自從Google 2016年公開(kāi)BeyondCorp（辦公網(wǎng)零信任） 之后，零信任從理念到落地跨出了一大步。隨后Gartner于2019年提出安全訪問(wèn)服務(wù)邊緣（Secure Access Service Edge, SASE），將零信任網(wǎng)絡(luò)訪問(wèn) （ZTNA） 作為核心組件之一，進(jìn)一步的讓所有企業(yè)相信并擁抱零信任。

　　我們看到一個(gè)很有趣的現(xiàn)象，海外因?yàn)閿?shù)字化和云化走的更快，幾乎所有大型安全廠商都發(fā)布了SASE / SSE 安全服務(wù)，這兩年疫情催發(fā)的混合辦公模式下的安全需求使得SASE / SSE 在海外被迅速接受。當(dāng)前很多是以替換VPN 為切入點(diǎn)進(jìn)行零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）落地， 但是實(shí)際上當(dāng)零信任真正來(lái)落地的時(shí)候，需要做到內(nèi)外網(wǎng)訪問(wèn)完全一致，這意味著所有的辦公訪問(wèn)流量都要經(jīng)過(guò)這張網(wǎng)絡(luò)，這時(shí)候零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）已經(jīng)成為了辦公基礎(chǔ)底層設(shè)施，其工程化能力、零信任安全能力、端和網(wǎng)絡(luò)穩(wěn)定性、架構(gòu)非侵入性、未來(lái)可拓展性等要素成為產(chǎn)品最核心的幾個(gè)關(guān)鍵。

　　借助Gartner的報(bào)告，我們分析了Zscaler、Netskope等TOP象限廠商、老牌廠商 Palo Alto Networks、初創(chuàng)公司Axis security、Twingate 幾家，嘗試來(lái)對(duì)這些海外零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）產(chǎn)品來(lái)進(jìn)行技術(shù)還原，幫助企業(yè)的安全和IT負(fù)責(zé)人在做零信任內(nèi)網(wǎng)訪問(wèn)技術(shù)選型時(shí)作一定的技術(shù)參考。上述所有公司我們都進(jìn)行了真實(shí)產(chǎn)品測(cè)試和技術(shù)分析，但受限于個(gè)人能力，如有問(wèn)題還請(qǐng)隨時(shí)指正。

　　2022 Gartner Magic Quadrant for Security Service Edge （Source: Gartner）

　　我們嘗試從整個(gè)零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA） 的流量路徑來(lái)還原技術(shù)實(shí)現(xiàn)，如下圖所示主要拆分為終端拆流、應(yīng)用標(biāo)記、傳輸協(xié)議、安全網(wǎng)關(guān)、云SD-WAN 網(wǎng)絡(luò)、應(yīng)用隱身這六個(gè)部分來(lái)進(jìn)行技術(shù)分析。

　　零信任網(wǎng)絡(luò)訪問(wèn)流量路徑

　　終端拆流

　　如何將流量從端精細(xì)化的引流到云端，是整個(gè)零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）的基礎(chǔ)。過(guò)去的VPN通常會(huì)創(chuàng)建一個(gè)虛擬網(wǎng)卡，通過(guò)默認(rèn)路由將流量引流到虛擬網(wǎng)卡，進(jìn)行隧道封裝后發(fā)送給VPN服務(wù)器。為了緩解性能瓶頸并節(jié)省帶寬，部分廠商支持了拆分隧道（Split tunneling），通常做法是通過(guò)下發(fā)精細(xì)路由只引流部分內(nèi)網(wǎng)網(wǎng)段，控制粒度在IP粒度?；诼酚赡Ｊ降姆桨竿ǔ２捎瞄_(kāi)源的TUN或TAP驅(qū)動(dòng)，整體實(shí)現(xiàn)難度較低。

