共计 4891 个字符,预计需要花费 13 分钟才能阅读完成。
自从 Google 2016 年公开 BeyondCorp(办公网零信赖) 之后,零信赖从理念到落地跨出了一大步。随后 Gartner 于 2019 年提出平安拜访服务边缘(Secure Access Service Edge, SASE),将零信赖网络拜访 (ZTNA) 作为外围组件之一,进一步地让所有企业置信并拥抱零信赖。
咱们看到一个很有趣味的景象,海内因为数字化和云化走的更快,简直所有大型平安厂商都公布了 SASE / SSE 平安服务,这两年疫情催发的混合办公模式下的平安需要使得 SASE / SSE 在海内被迅速承受。以后很多是以替换 VPN 为切入点进行零信赖网络拜访(ZTNA)落地,然而实际上当零信赖真正来落地的时候,须要做到内外网拜访完全一致,这意味着所有的办公拜访流量都要通过这张网络,这时候 零信赖网络拜访 (ZTNA) 曾经成为了办公根底底层设施,其工程化能力、零信赖平安能力、端和网络稳定性、架构非侵入性、将来可拓展性 等因素成为产品最外围的几个要害。
借助 Gartner 的报告,咱们剖析了 Zscaler、Netskope 等 TOP 象限厂商、老牌厂商 Palo Alto Networks、初创公司 Axis security、Twingate 几家,尝试来对这些海内零信赖网络拜访(ZTNA)产品来进行技术还原,帮忙企业的平安和 IT 负责人在做零信赖内网拜访技术选型时作肯定的技术参考。上述所有公司咱们都进行了实在产品测试和技术剖析,但受限于集体能力,如有问题还请随时斧正。
2022 Gartner Magic Quadrant for Security Service Edge (Source: Gartner)
咱们尝试从整个零信赖网络拜访(ZTNA)的流量门路来还原技术实现,如下图所示次要拆分为 终端拆流、利用标记、传输协定、平安网关、云 SD-WAN 网络、利用隐身 这六个局部来进行技术剖析。
零信赖网络拜访流量门路
终端拆流
如何将流量从端精细化的引流到云端,是整个零信赖网络拜访(ZTNA)的根底。过来的 VPN 通常会创立一个虚构网卡,通过默认路由将流量引流到虚构网卡,进行隧道封装后发送给 VPN 服务器。为了缓解性能瓶颈并节俭带宽,局部厂商反对了拆分隧道(Split tunneling),通常做法是通过下发精密路由只引流局部内网网段,管制粒度在 IP 粒度。基于路由模式的计划通常采纳开源的 TUN 或 TAP 驱动,整体实现难度较低。
咱们这次测试中发现 TOP 象限的海内厂商并没有采纳该计划,如 Zscaler 和 Netskope 都采纳了基于 Packet Filtering 的引流计划。究其原因,是其对流量精细化拆分有了更高的要求,须要能精细化地管制哪些域名或端口走内网,哪些流量走互联网,甚至是哪些流量走减速链路。Packet Filter 计划通常采纳 NDIS 或 WFP 过滤驱动获取用户流量,在过滤驱动层实现一套规定引擎,能够实现 IP 粒度、端口粒度、过程粒度拆流 ,配合上面探讨的 Fake DNS,还能够实现 域名和泛域名粒度 的拆流。
采纳基于 Packet Filter 计划的另一个长处是有 更好的兼容性,因为其不在 IP 层同其余 VPN 客户端竞争,所以客户不会遇到路由抵触等兼容性问题。这在某些须要同时应用 VPN 和 ZTNA 计划场景下,能够给终端用户更好的网络体验。Packet Filter 计划实现难度绝对路由模式要更高些,这也可能是初创公司没有宽泛应用此计划的起因。
Zscaler Z-Tunnel 2.0 原理图利用标记(Fake DNS)
零信赖网络拜访(ZTNA)外围绝对 VPN 的变动是从过来的网络 (Network Access) 访问控制进化到利用(Application Access) 访问控制,而这个变动中 最核心技术要害 是怎么在数据流量中辨别进去是拜访什么利用。VPN 只能以 IP 来进行辨别,其配置复杂度高,且在 IP 共用、网络重叠等场景不能准确标识利用。
