重构网络(二)——非可信流量如何穿越安全边界?

如何尽可能减少网络的暴露程度,提高安全性,这似乎一直是业内一个头等问题,以至于SDP(软件定义边界)这个属于应运诞生。传统VPN不开启路由屏蔽可能存在流量泄漏,开启路由屏蔽全流量到服务端意义不大,而且VPN很难保障客户端是可信的,那么在无法确定这个问题的情况下,一口气把大门完全打开,这样真的好吗?

本文我们来聊聊混合云场景下非可信的流量如何穿越安全边界这个话题。非可信的流量,即我无法确保是用户本人(即便是存在单步验证的)的情况下产生的流量,这部分流量从非可信区域要跨过安全边界(安全带)进入到私有区域,安全问题是一个头等问题。

在XUEGAONET v1.x版本中,对于该问题引入了SDP客户端和VPN的客户端检查,客户端名称为XGNSC。该客户端前身是iHC智能客户端,配套加上了UI,同时完善了较多功能,配合该客户端,我们一起来讨论下如何解决跨域安全边界这个问题。