二十项零信任相关的前沿和趋势性技术-MASQUE

影响力评级：较低

市场渗透率：不到目标受众的 1%

成熟度：孵化

定义：基于QUIC加密的多路复用应用程序底层 (MASQUE) 是一个 IETF 标准草案，可实现流量的安全传输和代理。

MASQUE全称为：Multiplexed Application Substrate over QUIC Encryption

参考：https://datatracker.ietf.org/wg/masque/about/

MASQUE 是一种新兴的网络协议，它与零信任安全模型密切相关，尤其是在提高零信任访问的效率和用户体验方面。

MASQUE 的背景：

传统的 VPN 和一些早期的零信任解决方案在用户访问内部资源时，通常需要建立一条完整的隧道连接。这种方式虽然提供了安全性，但也带来了一些问题：

• 性能开销： 建立和维护隧道连接会增加网络延迟，影响用户体验。
• 复杂性： 配置和管理 VPN 或隧道连接可能比较复杂，尤其是在移动设备和多网络环境下。
• 受限的协议支持： 一些隧道协议可能只支持特定的应用层协议，例如 TCP，而对 UDP 等其他协议支持不足，这限制了一些应用程序的使用，最典型的是一些基于UDP的应用，如视频会议等。

MASQUE 的核心概念：

MASQUE 是一种基于HTTP/3和QUIC的代理协议，HTTP/3是HTTP协议的最新版本，它基于QUIC协议，QUIC 是一种基于UDP的传输协议，它具有比TCP更高的性能和更好的安全性，MASQUE将两者结合后，可以有效地代理IP和UDP流量，而无需建立传统的隧道连接。这意味着：

• 更高的性能： QUIC 协议本身就具有比 TCP 更高的性能，例如更快的连接建立速度、更好的拥塞控制等。MASQUE 基于 QUIC，因此继承了这些优点。
• 更强的灵活性： MASQUE 可以代理各种 IP 流量，包括 TCP 和 UDP，这使得它可以支持更广泛的应用程序，传统基于三层的隧道连接降低了针对应用程序的管控能力，而MASQUE可以解决此类问题。
• 更好的移动性： QUIC 协议在移动网络环境下表现更好，可以更好地应对网络切换和丢包等问题，这使得 MASQUE 非常适合移动设备以及移动办公的场景下使用。

MASQUE 与零信任的关系：

MASQUE 可以与零信任安全模型更好地结合，提供更高效、更用户友好的零信任访问体验。例如：

• 与 ZTNA结合：MASQUE可以作为 ZTNA 解决方案的一部分，用于提供应用程序和资源的访问控制。用户无需建立 VPN 连接，只需通过支持MASQUE的客户端连接到 ZTNA 网关，即可安全地访问受保护的资源。
• 提高用户体验： 由于MASQUE具有更高的性能和更好的移动性，因此可以显著提高用户的访问体验，减少延迟和连接中断等问题。举例：当一个QUIC连接中断后，客户端能够迅速恢复之前的会话，而无需重新进行握手，这得益于QUIC协议中的“0-RTT”恢复机制，使连接的重建时间缩短到几乎为零。
• 增强安全性： MASQUE基于QUIC 协议，QUIC 本身就具有加密和认证等安全特性，QUIC使用128位的AES加密算法来保护数据包，每个QUIC数据包都有独立的包头验证，以防止篡改和伪造确保传输过程中的数据安全。

为什么重要

MASQUE是替代现有加密协议（例如 IPsec、WireGuard 和TLS）的替代方案。MASQUE 可提高两个终端之间通信的性能、安全性和隐私性。因此，MASQUE 有可能为多种产品类别提供统一的基础，包括基于 VPN 的远程访问、SSLVPN和零信任网络访问 ( ZTNA ) 产品。

商业冲击

零信任是大多数组织的首要任务，因为它们力求降低其环境中某些网络安全威胁的风险。MASQUE 提供统一协议来支持零信任网络部署，包括 ZTNA。MASQUE使组织能够在受到传统协议限制的情况下扩展其ZTNA实施的范围。虽然 MASQUE 仍处于发展阶段，但它代表了零信任访问技术的一个重要发展方向。

驱动因素

• MASQUE 建立在现有的广为人知的标准协议之上，包括 HTTP 和快速 UDP 互联网连接（QUIC ）。
• QUIC 是 Microsoft Office 和Google Workspace的默认传输协议，但被许多安全设备（防火墙）/服务（SSE）阻止。MASQUE 有助于解决这一问题，因为它为企业提供了一种检查和监管基于 QUIC 的流量的机制，这是现有技术无法做到的。
• 思科、爱立信和 Cloudflare 等供应商正在推动人们对 MASQUE 的兴趣和认识。
• 三星、谷歌和苹果等移动操作系统供应商都在其操作系统中加入了 MASQUE。
• MASQUE 可以提高安全性，因为它可以加密元数据流，并且还允许代理连接不被拦截，此外还提供加密来保护传输中的数据。
• MASQUE 通过确保任何一方都无法看到流量的来源和目的地，增强了最终用户发起的加密流量的隐私性。
• 与其他协议相比， MASQUE应该可以提高性能和吞吐量，因为它利用了性能卓越的 QUIC。
• MASQUE 与协议无关，这意味着中间节点不必了解封装的协议。这将有助于解决NAT和防火墙兼容性问题。

障碍

• MASQUE 目前是一个草案标准，尚未获得批准。
• MASQUE 中的企业意识有限。
• 网络硬件（包括负载均衡器、网络防火墙和网络接口卡）对 MASQUE 的原生支持有限。
• 为了实现最佳性能，需要支持 HTTP/3 和 QUIC，但目前 HTTP/3 的采用有限。

用户建议

• 将 MASQUE 纳入 RFI，作为 ZTNA 、SASE和远程访问项目的可选组件。MASQUE 将成为这些产品的底层技术，可以提供优于传统传输协议的竞争优势。
• 在投资使用 MASQUE 的产品时，优先考虑可以恢复到现有且易于理解的机制的选项（假设它尚未批准）。

Sample Vendors：Akamai；苹果；思科；Cloudflare（WARP）；Fastly；谷歌；微软；三星