　　我們這次測(cè)試中發(fā)現(xiàn)TOP象限的海外廠商并沒(méi)有采用該方案，如Zscaler和Netskope都采用了基于Packet Filtering的引流方案。究其原因，是其對(duì)流量精細(xì)化拆分有了更高的要求，需要能精細(xì)化的控制哪些域名或端口走內(nèi)網(wǎng)，哪些流量走互聯(lián)網(wǎng)，甚至是哪些流量走加速鏈路。Packet Filter方案通常采用NDIS或WFP過(guò)濾驅(qū)動(dòng)獲取用戶流量，在過(guò)濾驅(qū)動(dòng)層實(shí)現(xiàn)一套規(guī)則引擎，可以實(shí)現(xiàn)IP粒度、端口粒度、進(jìn)程粒度拆流，配合下面討論的Fake DNS，還可以實(shí)現(xiàn)域名和泛域名粒度的拆流。

　　采用基于Packet Filter方案的另一個(gè)優(yōu)點(diǎn)是有更好的兼容性，因?yàn)槠洳辉贗P層同其他VPN客戶端競(jìng)爭(zhēng)，所以客戶不會(huì)遇到路由沖突等兼容性問(wèn)題。這在某些需要同時(shí)使用VPN和ZTNA方案場(chǎng)景下，可以給終端用戶更好的網(wǎng)絡(luò)體驗(yàn)。Packet Filter方案實(shí)現(xiàn)難度相對(duì)路由模式要更高些，這也可能是初創(chuàng)公司沒(méi)有廣泛使用此方案的原因。

　　Zscaler Z-Tunnel 2.0原理圖

　　應(yīng)用標(biāo)記

　?。‵ake DNS）

　　零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）核心相對(duì)VPN 的變化是從過(guò)去的網(wǎng)絡(luò)（Network Access） 訪問(wèn)控制進(jìn)化到應(yīng)用（Application Access）訪問(wèn)控制，而這個(gè)變化中最核心技術(shù)關(guān)鍵是怎么在數(shù)據(jù)流量中區(qū)分出來(lái)是訪問(wèn)什么應(yīng)用。VPN 只能以IP 來(lái)進(jìn)行區(qū)分，其配置復(fù)雜度高，且在IP 共用、網(wǎng)絡(luò)重疊等場(chǎng)景不能精確標(biāo)識(shí)應(yīng)用。

　　我們調(diào)研的所有海外廠商，不管是Zscaler 還是Netskope、Axis security都使用了Fake DNS 技術(shù)來(lái)進(jìn)行應(yīng)用標(biāo)記。技術(shù)的原理其實(shí)還是比較簡(jiǎn)單的，提前保留一個(gè)大的私有網(wǎng)段，在瀏覽器或APP 請(qǐng)求DNS 的時(shí)候選擇一個(gè)私有地址來(lái)進(jìn)行標(biāo)記返回，這樣就構(gòu)建了一個(gè)IP地址和域名的映射表，后續(xù)在請(qǐng)求對(duì)應(yīng)IP地址時(shí)，就可以根據(jù)映射表查詢出請(qǐng)求的域名。下圖我們選取了axis security 公開(kāi)的一個(gè)請(qǐng)求邏輯圖供大家參考。

　　應(yīng)用標(biāo)記的好處是顯而易見(jiàn)的：

　　第一：使得應(yīng)用配置變得簡(jiǎn)單，我們知道在實(shí)際生產(chǎn)中是很難一開(kāi)始就能梳理出來(lái)公司的所有應(yīng)用，必須有一個(gè)自學(xué)習(xí)的過(guò)程，使用Fake DNS 管理員可以在實(shí)施之初配置公司泛域名來(lái)進(jìn)行應(yīng)用梳理，之后根據(jù)自學(xué)習(xí)的過(guò)程來(lái)進(jìn)行應(yīng)用精確訪問(wèn)控制策略達(dá)到零信任的效果。

　　第二：當(dāng)每個(gè)數(shù)據(jù)包過(guò)來(lái)的時(shí)候明確知道是訪問(wèn)什么應(yīng)用，這些信息配合專有傳輸協(xié)議和軟件定義網(wǎng)絡(luò)（SDN）技術(shù)可以做到網(wǎng)絡(luò)零侵入性及實(shí)現(xiàn)零信任的高級(jí)動(dòng)態(tài)策略，這部分可見(jiàn)后面的技術(shù)拆解。

