随着安全领域的新主体蓬勃发展，一些新技术与零信任并行出现。软件正在迅速侵入网络空间，软件定义网络(SDN)一直是驱动力。SDN和零信任将从根本上改变网络的发生方式，并且这些变化正在迅速到来，无论是在云中还是在本地。零信任是未来的安全架构。随着DevOps的广泛接受和成功，这种趋势只会持续下去。随着开发人员继续迁移到IT领域，预计自动化IT任务将继续精简。

基于软件定义的思想，将多项现代网络技术引入到核心网络引擎。其中包括利用NAT遍历来促进分布式网络中节点之间的直接对等连接，并引入QUIC，这是一种现代网络传输协议，可提供更具弹性、更低延迟的连接。

这些增强功能使基于网络连接的零信任原则得到更广泛的实施，并分析网络架构将在未来几年如何演变。接下来快速回顾使用VPN进行远程访问的传统网络架构开始，讨论当今大多数供应商使用的基于云的架构，并逐步分布式网络架构和底层技术。

带有VPN的传统网络

VPN在1990年代首次广泛使用。当用户没有物理连接到公司网络（通常在公司办公室）时，它仍然是用于远程访问公司网络的主要技术。在此架构中，VPN网关部署在专用网络的边缘，充当需要访问该网络资源的远程用户的入口点。

公司通常将单个VPN配置到公司网络中，然后在可能位于不同地理位置的其他网络之间建立辅助隧道。在此模型中，VPN网关充当任何远程用户在被路由到其最终目的地之前进入专用网络的集中器。这会导致中心辐射型网络拓扑结构产生几个问题：

VPN网关位于具有公共IP地址的专用网络边缘，将其暴露给公共互联网。这使得VPN网关容易受到攻击者的攻击，尤其是在发现漏洞时。不幸的是，这些漏洞经常被发现并且经常被对手利用。由于用户只能在其流量被路由到其最终目的地之前连接到单个VPN网关，因此当用户在到达目的地资源之前绕着地理分布的位置跳来跳去时，通常会发生重大的性能损失。远程VPN用户通常被授予对专用网络的完全访问权限，如果远程用户受到威胁或攻击者破坏公共VPN网关，这会产生很大的爆炸半径。

正因为如此，公司和IT团队经常跳过巨大的障碍来保护这些固有的设计缺陷。例如，公司通常会增加VPN网关的数量来解决性能挑战，从而创造更大的公共攻击面来保护。

尽管许多公司勉强容忍了这些设计缺陷，但尽可能围绕它们进行设计，但向云的迁移以及员工在任何地方工作的需求给IT和安全团队带来了巨大压力，他们被迫管理和保护这种遗留网络架构。

基于云的网络和PoP竞赛

在2010年代，出现了一批新的供应商，它们试图通过采用由公司IT团队管理的本地私有网络并将其转移到由供应商管理的托管网络来解决这些挑战。在此架构中，VPN网关被在地理上分布并由供应商管理的入网点(PoP)所取代。

通过这种方法，供应商的私有云网络位于用户和公司资源之间。远程用户需要先连接到供应商最近的PoP，然后才能被路由到最终目的地。为了提供对传统模型的性能改进，提供这种网络架构的供应商一直在竞相构建尽可能多的PoP（在地理位置上靠近用户）并维护和升级PoP之间的网络骨干网。

然而，即使是使用此模型的最大供应商，其PoP也只有100多个。根据公司员工的地理分布和资源的位置，这种网络架构可以改进传统的网络模型。然而，这种模式仍然将客户的网络性能置于供应商的分布式PoP足迹与公司需求的一致性程度。

根据特定供应商的实施，此模型的其他缺点可能包括：

无法适用于所有协议或资源类型：此模型的某些实现针对通过浏览器访问的基于Web的资源进行了优化。这意味着很难（并且在某些情况下不可能）将这些解决方案用于SSH和数据库客户端等应用程序和协议。难以集成：这些解决方案通常需要复杂的实施过程，以便将公司的专用网络连接到供应商的网络。这可能需要对专用VPN隧道进行复杂的配置和管理、配置DNS的挑战以及其他部署摩擦点。

