相比传统的 vpn 零信任 vpn 我感觉就是加了登录时的手机验证 但是传统的 vpn 不是也可以在服务端设置 Two-Factor Authentication 通过 microsoft authenticator 之类的 app 验证用户身份?
 |
1
redog 1 天前
不是智商税,可以理解为是天生了按权限进行配置,这个用户是什么权限能访问什么应用(或是说内网资源),不用考虑网络层面上的配置,如果权限不对就算连进内网也无法访问内网的各种服务器
如果只是双重因素这种验证,传统的也能想办法配置,可以说只要支持使用 radius 认证的都可以,上 freeIPA 就行 我个人的理解的话,可以想像一台共享 NAS ,传统 VPN 就是大家都是管理员账号登录,能读写全部共享文件夹资源,零信任就是分了权限的账号登录,登录上来只能读写对应权限的共享文件。 |
 |
2
pckillers 1 天前  6
我见过很多国产零信任,一点也不像我认识的开源零信任。
我也见过很多国产 VPN ,一点也不像我认识的开源 VPN 。 但是我见过的国产 VPN 与国产零信任。确非常的相似。都是本地要个装客户端生成虚拟网卡。都是本地疯狂扫盘收集用户信息。 所以我已经不知道什么是 VPN 什么是零信任了 |
 |
4
nutting 1 天前
估计没按规范用吧
|
 |
5
Troevil 1 天前
本质上讲 零信任核心是权限管控,只不过链接手段大部分都是借用了 vpn ,也可以是 wireguard 等等,我个人理解就是搞了个名词讲故事
|
 |
6
adoal 1 天前 2
你说的是深信服用 aTrust 换掉 EasyConnect 吗?😄
|
 |
7
slowman 1 天前
0 卡碳水?
|
 |
8
son012 1 天前
国内的零信任大部分还都是 VPN ,尤其是深信服这些老 VPN 厂商
|
 |
11
thevita 1 天前
国内 零信任 基于 VPN ,和传统 vpn 的差异:
传统的 vpn: 基于用户角色进行授权,会给你分配到一个确定的段,该段具有明确的、静态的 ACL ,你们这个组能访问的 内容都是确定的 零信任: 每个用户基于访问规则,明确获得能访问资源的列表,controller 基于这些规则转发流量 其实只是基于 零信任理念的 边界接入解决方案,至于为什么要是这种形态,当然是因为好落地啊,用户什么都不用知道,当作 vpn 用就行了,,也就你们 IT/Sec 能体验到差异 |
 |
13
neroxps 1 天前 via Android
本质上就是抽象了原 ip 地址和目的 ip 地址路由,给所有访问套上日志和带了防火墙规则呗
|
 |
15
mokecc 22 小时 56 分钟前
将分布在多个系统的权限配置使用统一的平台管控,给已有的应用套一层网络级的权限认证,过去 VPN 进入内网可以访问所有系统,你能不能登录另说,起码你能访问到,就有了攻击的机会,现在不一样了,你访问不到了。。。。
|
 |
16
cnevil 14 小时 0 分钟前
按照零信任的设计思路,是需要应用去和零信任做对接的,但就目前各公司用的情况来看,还是当做普通的 VPN 在用,连网关分配一个 IP 然后通过虚拟网卡和隧道直接访问资源,权限还是靠所谓“零信任”给分配的,和 VPN 没感觉有任何区别
|
 |
17
Daybyedream 13 小时 41 分钟前
没好好用起来而已。。
|
|
18
Daybyedream 13 小时 40 分钟前
一般都是零信任就给个 jumpserver 权限,或者再给一些测试直连权限。大部分都让在 jumpserver 的跳板机里操作因为又录像审计。
|
 |
19
thereone 12 小时 28 分钟前
真要是智商税就好了,传统 VPN 也可以双因素认证。零信任 VPN 加了一堆的东西最起码是有控制器了可以当成 SDN 的一种。业务访问规则全是在控制器上面做的可以实时下发到 VPN 客户端上面也不用断开连接。规则做的更细各种审计认证和日志全部都集成在了一起。
传统 VPN 就客户端和服务端并没有控制器这个东西,服务端需要用户认证用对应的身份认证服务就行。别的限制什么的都要手动自己做,颗粒度基本处于很粗的状态。 |
 |
20
xshell 9 小时 53 分钟前
用了 1 年多了
|
 |
21
rev1si0n 9 小时 3 分钟前
可以的,openvpn 直接加个授权验证脚本就行了。
|
Select Language