　　Axis Securtiy Fake DNS 時(shí)序圖 （Source: Axis Security）

　　傳輸協(xié)議

　　過(guò)去許多 VPN 在 OSI 模型第 3 層（網(wǎng)絡(luò)層）的 IPsec 協(xié)議上運(yùn)行，該協(xié)議已經(jīng)存在幾十年，其設(shè)計(jì)之初的需求場(chǎng)景和今天的混合辦公場(chǎng)景有了巨大的改變，當(dāng)前很多VPN廠商或開(kāi)發(fā)者也在進(jìn)行協(xié)議的優(yōu)化。而到了今天，零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）最關(guān)鍵點(diǎn)就是傳輸協(xié)議需要是在應(yīng)用程序?qū)由线\(yùn)行，特別是QUIC/HTTP 3.0 的被廣泛接受，UDP、多路復(fù)用等技術(shù)進(jìn)一步使得應(yīng)用協(xié)議兼具性能和靈活性。

　　我們分析了這幾家海外廠商，發(fā)現(xiàn)在傳輸協(xié)議側(cè)開(kāi)始有了一定的技術(shù)區(qū)分，對(duì)于Zscaler、Netskope 這類新型領(lǐng)導(dǎo)者廠商，都是采用借鑒QUIC/HTTP 3.0的自研的應(yīng)用傳輸協(xié)議， 而 Palo Alto Networks 這類過(guò)去具備VPN 技術(shù)的廠商，我們看到的版本還是在延續(xù)過(guò)去的原有VPN 協(xié)議。

　　傳輸協(xié)議的作用一方面是提升網(wǎng)絡(luò)的性能和穩(wěn)定性，這塊我們看到不管是wireguard 這類對(duì)VPN 優(yōu)化的協(xié)議，還是基于QUIC 思路自研的應(yīng)用傳輸協(xié)議對(duì)這塊都有較好的提升。另一方面，零信任的有效實(shí)施依賴于對(duì)上下文信息的訪問(wèn)來(lái)進(jìn)行精細(xì)訪問(wèn)控制，而這些上下文信息如果想做好實(shí)時(shí)的傳遞最好的方案就是通過(guò)自定義傳輸協(xié)議的控制報(bào)文進(jìn)行傳輸，比如哪個(gè)進(jìn)程發(fā)起的應(yīng)用訪問(wèn)、在什么網(wǎng)絡(luò)環(huán)境等，而這時(shí)候不管是傳統(tǒng)VPN 協(xié)議還是wireguard  新型VPN 協(xié)議在靈活性上都相對(duì)比較弱。

　　Zscaler DTLS 公開(kāi)傳輸協(xié)議

　　安全網(wǎng)關(guān)

　　安全網(wǎng)關(guān)是零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）的核心組件之一， 傳統(tǒng)VPN 協(xié)議主要作用于4層，但是因?yàn)樵趥鬏攨f(xié)議層的瓶頸不能做到身份和應(yīng)用上下文級(jí)別的訪問(wèn)控制， 零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）4層安全網(wǎng)關(guān)結(jié)合上述的Fake DNS 技術(shù)、自定義傳輸協(xié)議及身份認(rèn)證等技術(shù)解決了應(yīng)用訪問(wèn)上下文的信息傳遞和分析，可以做到基于身份和應(yīng)用上下文的訪問(wèn)控制，這塊基本能力的主要關(guān)鍵點(diǎn)其實(shí)在于Fake DNS和傳輸協(xié)議，不再深入闡述。

　　但是零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）更進(jìn)一步是需要加強(qiáng)在應(yīng)用層的內(nèi)容分析，基于應(yīng)用內(nèi)容的可視和可控得以在辦公數(shù)據(jù)安全層面有技術(shù)創(chuàng)新來(lái)解決當(dāng)前辦公數(shù)據(jù)安全的一些痛點(diǎn)問(wèn)題。我們分析了海外的相關(guān)公司，Netskope 是CASB 起家的所以其在SaaS 內(nèi)網(wǎng)應(yīng)用的訪問(wèn)控制側(cè)有天然的技術(shù)積累，符合海外辦公應(yīng)用SaaS 化的趨勢(shì)，但是其應(yīng)用網(wǎng)關(guān)能力還在迭代中。Axis security 作為初創(chuàng)公司一直在強(qiáng)調(diào)其在應(yīng)用層的分析和控制能力，其開(kāi)始之初構(gòu)建的AgentLess 無(wú)端模式本身就是應(yīng)用網(wǎng)關(guān)。Zscaler 目前在AgentLess 應(yīng)用網(wǎng)關(guān)場(chǎng)景，進(jìn)一步了深入了應(yīng)用安全能力，包括與WAF及欺騙防御的結(jié)合。