咱们调研的所有海内厂商,不论是 Zscaler 还是 Netskope、Axis security 都应用了 Fake DNS 技术来进行利用标记。技术的原理其实还是比较简单的,提前保留一个大的公有网段,在浏览器或 APP 申请 DNS 的时候抉择一个公有地址来进行标记返回,这样就构建了一个 IP 地址和域名的映射表,后续在申请对应 IP 地址时,就能够依据映射表查问出申请的域名。下图咱们选取了 axis security 公开的一个申请逻辑图供大家参考。
利用标记的 益处 是不言而喻的:
第一 :使得利用配置变得简略,咱们晓得在理论生产中是很难一开始就能梳理进去公司的所有利用,必须有一个自学习的过程,应用 Fake DNS 管理员能够在施行之初配置公司泛域名来进行利用梳理,之后依据自学习的过程来进行利用 准确拜访控制策略 达到零信赖的成果。
第二 :当每个数据包过去的时候明确晓得是拜访什么利用,这些信息配合专有传输协定和软件定义网络(SDN)技术能够做到 网络零侵入性 及实现 零信赖的高级动静策略,这部分可见前面的技术拆解。
Axis Securtiy Fake DNS 时序图 (Source: Axis Security)
传输协定
过来许多 VPN 在 OSI 模型第 3 层(网络层)的 IPsec 协定上运行,该协定曾经存在几十年,其设计之初的需要场景和明天的混合办公场景有了微小的扭转,以后很多 VPN 厂商或开发者也在进行协定的优化。而到了明天,零信赖网络拜访(ZTNA)最关键点就是传输协定须要是在应用程序层上运行,特地是 QUIC/HTTP 3.0 的被宽泛承受,UDP、多路复用等技术进一步使得利用协定 兼具性能和灵活性。
咱们剖析了这几家海内厂商,发现在传输协定侧开始有了肯定的技术辨别,对于 Zscaler、Netskope 这类新型领导者厂商,都是采纳借鉴 QUIC/HTTP 3.0 的自研的利用传输协定,而 Palo Alto Networks 这类过来具备 VPN 技术的厂商,咱们看到的版本还是在连续过来的原有 VPN 协定。
传输协定的作用一方面是晋升网络的 性能和稳定性 ,这块咱们看到不论是 wireguard 这类对 VPN 优化的协定,还是基于 QUIC 思路自研的利用传输协定对这块都有较好的晋升。另一方面,零信赖的无效施行依赖于对上下文信息的拜访来进行 精密访问控制,而这些上下文信息如果想做好实时的传递最好的计划就是通过自定义传输协定的管制报文进行传输,比方哪个过程发动的利用拜访、在什么网络环境等,而这时候不论是传统 VPN 协定还是 wireguard 新型 VPN 协定在灵活性上都绝对比拟弱。
Zscaler DTLS 公开传输协定平安网关
平安网关是零信赖网络拜访(ZTNA)的外围组件之一,传统 VPN 协定次要作用于 4 层,然而因为在传输协定层的瓶颈不能做到身份和利用上下文级别的访问控制,零信赖网络拜访(ZTNA)4 层平安网关联合上述的 Fake DNS 技术、自定义传输协定及身份认证等技术解决了利用拜访上下文的信息传递和剖析,能够做到基于身份和利用上下文的访问控制,这块根本能力的次要关键点其实在于 Fake DNS 和传输协定,不再深刻论述。
然而零信赖网络拜访(ZTNA)更进一步是须要增强在 应用层的内容分析 ,基于利用内容的可视和可控得以在办公数据安全层面有技术创新来解决以后办公数据安全的一些痛点问题。咱们剖析了海内的相干公司,Netskope 是 CASB 起家的所以其在 SaaS 内网利用的访问控制侧有人造的技术积攒,合乎海内办公利用 SaaS 化的趋势,然而其利用网关能力还在迭代中。Axis security 作为初创公司始终在强调其在应用层的 剖析和控制能力 ,其开始之初构建的 AgentLess 无端模式自身就是利用网关。Zscaler 目前在 AgentLess 利用网关场景,进一步了深刻了 利用平安能力,包含与WAF 及坑骗进攻的联合。