分布式世界的分布式网络

通过设计了一个网络架构，其基本假设是用户和资源都是高度分布的并且是不断运动的。我们相信，这个分布式世界的理想网络架构必须允许网络流量直接在节点之间流动，而无需遍历任何中间节点或网络。

这也意味着我们客户的网络性能不受我们在地理上横向扩展位于偏远地区的大量PoP的能力的限制。这将基于云的架构带入其逻辑最终状态，并有效地将本地PoP放置在每个设备上。

为了完成所有这些工作，我们需要一个新的网络架构。尽管我们从中获得了一些被广泛接受的框架，但它们并不符合我们的零信任原则。我们研究和评估的框架包括软件定义的边界(SDP)、网状网络和软件定义的网络(SDN)。该架构包含所有这些框架的元素，我们特别专注于做出优化性能和安全性的设计决策，同时不影响部署的易用性。网络架构分为三个主要概念：

网络层：需要相互连接的一组资源和设备控制层：确定允许哪些用户和资源进行通信的权限和访问规则传输层：数据在用户和资源之间移动的支持机制和路由

在传统的网络设计中，这些概念是紧密耦合的，通常会导致折衷，表现为性能低下、安全控制差、部署和管理困难或以上所有方面的某种组合。相反，我们决定将这些概念中的每一个分离到单独的层中，以便我们优化每一层的行为以产生最大的好处，无论是连接性能还是安全控制。

我们将其描述为分布式网络架构，我们相信这将成为公司在未来几年设计和管理对其网络的访问的标准方式。

让我们来看看这些层中的每一层，并描述它们网络架构上下文中是如何工作的：

网络层

这是指可以潜在地相互连接的完整资源和设备集。这组节点之间不需要现有的互连，并且该层中的各个节点可以存在于任何网络或地理中。控制层和传输层的组合（如下所述）确保只有授权的客户端才能访问分配的资源。

客户端和资源可以通过嵌入式库、客户端应用程序或轻量级代理直接访问控制层和传输层。这些组件执行一些关键功能：

策略执行：控制层传递的规则在本地执行，无需任何流量离开设备。路由：在本地执行路由选择以提供最佳连接性能。安全性：实施安全控制，例如实施允许/拒绝列表或实施安全DNS。

最重要的是，网络中的任何节点都不需要暴露在公共互联网上。

控制层

该层负责定义管理网络中哪些节点可以相互通信的规则。虽然该控制层需要分布式和冗余，以便为客户端和资源提供低延迟请求，但没有流量通过该层。

控制层执行一些关键功能：

身份验证：用户和客户端必须先对自己进行身份验证才能访问资源。这是由控制层强制执行和启用的，它与身份验证机构（例如，Okta）连接以进行身份​验证。策略定义：策略在控制层中定义（例如，通过基于Web的管理控制台或管理API），然后向下传递到网络节点以执行和执行。

传输层

该层负责促进从任何客户端到任何资源的最佳路由，并提供两个主要功能：

对等连接的信令通道：默认情况下，传输层尝试在客户端和资源之间建立直接的对等连接。这是通过使用信令通道直接协调两个节点之间的连接来实现的。如果其中一个或两个节点都位于防火墙后面，则使用一系列NAT穿越技术在客户端和资源之间建立直接的端到端加密连接。用作中继加密流量地备用传输通道：如果无法建立点对点连接，则传输层可以接管在客户端和资源之间中继加密流量。尽管这在结构上与上述云网络架构相似，但关键区别在于所有路由和授权决策都直接在客户端和资源节点中做出。这些决策由控制层启用并由客户端和资源节点执行，这将传输层降级为加密字节的零知识传输。

总的来说，将这些概念解耦为离散的概念使我们能够朝着最佳组合性能、安全控制和易于管理的方向发展。

接下来，我们将深入研究底层网络技术，让我们絮絮叨叨！

分布式网络架构

在我们努力实现我们的分布式网络拓扑版本时，我们采用了一系列技术，这些技术可在大多数情况下提供最佳性能并反映人们当今工作方式的现实。

未完待续……

相关标签：