“Cloud VPN”可以视作一种保障云端资源安全的简便说法，或者说是将老旧技术的过度使用的流行词。事实上，这两种定义都不是检视当前网络安全挑战的有效方式。传统VPN技术所依赖的概念使得安全管理变得复杂且易于被攻击。

什么是云 VPN？

关于这个问题的简短回答是，云 VPN 是任何安全提供商的市场营销部门所描述的东西。有些公司将消费级VPN技术重新品牌化为云 VPN 解决方案以供企业使用。其他公司则为他们原有的企业级VPN硬件提供基于软件的版本，以应对本地安全设备的管理限制。

第三个类别则是完全不使用传统VPN技术的公司。这些公司提供对本地资源、基于云的专有资源以及各种服务XasaService资源的安全访问，而无需承受传统VPN解决方案所固有的管理和安全问题。在这种情况下，“云VPN”只是一种牺牲准确性以传达新概念的简写。

VPN 信任过多

鉴于行业对这一术语的宽松应用，“云 VPN”的使用寿命有限。IT社区对基于VPN的安全日益持怀疑态度，这也使得这种便利的简写更显得不那么有用。VPN技术已成为许多问题的根源。它使网络管理变得更困难，削弱了商业生产力，并扩大了网络攻击的攻击面。

基于IPSec的VPN是90年代IT环境的解决方案，但这一环境已不复存在。如今公司的IT资源分散在特权网络和云服务提供商之间。访问必须在分布式团队、流动和远程工作者、个人承包商以及第三方合作伙伴之间进行管理。与此同时，随着有组织犯罪集团和国家正在发展更复杂的方式来突破安全边界，安全形势变得格外复杂。

信任的范式是导致VPN基于安全所带来问题的根源。VPN信任连接到公司网络的员工设备。如果员工或设备被攻破，那么网络也就随之受到影响。VPN还信任网络本身可以被信任，对内部资源没有任何保护措施。

为了缓解这些挑战，IT部门必须拼凑一系列部分解决方案，例如部署多个安全系统和将资源移动到拥有自己VPN网关的子网。不幸的是，所有这些行动都使网络变得更难以管理，更难于变更。

零信任保持资源安全

基于零信任范式的网络安全可以避免这些挑战。它不假设用户可以被信任，也不假设设备可以被信任。即便是公司专有的网络，处理方式也与公共互联网相同。

如果运用得当，基于零信任的安全架构将依照需要知道的原则运作。资源不会公开部署，无论是在特权网络还是在互联网上。同时，资源接收到的任何连接请求，除非来自安全系统本身，否则会自动被拒绝。

像Twingate创建的软件定义边界将安全边界从网络转移到每一个独立资源。每个用户和设备必须进行验证，并确认遵循每个资源的访问控制策略。一旦授权，他们只能连接到特定的资源，并且只通过端到端加密的安全隧道进行访问。一旦会话结束，访问授权和任何信任假设都随之终止。

零信任安全的机制在公司IT架构和员工结构变得多么去中心化时仍然有效。无论资源是运行在本地还是云实例，或是来自XasaService供应商，它们都能防止未经授权的访问。无论员工使用公司提供的笔记本电脑还是个人智能手机，他们只能访问被允许的资源。

最佳云 VPN 解决方案是什么？

由于营销人员对“云VPN”这个术语的宽松使用，你需要仔细审视其主张和基础技术。例如，Google Cloud VPN享有几乎普遍的知名度，但只能在特定环境下提供安全保护。该服务在公司网络与其托管在Google云平台上的虚拟资源之间创建安全的IPSec连接。显然，该系统无能力保护其他云服务。它还具备IPSec VPN的相同局限性，例如强制所有流量通过单一的3Gbps连接。Azure VPN Gateway与AWS VPN为各自的云平台提供类似的功能。

来自OpenVPN和Perimeter 81等公司的云VPN解决方案也依赖虚拟化VPN技术。这些解决方案可能被部署到本地服务器或云实例上，但仍需遵循任何其他基于VPN解决方案的脆弱安全策略。

企业IT解决方案提供商如Cisco和Okta将云VPN选项作为其硬件和服务套件的一部分提供。许多这些解决方案是基于零信任的软件定义边界框架构建，以提供对资源的安全访问。然而，它们与提供商更广泛的产品线紧密集成，往往需要企业范围内对公司IT架构的转型。

Twingate 保障 DevOps 资源安全

DevOps团队无法等待高管层的决策来重新架构企业。这正是Twingate推出的安全解决方案，专为开发者操作优化。Twingate是基于零信任政策而非传统IPSec VPN构建的软件定义边界安全解决方案。

管理员工、第三方合作伙伴和独立承包商不断变化的访问需求对DevOps管理员而言是一项持续挑战。基于VPN的网络安全脆弱性使管理员的工作更加困难，妨碍了开发者的生产力。

DevOps团队可以在数天内部署Twingate，而无需修改资源或网络。Twingate与现有的安全堆栈集成，提供了一个无摩擦的方式来管理开发人员的访问政策。自助注册流程使得新用户的入职过程变得顺畅。

由于Twingate的软件定义边界不需要对公司现有的安全基础设施进行更改，这种零信任的方法为提升DevOps生产力提供了一种无摩擦的方式，同时保持开发资源的安全。

联系 Twingate 了解零信任如何让你的开发团队更安全。