当内网服务被发布到外网后,我们解决了用户的“访问可达性”的问题,然而,当服务暴露于公网后,一个新的挑战随之而来,在不改变现有业务逻辑的情况下,如何精准控制“谁能访问此应用?”
传统的 Basic Auth 难以应对复杂的企业级权限管理,而 SDP (Software Defined Perimeter) 方案往往要求用户安装客户端或开启 VPN,这在大型组织中会带来很高的运维成本与不畅的交互体验。
IAM Gateway:内网应用身份认证入口
基于此需求场景,ZeroNews团队推出了 ZIG (ZeroNews IAM Gateway) — 一个轻量化的零信任身份认证网关。
架构决策:为何选择“无客户端”零信任?
传统的零信任架构(ZeroTrust)通常需要接管企业全部流量,这对现有网络架构具有较强的侵入性。基于零信任产生的不便,ZIG从设计之初便考虑了相关因素:
零侵入 :不强制接管全部流量,仅针对特定映射策略生效。
无客户端 :利用企业现有的 IM 平台(如企业微信)作为身份提供者,用户无需安装额外软件。
数据主权 :坚持端到端加密,确保网关节点仅进行透明转发。
实现逻辑:身份认证与流量转发解耦
ZIG 的核心逻辑在于 OAuth 2.0 (及兼容协议) 深度集成。以下是以企业微信为例的典型认证序列:
Token检验与重定向:当 ZeroNews 网关接收到 HTTPS 请求时,由于开启了IAM保护,请求将被重定向至身份认证中心,检查Token的合法性,只有身份认证通过,流量才会被转发至通往内网的隧道,并最终访问到内网服务。
身份校验:ZIG 模块已预集成企业微信的身份验证体系。对于应用侧而言,无需改动任何代码即可获得企业级的 SSO 能力。
建立数据加密隧道:一旦认证成功,网关将请求流量进入加密的数据隧道。
ZIG有哪些技术要点与优势?
1. 证书自主管理
ZIG支持网关私有化部署,数据传输在自己的节点上
私钥所有权:企业自主管理证书私钥,部署在自主的网关节点上,包括ZeroNews在内及其他人无法解密流量内容。满足政企,金融等对数据合规要求严格的行业或客户。
2. 灵活的权限模型 (ABAC & RBAC)
ZIG 不仅仅是一个“开关”,它支持基于属性的访问控制 (ABAC) 和基于角色的访问控制 (RBAC)。您可以针对特定的部门、人员或 IP 段配置访问策略。
即时生效:安全隧道可随业务需求灵活开启或关闭。
3. 私有化部署与信创支持
为了解决“信任链”的问题,我们提供网关 Node 与 IM Admin 模块的私有化部署方案,适配信创环境,确保认证流量完全留在企业内网。
哪些客户或场景需要ZIG?
1.受限公网访问:需要将内部 OA、ERP 或研发工具暴露给外勤人员,但不希望对第三方开放入口。
2.轻量化零信任演进:希望实现零信任管理,但无法接受全员安装 VPN 客户端带来的体验下降。
3.高合规性集成:在受监管行业中,需要满足数据加密和身份审计的硬性要求。
ZIG 是在公网的便利性与内网的安全性之间找到一个平衡点。通过将身份校验下沉到边缘网关,并保持端到端的数据主权,我们为开发者提供了一种更优雅、更具工程质感的内网穿透方案。
如果你正在寻找一种无需客户端、支持私有化且足够安全的内网接入方式,欢迎尝试 ZeroNews IAM Gateway。