让我印象最深的其实是不论 Zscaler、Netskope、Axis security 一方面都在强化对利用的内容层面的 剖析和管控 ,CASB/SWG 不仅在互联网拜访场景,同时在零信赖网络拜访(ZTNA)场景也在一直的深入利用。另一方面局部厂商在 架构的非侵入性 上也有创新型演进,通过 SDN 软件定义路由的能力联合 Fake DNS、自定义通信协议能够做到在不扭转 DNS(cname 模式)或路由的状况下实现 7 层利用平安网关通明转发,该技术大大简化了零信赖网络拜访(ZTNA)落地难度,能够做到对现有网络架构的 零侵入,稳定性更好 ,这也是施行中 最大的落地妨碍。
亿格云对 SDN 7 层利用平安网关逻辑还原
云 SD-WAN
网络作为拜访源与目的地之间的中间层,如何集成 SD-WAN 能力来对流量进行正当的调度?如何构建足够多的边缘节点。让流量以最小代价和最短的门路进行平安检测?如何将不同的平安能力灵便弹性地附加到离企业分支机构或者近程办公地点最近的 PoP 节点?以上是 决定终端用户体验 的重要因素。
依靠于 AWS、Google、Oracle 的云机房和一部分的自建数据中心,海内厂商构建了大量的 POP 节点,如 Netskope 声称本人领有 50+ PoPs,Zscaler 领有 150+ PoPs。同时各厂商也在整个网络的稳定性建设、延时优化、网络品质(DNS 优化、近程传输减速、协定优化等)上做了大量工作,咱们在海内场景测试其网络延时和丢包率后,得悉相比于间接互联网拜访或 VPN 拜访有着显著的劣势。从产品测试来看,基于云的 SD-WAN 网络技术 和端到端的加密技术 在保障数据安全的前提下能较好得提 升网络拜访体验,这在混合办公场景下绝对本地部署计划有肯定的劣势。
Zscaler PoP 散布
网络暗藏
利用网络暗藏是零信赖网络拜访(ZTNA)外围个性之一,零网络端口对外裸露在 安全性上 有很好的进步。不同于国内很多厂商在抉择采纳的 SPA 单包敲门,海内简直所有支流 ZTNA 厂商都抉择了 Connector 反向连贯的技术。该计划在企业外部部署一个轻量级 Connector,通过反向 TLS 隧道的形式来连贯平安网关。用户拜访内网利用时,流量先通过高性能网关,再通过微隧道转发到 Connector,Connector 通过 代理形式拜访指标内网利用。因为连贯是 Connector 被动发动的,因而 Connector 不须要在互联网上监听任何的端口,人造地实现了网络暗藏。
咱们尝试剖析了下海内和国内两种计划抉择的背地起因,次要起因可能是因为海内云化进度更高,而国内可能本地化部署更多。然而再从技术上深度看一层,单包敲门计划还是绝对比较复杂,NAT 场景、UDP 运营商限度、iptables 性能限度都给其带来了性能和稳定性危险。而即便是本地化部署计划,轻量级 Connector 会带来其余不同的技术劣势,Connector 形式因为不必开公网监听,且 不须要变更 内网路由,对企业已有网络拓扑、路由无任何变动,因而具备了 极强的适应性。
Connector 除了连贯企业内网和高性能网关之外,还能够进一步对流量进行 平安监测和剖析 (如 Connector 能够通过 SDN 技术联合七层利用网关实现 WAF、API 平安、网络 DLP 等),企业能够依据利用的安全等级关联不同平安能力的 Connector,在具备了 高平安能力 的同时,又能够 灵便的有选择性的 将一些视频、语音会议等大流量间接转发,防止了利用网关 无谓的性能损耗。
Zscaler 公布的 Connector 和 WAAP 的联合技术
上述是咱们基于海内产品技术实现的测试和集体对场景的了解进行的解读,这两年零信赖网络拜访(ZTNA)在国内的接受程度越来越高,据公开报告国内有至多 60+ 的厂商在提供相干产品,处于百花齐放的状态。
综前述所说,ZTNA 在真正落地时将会承载所有的办公拜访流量,并在每个员工的客户端上存在代理 Agent,其曾经变成了公司外围基础设施,这时候产品的 工程化能力、零信赖平安能力、端和网络稳定性、架构非侵入性、将来可拓展性 等成为落地的外围要害因素。咱们心愿通过有意义的技术交换,使得大家都意识到零信赖产品不是仅仅依附开源 NGINX + Open VPN 拼凑进去的,而是一个系统性的平安工程学设计和落地。
Gartner’s Hype Cycle for Network Security2021
