为什么传统 VPN 无法满足 SaaS 时代的要求
过去企业级 VPN 偏向于把整个终端或子网“拉入”企业网络,依赖静态网络边界与信任模型。这在以内部数据中心为核心的时代还能奏效,但面对 SaaS 应用泛在部署、多云与远程办公的现实,传统 VPN 的问题日益暴露:
- 过度授权:一旦连接就能访问大量资源,难以实现最小权限。
- 可见性不足:加密流量在边界处被隐式放行,无法基于会话层策略做精细控制。
- 终端姿态检查有限:连接后缺乏连续的设备健康评估,容易被被盗凭证滥用。
- 可扩展性与用户体验问题:集中网关成为瓶颈,跨地域访问延迟高。
用 TLS 做 VPN 的本质与优势
把 VPN 功能构建在 TLS 之上,并不是单纯把流量“包在 TLS 里”。核心思路是利用现代 TLS(包括 TLS 1.3、mTLS、ALPN、SNI 等扩展)作为安全传输与身份绑定的基础,同时在会话层实现精细化访问控制与连续验证。这样可以把网络访问权限从“网络级”提升到“会话与用户/设备级”。主要优势包括:
- 端到端身份绑定:通过 mTLS 或客户端证书将终端设备与用户身份紧密绑定,减少被盗密码带来的风险。
- 透明穿透 SaaS:针对 Web/HTTPS 型 SaaS 服务,可以在 TLS 层做代理或隧道,把单个应用流量单独控制。
© 版权声明
文章版权归作者所有,严禁转载。
THE END
暂无评论内容