DevOps 团队在评估零信任与 VPN 安全解决方案的利弊时，面临著一个艰难的决策。一方面，零信任安全提供了能满足其独特需求的好处；然而，尽管 VPN 解决方案存在一定的限制，但不需要整个企业进行改革。在这篇文章中，我们将解释 Twingate 如何为 DevOps 团队提供通往零信任安全所带来的安全性和生产力优势的第三条路径。

理解零信任

零信任是一种安全框架，旨在解决当今网路威胁环境的挑战。恶意软体、网钓攻击和零日漏洞可以将最值得信赖的员工或管理最妥善的设备变成网路攻击的载体。更严重的是，必须保护的公司网路变得比以往更加模糊，因为越来越多的资源托管在第三方的云服务或 XasaService 平台上。

面对来自任何用户、任何设备和任何网路的威胁，需要重新思考安全的方式。这需要放弃传统上保护安全网路的边界，并由安全用户和设备访问的做法。零信任假设安全这个概念已经不存在。

由于没有任何网路能够真的安全，零信任框架专注于保护每一个资源，无论其部署的位置如何。每一次对资源的连接尝试都必须经过身份管理和存取控制系统的审核。一旦用户和设备都被验证后，将在用户的设备和资源之间建立直接的加密连接。

管理员可以使用同一基础架构来保护现场资源和基于云的资源，因为零信任框架与网路类型无关。谷歌更是将这一理念发扬光大，部署其所有资源到公共互联网上。这些资源是可被发现的，但对于任何不遵守谷歌的访问控制政策的人来说，则是无法访问的。

零信任安全还假设任何用户或设备随时都可能被攻击。设备首次连接到资源时即使没有恶意软体，也并不意味著它在第二天会继续保持没有恶意软体的状态。所有用户，无论其角色或职位，必须通过零信任系统进行身份验证才能访问资源。每次授权的会话都是短暂的，必须在再次获得访问权限之前进行重新身份验证。

利用零信任安全，管理员可以使用相同的访问控制系统来管理员工和承包商，无论他们是从公司设施还是远端访问资源。用户仅能访问其当前角色所需的资源。当他们担任不同角色时，只需在访问控制系统中进行简单修改，即可重新分配他们可以访问的资源。

信任削弱企业 VPN

在远程访问方面，零信任与 VPN 的比较形成了鲜明的对比。VPN 技术诞生于 1990 年代，旨在通过公共互联网将多个网路连接在一起。这一原始目的伴随著假设，使得 VPN 的远程访问安全性较低且管理起来更具挑战性。

VPN 技术的核心假设是连接安全、值得信任的网路。这种信任使得各个分支办公室及其他设施能与公司网路上的资源无缝对接。然而，这也意味着 VPN 给每位用户以及其设备上的任何恶意软体提供了相同的网路级访问权限。

VPN 技术还影响商业生产力。由于 VPN 闸道旨在连接网路，因而将控制平面和数据平面合并为单一的瓶颈。所有在用户和资源之间流动的数据必须经过 VPN 闸道传输。即使用户和资源在地理位置上比 VPN 闸道更接近，他们的网路流量仍然会经由闸道进行路由，并遭受延迟影响。

管理员可以通过将公司的网路进行分段，为每个子网创建安全边界，以及部署独特的 VPN 闸道来缓解一些安全风险，以便进行子网级别的访问。但是，这些方法使得网路安全和访问管理变得更加困难，往往导致一些不良的安全习惯，如过于授权。

Twingate 的超越 VPN 的优越替代方案

Twingate 创建了一个 零信任安全平台，以满足 DevOps 团队的特殊需求。以往的零信任安全解决方案需要整个企业进行改革，甚至像谷歌这样资源丰富的公司也花了十年时间才重新设计其基础架构和工作流程。

部署 Twingate 不需要改变公司网路基础架构、资源或现有的安全堆叠。例如，只需输入一条 Docker 命令即可在 Twingate 访问节点后保护一个资源。无论该资源是在公司伺服器上运行，还是在云端托管，Twingate 都能处理任何 TCP 或 UDP 流量，让您可用零信任安全保护所有开发者资源。

Twingate 在传输层运行，并与您现有的安全堆叠集成，有效简化了访问管理。安装 Twingate 客户端无需更改用户设备上的网路或安全设置。此外，最终用户可以通过类似消费者的流程自助配置客户端。管理员在用户的入职和离职过程中的参与程度可以低至在 Twingate 控制台中点击一次。减少用户管理开销，使管理员更容易应用更狭窄且针对特定资源的访问政策。

Twingate 通过将控制平面和数据平面之间的责任分开，分别由控制器和每个资源的访问节点负责，从而提高 DevOps 的生产力。所有来自 Twingate 客户端的访问请求都会通过控制器，控制器会判断用户和设备是否符合公司的访问控制政策。然后，控制器告诉访问节点为客户端直接建立安全的加密连接。通过将网路流量沿著客户端和访问节点之间的最快路径进行路由，消除了 VPN 回传造成的性能损失。

将零信任安全提升到新高度，Twingate 的访问节点采取需要知道的原则。它们不会在网路上广告自己的存在，仅接受由控制器提供的连接。客户端应用在控制器建立与访问节点连结之前，并不知道您的开发者资源，更不用说它们的网路位置。无论资源是在私有网路上还是公共互联网上，Twingate 的零信任解决方案都能使其对任何未获授权的人不可见。

联络 Twingate以了解更多如何迅速以零信任安全保护您的 DevOps 资源。