　　給人印象最深的其實(shí)是不管Zscaler 、Netskope、 Axis security 一方面都在強(qiáng)化對(duì)應(yīng)用的內(nèi)容層面的分析和管控，CASB/SWG 不僅在互聯(lián)網(wǎng)訪問(wèn)場(chǎng)景，同時(shí)在零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）場(chǎng)景也在不斷的深化應(yīng)用。另一方面部分廠商在架構(gòu)的非侵入性上也有創(chuàng)新型演進(jìn)，通過(guò)SDN 軟件定義路由的能力結(jié)合 Fake DNS、自定義通信協(xié)議可以做到在不改變DNS（cname 模式）或路由的情況下實(shí)現(xiàn)7層應(yīng)用安全網(wǎng)關(guān)透明轉(zhuǎn)發(fā)，該技術(shù)大大簡(jiǎn)化了零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）落地難度，可以做到對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)的零侵入，穩(wěn)定性更好，這也是實(shí)施中最大的落地阻礙。

　　億格云對(duì)SDN 7層應(yīng)用安全網(wǎng)關(guān)邏輯還原

　　云SD-WAN 網(wǎng)絡(luò)

　　作為訪問(wèn)源與目的地之間的中間層，如何集成SD-WAN能力來(lái)對(duì)流量進(jìn)行合理的調(diào)度？如何構(gòu)建足夠多的邊緣節(jié)點(diǎn)。讓流量以最小代價(jià)和最短的路徑進(jìn)行安全檢測(cè)？如何將不同的安全能力靈活彈性的附加到離企業(yè)分支機(jī)構(gòu)或者遠(yuǎn)程辦公地點(diǎn)最近的PoP節(jié)點(diǎn)？以上是決定終端用戶體驗(yàn)的重要因素。

　　依托于AWS、Google、Oracle的云機(jī)房和一部分的自建數(shù)據(jù)中心，海外廠商構(gòu)建了大量的POP節(jié)點(diǎn)，如Netskope宣稱自己擁有50+ PoPs，Zscaler擁有150+ PoPs。同時(shí)各廠商也在整個(gè)網(wǎng)絡(luò)的穩(wěn)定性建設(shè)、延時(shí)優(yōu)化、網(wǎng)絡(luò)質(zhì)量（DNS優(yōu)化、遠(yuǎn)程傳輸加速、協(xié)議優(yōu)化等）上做了大量工作，我們?cè)诤Ｍ鈭?chǎng)景測(cè)試其網(wǎng)絡(luò)延時(shí)和丟包率后，得知相比于直接互聯(lián)網(wǎng)訪問(wèn)或VPN訪問(wèn)有著明顯的優(yōu)勢(shì)。從產(chǎn)品測(cè)試來(lái)看，基于云的SD-WAN 網(wǎng)絡(luò)技術(shù)和端到端的加密技術(shù)在保證數(shù)據(jù)安全的前提下能較好的提升網(wǎng)絡(luò)訪問(wèn)體驗(yàn)，這在混合辦公場(chǎng)景下相對(duì)本地部署方案有一定的優(yōu)勢(shì)。

　　Zscaler PoP分布

　　網(wǎng)絡(luò)隱藏

　　應(yīng)用網(wǎng)絡(luò)隱藏是零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）核心特性之一，零網(wǎng)絡(luò)端口對(duì)外暴露在安全性上有很好的提高。不同于國(guó)內(nèi)很多廠商在選擇采用的SPA 單包敲門，海外幾乎所有主流ZTNA廠商都選擇了Connector 反向連接的技術(shù)。該方案在企業(yè)內(nèi)部部署一個(gè)輕量級(jí)Connector，通過(guò)反向TLS隧道的方式來(lái)連接安全網(wǎng)關(guān)。用戶訪問(wèn)內(nèi)網(wǎng)應(yīng)用時(shí)，流量先經(jīng)過(guò)高性能網(wǎng)關(guān)，再通過(guò)微隧道轉(zhuǎn)發(fā)到Connector，Connector通過(guò)代理方式訪問(wèn)目標(biāo)內(nèi)網(wǎng)應(yīng)用。由于連接是Connector主動(dòng)發(fā)起的，因此Connector不需要在互聯(lián)網(wǎng)上監(jiān)聽(tīng)任何的端口，天然地實(shí)現(xiàn)了網(wǎng)絡(luò)隱藏。

