DevOps 团队愈发依赖 Microsoft Azure 在混合云计算方面的优势。虽然你可以找到许多 VPN 解决方案来保护对 Azure 托管资源的访问，但传统的 VPN 技术会降低 DevOps 的效率。最终，摒弃 VPN 的信任基础框架，转向零信任框架是确保 Azure 上资源访问安全的最佳方式。

什么是 Azure VPN 网关？

微软在企业软件领域数十年的历史并不是公司选择 Microsoft Azure 云服务的唯一原因。安全性从定制硬件到 3500 名网络安全专家全天候监控系统的整个 Azure 基础设施中都得到了设计。

然而，Microsoft Azure 对安全的责任也有其限制。例如，访问控制并不是 Azure 能够单独处理的。各个客户必须决定谁可以访问哪些资源，以及使用哪些系统来控制该访问。

如果愿意付费，你可以选择微软自家的 VPN 网关服务，将 Azure 虚拟网络连接到你的企业网络。VPN 网关还支持通过公共互联网进行远程访问。然而，设置 Azure 的 VPN 网关并不是一个简单的即插即用过程。假设您的网络现有的 VPN 基础设施兼容，与 Azure 解决方案的集成可能需要额外的配置工作。

Azure 云安全的替代 VPN

在 Azure 市场中，你会找到几个替代 VPN 网关的方案。微软与每个供应商合作，确保他们的软件能够与你的 Azure 集成并且轻松部署。客户在 Azure 账户内也可享受到统一的计费利益。

像 Citrix 的应用交付控制器这样的企业级解决方案，将 VPN 功能作为更大一套安全服务的一部分。这些选项对于简单的远程访问需求来说可能过于复杂尤其是当你的组织没有在整个网络基础设施中使用 Citrix 产品时。

在规模低端是更为集中于特定功能的解决方案，如 Netgate 的 pfSense 和 OpenVPN 的访问服务器。这些是长期存在的开源项目的专有版本，提供商业友好的功能和支持水平，价格也比较实惠。然而，由于这些解决方案依赖于底层的开源项目，它们在用户体验和可管理性上，往往不及更成熟的商业应用。

现在 VPN 仍然是正确的选择吗？

无论是由企业提供商开发的 VPN 解决方案，还是由开源贡献者创建，其基础都是设计于上世纪90年代中期的框架，用于满足截然不同的商业网络。当时，IT 资源主要集中在本地并连接到专有网络。只有公司员工，绝大多数都在现场，才能访问这一网络。

IT 部门专注于保护网络的周边。对于少数远程工作的人员，VPN 网关提供了通过安全边界的安全加密通道。一旦进入这些网络，这些被信任的员工便可以完全访问。

在当前的 IT 环境中，并不存在明确的边界。一些资源由中央管理，而其他资源则托管在像 Azure 这样的云服务上。而 XasaService 的资源则根本不由 IT 部门管理。

访问这些资源的工作队伍已经不再局限于使用受管设备的公司员工。访问必须在一众承包商、第三方合作伙伴以及自带设备的智能手机或笔记本电脑中进行管理。

VPN 技术基于安全边界和受信任用户的假设，已不再与当今的环境相符。尝试解决 VPN 弱点的努力，比如创建子网和部署多个 VPN 网关，结果只是导致了更易碎的安全策略，无法适应当前的商业需求。

零信任下的 Azure 安全

零信任是一种安全概念，旨在避免 VPN 技术的不足。零信任并不保护一个处于信任网络中的安全边界，而是假设没有任何东西可以被信任无论是用户、设备，甚至是网络本身。

谷歌是第一个在 2009 年因国家资助的网络攻击而采用零信任的公司。其 BeyondCorp 项目意识到边界永远无法安全。在过去十多年中，谷歌将其安全工作重心转向每个独立资源。

任何请求访问的用户都必须在每个会话上都通过身份验证和批准。用户是否是员工，是否使用受管设备，或者他们的设备是连接于公司网络还是公共互联网都无关紧要。实际上，谷歌在零信任的实施上已经走得很远，所有资源都直接连接到公共互联网，并且可以通过 DNS 被发现。

Twingate 的零信任安全

Twingate 对零信任的实现更进一步，它以需要访问原则来操作资源。这是一种由美国国防部首创的安全方法，称为软件定义边界SDP。

所有资源，无论在互联网上还是私人网络上，默认情况下都是隐藏的。通过将对这些“黑色”资源的访问限制在合规的用户和设备上，威胁面被显著减少。

Twingate 的 SDP 部署由三个元素组成：运行在用户设备上的客户端、部署在资源与其网络之间的访问节点，以及控制器。客户端软件除了控制器的位置信息外，并不具备用于公司 IT 资源的内置知识。当客户端发送连接请求时，控制器将与公司的现有安全框架合作来认证和批准该请求。只有当控制器将客户端交给访问节点时，客户端才会获得到资源的安全、加密通道。每个会话都是短暂的，客户端必须重新经历身份验证和批准过程才能重新连接到访问节点。

使用 Twingate 保障 Azure 上 DevOps 资源的安全

Twingate 的安全访问方法专门设计用于帮助 DevOps 团队消除 VPN 技术带来的麻烦。Twingate 控制器决定客户端可以访问哪些资源，这意味着最终用户不必在多个 VPN 客户端之间切换。此外，最终用户通过一种类似消费者体验的方式自我配置客户端，无需更改其设备的设置。

对于 DevOps 管理员而言，体验也大大简化。他们只需使用一行 Docker 命令，就可以将访问节点部署到一个资源上。无论是企业服务器上的资源还是 Azure 虚拟网络上，均无需重新配置。Twingate 能够与现有的安全框架集成，因此无需维护平行政策。而面对不断变化的人事，单击即可以实现便捷的入职和离职管理变得更加容易。

如欲了解更多信息，了解 Twingate 如何使 DevOps 更加高效，请联系我们。