自從Google 2016年公開BeyondCorp（辦公網零信任） 之后，零信任從理念到落地跨出了一大步。隨后Gartner于2019年提出安全訪問服務邊緣（Secure Access Service Edge, SASE），將零信任網絡訪問 （ZTNA） 作為核心組件之一，進一步的讓所有企業相信并擁抱零信任。

　　我們看到一個很有趣的現象，海外因為數字化和云化走的更快，幾乎所有大型安全廠商都發布了SASE / SSE 安全服務，這兩年疫情催發的混合辦公模式下的安全需求使得SASE / SSE 在海外被迅速接受。當前很多是以替換VPN 為切入點進行零信任網絡訪問（ZTNA）落地， 但是實際上當零信任真正來落地的時候，需要做到內外網訪問完全一致，這意味著所有的辦公訪問流量都要經過這張網絡，這時候零信任網絡訪問（ZTNA）已經成為了辦公基礎底層設施，其工程化能力、零信任安全能力、端和網絡穩定性、架構非侵入性、未來可拓展性等要素成為產品最核心的幾個關鍵。

　　借助Gartner的報告，我們分析了Zscaler、Netskope等TOP象限廠商、老牌廠商 Palo Alto Networks、初創公司Axis security、Twingate 幾家，嘗試來對這些海外零信任網絡訪問（ZTNA ）產品來進行技術還原，幫助企業的安全和IT負責人在做零信任內網訪問技術選型時作一定的技術參考。上述所有公司我們都進行了真實產品測試和技術分析，但受限于個人能力，如有問題還請隨時指正。

　　2022 Gartner Magic Quadrant for Security Service Edge （Source: Gartner）

　　我們嘗試從整個零信任網絡訪問（ZTNA） 的流量路徑來還原技術實現，如下圖所示主要拆分為終端拆流、應用標記、傳輸協議、安全網關、云SD-WAN 網絡、應用隱身這六個部分來進行技術分析。

　　零信任網絡訪問流量路徑

　　終端拆流

　　如何將流量從端精細化的引流到云端，是整個零信任網絡訪問（ZTNA ）的基礎。過去的VPN通常會創建一個虛擬網卡，通過默認路由將流量引流到虛擬網卡，進行隧道封裝后發送給VPN服務器。為了緩解性能瓶頸并節省帶寬，部分廠商支持了拆分隧道（Split tunneling），通常做法是通過下發精細路由只引流部分內網網段，控制粒度在IP粒度?；诼酚赡Ｊ降姆桨竿ǔ２捎瞄_源的TUN或TAP驅動，整體實現難度較低。

　　我們這次測試中發現TOP象限的海外廠商并沒有采用該方案，如Zscaler和Netskope都采用了基于Packet Filtering的引流方案。究其原因，是其對流量精細化拆分有了更高的要求，需要能精細化的控制哪些域名或端口走內網，哪些流量走互聯網，甚至是哪些流量走加速鏈路。Packet Filter方案通常采用NDIS或WFP過濾驅動獲取用戶流量，在過濾驅動層實現一套規則引擎，可以實現IP粒度、端口粒度、進程粒度拆流，配合下面討論的Fake DNS，還可以實現域名和泛域名粒度的拆流。

　　采用基于Packet Filter方案的另一個優點是有更好的兼容性，因為其不在IP層同其他VPN客戶端競爭，所以客戶不會遇到路由沖突等兼容性問題。這在某些需要同時使用VPN和ZTNA方案場景下，可以給終端用戶更好的網絡體驗。Packet Filter方案實現難度相對路由模式要更高些，這也可能是初創公司沒有廣泛使用此方案的原因。

　　Zscaler Z-Tunnel 2.0原理圖

　　應用標記

　?。‵ake DNS）

　　零信任網絡訪問（ZTNA ）核心相對VPN 的變化是從過去的網絡（Network Access） 訪問控制進化到應用（Application Access）訪問控制，而這個變化中最核心技術關鍵是怎么在數據流量中區分出來是訪問什么應用。VPN 只能以IP 來進行區分，其配置復雜度高，且在IP 共用、網絡重疊等場景不能精確標識應用。

