零信任 vpn 是智商税吗

不是智商税，可以理解为是天生了按权限进行配置，这个用户是什么权限能访问什么应用（或是说内网资源），不用考虑网络层面上的配置，如果权限不对就算连进内网也无法访问内网的各种服务器
如果只是双重因素这种验证，传统的也能想办法配置，可以说只要支持使用 radius 认证的都可以，上 freeIPA 就行

我个人的理解的话，可以想像一台共享 NAS ，传统 VPN 就是大家都是管理员账号登录，能读写全部共享文件夹资源，零信任就是分了权限的账号登录，登录上来只能读写对应权限的共享文件。

我见过很多国产零信任，一点也不像我认识的开源零信任。
我也见过很多国产 VPN ，一点也不像我认识的开源 VPN 。
但是我见过的国产 VPN 与国产零信任。确非常的相似。都是本地要个装客户端生成虚拟网卡。都是本地疯狂扫盘收集用户信息。

所以我已经不知道什么是 VPN 什么是零信任了

@pckillers 总结的好

估计没按规范用吧

本质上讲 零信任核心是权限管控，只不过链接手段大部分都是借用了 vpn ，也可以是 wireguard 等等，我个人理解就是搞了个名词讲故事

你说的是深信服用 aTrust 换掉 EasyConnect 吗？😄

0 卡碳水?

国内的零信任大部分还都是 VPN ，尤其是深信服这些老 VPN 厂商

@redog 这不就套了一层域管理么？ 最讨厌发明鸡肋名词的

@adoal #6 笑死了，我司就是先 ec 后 atrust

国内 零信任 基于 VPN ，和传统 vpn 的差异:
传统的 vpn: 基于用户角色进行授权，会给你分配到一个确定的段，该段具有明确的、静态的 ACL ，你们这个组能访问的 内容都是确定的
零信任: 每个用户基于访问规则，明确获得能访问资源的列表，controller 基于这些规则转发流量

其实只是基于 零信任理念的 边界接入解决方案，至于为什么要是这种形态，当然是因为好落地啊，用户什么都不用知道，当作 vpn 用就行了，，也就你们 IT/Sec 能体验到差异

@pckillers 厂商对你零信任，现在你对厂商也零信任，这不就是零信任

本质上就是抽象了原 ip 地址和目的 ip 地址路由，给所有访问套上日志和带了防火墙规则呗

@redog 看起来就是给所有 tcp 连接都加了层验证，不用在应用端做了？感觉应用端如果图省事不做验证，从其他侧来看反而更不安全了。