當(dāng)內(nèi)網(wǎng)服務(wù)被發(fā)布到外網(wǎng)后，我們解決了用戶的“訪問可達(dá)性”的問題，然而，當(dāng)服務(wù)暴露于公網(wǎng)后，一個(gè)新的挑戰(zhàn)隨之而來，在不改變現(xiàn)有業(yè)務(wù)邏輯的情況下，如何精準(zhǔn)控制“誰能訪問此應(yīng)用？”

傳統(tǒng)的 Basic Auth 難以應(yīng)對(duì)復(fù)雜的企業(yè)級(jí)權(quán)限管理，而 SDP (Software Defined Perimeter) 方案往往要求用戶安裝客戶端或開啟 VPN，這在大型組織中會(huì)帶來很高的運(yùn)維成本與不暢的交互體驗(yàn)。

IAM Gateway：內(nèi)網(wǎng)應(yīng)用身份認(rèn)證入口

基于此需求場(chǎng)景，ZeroNews團(tuán)隊(duì)推出了 ZIG (ZeroNews IAM Gateway) — 一個(gè)輕量化的零信任身份認(rèn)證網(wǎng)關(guān)。

架構(gòu)決策：為何選擇“無客戶端”零信任？

傳統(tǒng)的零信任架構(gòu)（ZeroTrust）通常需要接管企業(yè)全部流量，這對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)具有較強(qiáng)的侵入性?；诹阈湃萎a(chǎn)生的不便，ZIG從設(shè)計(jì)之初便考慮了相關(guān)因素：

零侵入 ：不強(qiáng)制接管全部流量，僅針對(duì)特定映射策略生效。

無客戶端 ：利用企業(yè)現(xiàn)有的 IM 平臺(tái)（如企業(yè)微信）作為身份提供者，用戶無需安裝額外軟件。

數(shù)據(jù)主權(quán) ：堅(jiān)持端到端加密，確保網(wǎng)關(guān)節(jié)點(diǎn)僅進(jìn)行透明轉(zhuǎn)發(fā)。

ZIG 的核心邏輯在于 OAuth 2.0 (及兼容協(xié)議) 深度集成。以下是以企業(yè)微信為例的典型認(rèn)證序列：

Token檢驗(yàn)與重定向：當(dāng) ZeroNews 網(wǎng)關(guān)接收到 HTTPS 請(qǐng)求時(shí)，由于開啟了IAM保護(hù)，請(qǐng)求將被重定向至身份認(rèn)證中心，檢查Token的合法性，只有身份認(rèn)證通過，流量才會(huì)被轉(zhuǎn)發(fā)至通往內(nèi)網(wǎng)的隧道，并最終訪問到內(nèi)網(wǎng)服務(wù)。

身份校驗(yàn)：ZIG 模塊已預(yù)集成企業(yè)微信的身份驗(yàn)證體系。對(duì)于應(yīng)用側(cè)而言，無需改動(dòng)任何代碼即可獲得企業(yè)級(jí)的 SSO 能力。

建立數(shù)據(jù)加密隧道：一旦認(rèn)證成功，網(wǎng)關(guān)將請(qǐng)求流量進(jìn)入加密的數(shù)據(jù)隧道。

ZIG有哪些技術(shù)要點(diǎn)與優(yōu)勢(shì)？

1. 證書自主管理

ZIG支持網(wǎng)關(guān)私有化部署，數(shù)據(jù)傳輸在自己的節(jié)點(diǎn)上

私鑰所有權(quán)：企業(yè)自主管理證書私鑰，部署在自主的網(wǎng)關(guān)節(jié)點(diǎn)上，包括ZeroNews在內(nèi)及其他人無法解密流量內(nèi)容。滿足政企，金融等對(duì)數(shù)據(jù)合規(guī)要求嚴(yán)格的行業(yè)或客戶。

2. 靈活的權(quán)限模型 (ABAC & RBAC)

ZIG 不僅僅是一個(gè)“開關(guān)”，它支持基于屬性的訪問控制 (ABAC) 和基于角色的訪問控制 (RBAC)。您可以針對(duì)特定的部門、人員或 IP 段配置訪問策略。

即時(shí)生效：安全隧道可隨業(yè)務(wù)需求靈活開啟或關(guān)閉。

3. 私有化部署與信創(chuàng)支持

為了解決“信任鏈”的問題，我們提供網(wǎng)關(guān) Node 與 IM Admin 模塊的私有化部署方案，適配信創(chuàng)環(huán)境，確保認(rèn)證流量完全留在企業(yè)內(nèi)網(wǎng)。

哪些客戶或場(chǎng)景需要ZIG？

1. 受限公網(wǎng)訪問：需要將內(nèi)部 OA、ERP 或研發(fā)工具暴露給外勤人員，但不希望對(duì)第三方開放入口。

2. 輕量化零信任演進(jìn)：希望實(shí)現(xiàn)零信任管理，但無法接受全員安裝 VPN 客戶端帶來的體驗(yàn)下降。

3. 高合規(guī)性集成：在受監(jiān)管行業(yè)中，需要滿足數(shù)據(jù)加密和身份審計(jì)的硬性要求。

ZIG 是在公網(wǎng)的便利性與內(nèi)網(wǎng)的安全性之間找到一個(gè)平衡點(diǎn)。通過將身份校驗(yàn)下沉到邊緣網(wǎng)關(guān)，并保持端到端的數(shù)據(jù)主權(quán)，我們?yōu)?a target="_blank">開發(fā)者提供了一種更優(yōu)雅、更具工程質(zhì)感的內(nèi)網(wǎng)穿透方案。

如果你正在尋找一種無需客戶端、支持私有化且足夠安全的內(nèi)網(wǎng)接入方式，歡迎嘗試 ZeroNews IAM Gateway。

審核編輯 黃宇