　　我們調研的所有海外廠商，不管是Zscaler 還是Netskope、Axis security都使用了Fake DNS 技術來進行應用標記。技術的原理其實還是比較簡單的，提前保留一個大的私有網段，在瀏覽器或APP 請求DNS 的時候選擇一個私有地址來進行標記返回，這樣就構建了一個IP地址和域名的映射表，后續在請求對應IP地址時，就可以根據映射表查詢出請求的域名。下圖我們選取了axis security 公開的一個請求邏輯圖供大家參考。

　　應用標記的好處是顯而易見的：

　　第一：使得應用配置變得簡單，我們知道在實際生產中是很難一開始就能梳理出來公司的所有應用，必須有一個自學習的過程，使用Fake DNS 管理員可以在實施之初配置公司泛域名來進行應用梳理，之后根據自學習的過程來進行應用精確訪問控制策略達到零信任的效果。

　　第二：當每個數據包過來的時候明確知道是訪問什么應用，這些信息配合專有傳輸協議和軟件定義網絡（SDN）技術可以做到網絡零侵入性及實現零信任的高級動態策略，這部分可見后面的技術拆解。

　　Axis Securtiy Fake DNS 時序圖 （Source: Axis Security）

　　傳輸協議

　　過去許多 VPN 在 OSI 模型第 3 層（網絡層）的 IPsec 協議上運行，該協議已經存在幾十年，其設計之初的需求場景和今天的混合辦公場景有了巨大的改變，當前很多VPN廠商或開發者也在進行協議的優化。而到了今天，零信任網絡訪問（ZTNA ）最關鍵點就是傳輸協議需要是在應用程序層上運行，特別是QUIC/HTTP 3.0 的被廣泛接受，UDP、多路復用等技術進一步使得應用協議兼具性能和靈活性。

　　我們分析了這幾家海外廠商，發現在傳輸協議側開始有了一定的技術區分，對于Zscaler、Netskope 這類新型領導者廠商，都是采用借鑒QUIC/HTTP 3.0的自研的應用傳輸協議， 而 Palo Alto Networks 這類過去具備VPN 技術的廠商，我們看到的版本還是在延續過去的原有VPN 協議。

　　傳輸協議的作用一方面是提升網絡的性能和穩定性，這塊我們看到不管是wireguard 這類對VPN 優化的協議，還是基于QUIC 思路自研的應用傳輸協議對這塊都有較好的提升。另一方面，零信任的有效實施依賴于對上下文信息的訪問來進行精細訪問控制，而這些上下文信息如果想做好實時的傳遞最好的方案就是通過自定義傳輸協議的控制報文進行傳輸，比如哪個進程發起的應用訪問、在什么網絡環境等，而這時候不管是傳統VPN 協議還是wireguard  新型VPN 協議在靈活性上都相對比較弱。

　　Zscaler DTLS 公開傳輸協議

　　安全網關

　　安全網關是零信任網絡訪問（ZTNA ）的核心組件之一， 傳統VPN 協議主要作用于4層，但是因為在傳輸協議層的瓶頸不能做到身份和應用上下文級別的訪問控制， 零信任網絡訪問（ZTNA ）4層安全網關結合上述的Fake DNS 技術、自定義傳輸協議及身份認證等技術解決了應用訪問上下文的信息傳遞和分析，可以做到基于身份和應用上下文的訪問控制，這塊基本能力的主要關鍵點其實在于Fake DNS和傳輸協議，不再深入闡述。

　　但是零信任網絡訪問（ZTNA ）更進一步是需要加強在應用層的內容分析，基于應用內容的可視和可控得以在辦公數據安全層面有技術創新來解決當前辦公數據安全的一些痛點問題。我們分析了海外的相關公司，Netskope 是CASB 起家的所以其在SaaS 內網應用的訪問控制側有天然的技術積累，符合海外辦公應用SaaS 化的趨勢，但是其應用網關能力還在迭代中。Axis security 作為初創公司一直在強調其在應用層的分析和控制能力，其開始之初構建的AgentLess 無端模式本身就是應用網關。Zscaler 目前在AgentLess 應用網關場景，進一步了深入了應用安全能力，包括與WAF及欺騙防御的結合。

　　給人印象最深的其實是不管Zscaler 、Netskope、 Axis security 一方面都在強化對應用的內容層面的分析和管控，CASB/SWG 不僅在互聯網訪問場景，同時在零信任網絡訪問（ZTNA ）場景也在不斷的深化應用。另一方面部分廠商在架構的非侵入性上也有創新型演進，通過SDN 軟件定義路由的能力結合 Fake DNS、自定義通信協議可以做到在不改變DNS（cname 模式）或路由的情況下實現7層應用安全網關透明轉發，該技術大大簡化了零信任網絡訪問（ZTNA ）落地難度，可以做到對現有網絡架構的零侵入，穩定性更好，這也是實施中最大的落地阻礙。

