能力，其开始之初构建的AgentLess 无端模式自身就是利用网关。Zscaler 目前在AgentLess 利用网关场景，进一步了深刻了利用平安能力，包含与WAF及坑骗进攻的联合。

让我印象最深的其实是不论Zscaler 、Netskope、 Axis security 一方面都在强化对利用的内容层面的剖析和管控，CASB/SWG 不仅在互联网拜访场景，同时在零信赖网络拜访（ZTNA ）场景也在一直的深入利用。另一方面局部厂商在架构的非侵入性上也有创新型演进，通过SDN 软件定义路由的能力联合 Fake DNS、自定义通信协议能够做到在不扭转DNS（cname 模式）或路由的状况下实现7层利用平安网关通明转发，该技术大大简化了零信赖网络拜访（ZTNA ）落地难度，能够做到对现有网络架构的零侵入，稳定性更好，这也是施行中最大的落地妨碍。

                         亿格云对SDN 7层利用平安网关逻辑还原

云SD-WAN

网络作为拜访源与目的地之间的中间层，如何集成SD-WAN能力来对流量进行正当的调度？如何构建足够多的边缘节点。让流量以最小代价和最短的门路进行平安检测？如何将不同的平安能力灵便弹性地附加到离企业分支机构或者近程办公地点最近的PoP节点？以上是决定终端用户体验的重要因素。

依靠于AWS、Google、Oracle的云机房和一部分的自建数据中心，海内厂商构建了大量的POP节点，如Netskope声称本人领有50+ PoPs，Zscaler领有150+ PoPs。同时各厂商也在整个网络的稳定性建设、延时优化、网络品质（DNS优化、近程传输减速、协定优化等）上做了大量工作，咱们在海内场景测试其网络延时和丢包率后，得悉相比于间接互联网拜访或VPN拜访有着显著的劣势。从产品测试来看，基于云的SD-WAN 网络技术和端到端的加密技术在保障数据安全的前提下能较好得提升网络拜访体验，这在混合办公场景下绝对本地部署计划有肯定的劣势。

                               Zscaler PoP散布

网络暗藏

利用网络暗藏是零信赖网络拜访（ZTNA ）外围个性之一，零网络端口对外裸露在安全性上有很好的进步。不同于国内很多厂商在抉择采纳的SPA 单包敲门，海内简直所有支流ZTNA厂商都抉择了Connector 反向连贯的技术。该计划在企业外部部署一个轻量级Connector，通过反向TLS隧道的形式来连贯平安网关。用户拜访内网利用时，流量先通过高性能网关，再通过微隧道转发到Connector，Connector通过代理形式拜访指标内网利用。因为连贯是Connector被动发动的，因而Connector不须要在互联网上监听任何的端口，人造地实现了网络暗藏。

咱们尝试剖析了下海内和国内两种计划抉择的背地起因，次要起因可能是因为海内云化进度更高，而国内可能本地化部署更多。然而再从技术上深度看一层，单包敲门计划还是绝对比较复杂，NAT场景、UDP运营商限度、iptables性能限度都给其带来了性能和稳定性危险。而即便是本地化部署计划，轻量级Connector 会带来其余不同的技术劣势，Connector形式因为不必开公网监听，且不须要变更内网路由，对企业已有网络拓扑、路由无任何变动，因而具备了极强的适应性。

Connector除了连贯企业内网和高性能网关之外，还能够进一步对流量进行平安监测和剖析（如Connector能够通过SDN 技术联合七层利用网关实现WAF、API 平安、网络DLP等）， 企业能够依据利用的安全等级关联不同平安能力的Connector，在具备了高平安能力的同时，又能够灵便的有选择性的将一些视频、语音会议等大流量间接转发，防止了利用网关无谓的性能损耗。

                   Zscaler 公布的Connector 和 WAAP 的联合技术

上述是咱们基于海内产品技术实现的测试和集体对场景的了解进行的解读，这两年零信赖网络拜访（ZTNA ）在国内的接受程度越来越高，据公开报告国内有至多60+ 的厂商在提供相干产品，处于百花齐放的状态。

综前述所说，ZTNA 在真正落地时将会承载所有的办公拜访流量，并在每个员工的客户端上存在代理Agent，其曾经变成了公司外围基础设施，这时候产品的工程化能力、零信赖平安能力、端和网络稳定性、架构非侵入性、将来可拓展性等成为落地的外围要害因素。咱们心愿通过有意义的技术交换，使得大家都意识到零信赖产品不是仅仅依附开源NGINX + Open VPN 拼凑进去的，而是一个系统性的平安工程学设计和落地。

                 Gartner’s Hype Cycle for Network Security2021