　　我們嘗試分析了下海外和國(guó)內(nèi)兩種方案選擇的背后原因，主要原因可能是因?yàn)楹Ｍ庠苹M(jìn)度更高，而國(guó)內(nèi)可能本地化部署更多。但是再?gòu)募夹g(shù)上深度看一層，單包敲門方案還是相對(duì)比較復(fù)雜，NAT場(chǎng)景、UDP運(yùn)營(yíng)商限制、iptables性能限制都給其帶來(lái)了性能和穩(wěn)定性風(fēng)險(xiǎn)。而即使是本地化部署方案，輕量級(jí)Connector 會(huì)帶來(lái)其他不同的技術(shù)優(yōu)勢(shì)，Connector方式由于不用開(kāi)公網(wǎng)監(jiān)聽(tīng)，且不需要變更內(nèi)網(wǎng)路由，對(duì)企業(yè)已有網(wǎng)絡(luò)拓?fù)洹⒙酚蔁o(wú)任何變化，因此具備了極強(qiáng)的適應(yīng)性。Connector除了連接企業(yè)內(nèi)網(wǎng)和高性能網(wǎng)關(guān)之外，還可以進(jìn)一步對(duì)流量進(jìn)行安全監(jiān)測(cè)和分析（如Connector可以通過(guò)SDN 技術(shù)結(jié)合七層應(yīng)用網(wǎng)關(guān)實(shí)現(xiàn)WAF、API 安全、網(wǎng)絡(luò)DLP等）， 企業(yè)可以根據(jù)應(yīng)用的安全等級(jí)關(guān)聯(lián)不同安全能力的Connector，在具備了高安全能力的同時(shí)，又可以靈活的有選擇性的將一些視頻、語(yǔ)音會(huì)議等大流量直接轉(zhuǎn)發(fā)，避免了應(yīng)用網(wǎng)關(guān)無(wú)謂的性能損耗。

　　Zscaler 發(fā)布的Connector 和 WAAP 的結(jié)合技術(shù)

　　上述是我們基于海外產(chǎn)品技術(shù)實(shí)現(xiàn)的測(cè)試和個(gè)人對(duì)場(chǎng)景的理解進(jìn)行的解讀，這兩年零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA ）在國(guó)內(nèi)的接受程度越來(lái)越高，據(jù)公開(kāi)報(bào)告國(guó)內(nèi)有至少60+ 的廠商在提供相關(guān)產(chǎn)品，處于百花齊放的狀態(tài)。

　　綜前述所說(shuō)，ZTNA 在真正落地時(shí)將會(huì)承載所有的辦公訪問(wèn)流量，并在每個(gè)員工的客戶端上存在代理Agent，其已經(jīng)變成了公司核心基礎(chǔ)設(shè)施，這時(shí)候產(chǎn)品的工程化能力、零信任安全能力、端和網(wǎng)絡(luò)穩(wěn)定性、架構(gòu)非侵入性、未來(lái)可拓展性等成為落地的核心關(guān)鍵要素。

　　Gartner's Hype Cycle for Network Security2021

　　億格云是零信任SASE安全服務(wù)廠商，主要解決企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中遇到的多分支統(tǒng)一安全管控 、遠(yuǎn)程辦公、內(nèi)部應(yīng)用暴露、數(shù)據(jù)安全等威脅。我們希望通過(guò)有意義的技術(shù)交流，使得大家都認(rèn)識(shí)到零信任產(chǎn)品不是僅僅依靠開(kāi)源NGINX + OpenVPN 拼湊出來(lái)的，而是一個(gè)系統(tǒng)性的安全工程學(xué)設(shè)計(jì)和落地。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<