　　億格云對SDN 7層應用安全網關邏輯還原

　　云SD-WAN 網絡

　　作為訪問源與目的地之間的中間層，如何集成SD-WAN能力來對流量進行合理的調度？如何構建足夠多的邊緣節點。讓流量以最小代價和最短的路徑進行安全檢測？如何將不同的安全能力靈活彈性的附加到離企業分支機構或者遠程辦公地點最近的PoP節點？以上是決定終端用戶體驗的重要因素。

　　依托于AWS、Google、Oracle的云機房和一部分的自建數據中心，海外廠商構建了大量的POP節點，如Netskope宣稱自己擁有50+ PoPs，Zscaler擁有150+ PoPs。同時各廠商也在整個網絡的穩定性建設、延時優化、網絡質量（DNS優化、遠程傳輸加速、協議優化等）上做了大量工作，我們在海外場景測試其網絡延時和丟包率后，得知相比于直接互聯網訪問或VPN訪問有著明顯的優勢。從產品測試來看，基于云的SD-WAN 網絡技術和端到端的加密技術在保證數據安全的前提下能較好的提升網絡訪問體驗，這在混合辦公場景下相對本地部署方案有一定的優勢。

　　Zscaler PoP分布

　　網絡隱藏

　　應用網絡隱藏是零信任網絡訪問（ZTNA ）核心特性之一，零網絡端口對外暴露在安全性上有很好的提高。不同于國內很多廠商在選擇采用的SPA 單包敲門，海外幾乎所有主流ZTNA廠商都選擇了Connector 反向連接的技術。該方案在企業內部部署一個輕量級Connector，通過反向TLS隧道的方式來連接安全網關。用戶訪問內網應用時，流量先經過高性能網關，再通過微隧道轉發到Connector，Connector通過代理方式訪問目標內網應用。由于連接是Connector主動發起的，因此Connector不需要在互聯網上監聽任何的端口，天然地實現了網絡隱藏。

　　我們嘗試分析了下海外和國內兩種方案選擇的背后原因，主要原因可能是因為海外云化進度更高，而國內可能本地化部署更多。但是再從技術上深度看一層，單包敲門方案還是相對比較復雜，NAT場景、UDP運營商限制、iptables性能限制都給其帶來了性能和穩定性風險。而即使是本地化部署方案，輕量級Connector 會帶來其他不同的技術優勢，Connector方式由于不用開公網監聽，且不需要變更內網路由，對企業已有網絡拓撲、路由無任何變化，因此具備了極強的適應性。Connector除了連接企業內網和高性能網關之外，還可以進一步對流量進行安全監測和分析（如Connector可以通過SDN 技術結合七層應用網關實現WAF、API 安全、網絡DLP等）， 企業可以根據應用的安全等級關聯不同安全能力的Connector，在具備了高安全能力的同時，又可以靈活的有選擇性的將一些視頻、語音會議等大流量直接轉發，避免了應用網關無謂的性能損耗。

　　Zscaler 發布的Connector 和 WAAP 的結合技術

　　上述是我們基于海外產品技術實現的測試和個人對場景的理解進行的解讀，這兩年零信任網絡訪問（ZTNA ）在國內的接受程度越來越高，據公開報告國內有至少60+ 的廠商在提供相關產品，處于百花齊放的狀態。

　　綜前述所說，ZTNA 在真正落地時將會承載所有的辦公訪問流量，并在每個員工的客戶端上存在代理Agent，其已經變成了公司核心基礎設施，這時候產品的工程化能力、零信任安全能力、端和網絡穩定性、架構非侵入性、未來可拓展性等成為落地的核心關鍵要素。

　　Gartner's Hype Cycle for Network Security2021

　　億格云是零信任SASE安全服務廠商，主要解決企業數字化轉型過程中遇到的多分支統一安全管控 、遠程辦公、內部應用暴露、數據安全等威脅。我們希望通過有意義的技術交流，使得大家都認識到零信任產品不是僅僅依靠開源NGINX + OpenVPN 拼湊出來的，而是一個系統性的安全工程學設計和落地。

更多信息可以來這里獲取==>>電子技術應用-AET<<