零信任安全学习笔记

Zero Trust

为了应对逐渐复杂的网络环境，一种新的网络安全技术构架–零信任逐步走入公众视野。

一、零信任技术介绍

（一）零信任核心原则：

①网络无时无刻不处于危险的环境中。

②网络中自始至终存在外部或内部威胁。

③网络位置不足以决定网络的可信程度。

④所有设备、用户和网络流量都应当经过授权和认证。

⑤安全策略必须是动态的，并基于尽可能多的数据源计算而来。

简言之，核心思想就是默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。

基于零信任安全框架的理解，可将零信任构架的原则归纳如下：

（1）将身份作为访问控制的基础：零信任架构为所有对象赋予数字身份，基于身份而非网络位置来构建访问控制体系。

（2）最小权限原理：零信任构架强调资源的使用按需分配，仅授予执行任务所需要的的最小特权，同时限制了资源的可见性。通过使用端口隐藏等技术手段，默认情况下资源对未经认证的访问主体不可见。授权决策时将人员、设备、应用等实体身份进行组合，形成访问主体。针对主体的组合信息和访问需求，以及信任评估和权限策略计算情况，确定是否授权访问权限。

（3）实时计算访问控制策略：授权决策依据主体的身份信息、权限信息、环境信息、当前主体信任等级等，通过将这些信息进行实时计算，形成访问控制策略。在资源访问过程中，一旦授权决策依据发生了变化，将重新进行计算分析，必要时及时变更授权决策。

（4）资源受控安全访问：零信任默认网络互联环境是不安全的，要求所有的访问连接都必须加密。

（5）基于多源数据进行信任等级持续评估：主体信任等级是零信任授权决策的判定依据之一，主体信任等级根据实时多源数据，如身份、权限、访问日志等信息计算出，参与计算的数据种类越多，数据的可靠性越高，信任等级的评估就越准确。人工智能技术的迅猛发展为信任评估赋能，通过专家系统、模型训练、机器学习等人工智能技术，紧扣应用场景，提升信任评估策略计算效率，实现零信任架构在安全性、可靠性、可用性、安全成本等方面的综合平衡。

（二）零信任安全构架及组件

零信任秉承==“从不信任并始终验证”的安全原则，对访问主体和访问客体之间的数据访问和认证验证进行处理，并将访问行为实施平面分解为用于网络通信控制的控制平面和用应用程序通信的数据平面。访问主体通过控制平面发起的访问请求，由信任评估引擎、访问控制引擎实施身份认证和授权，一旦访问请求获得允许后，系统动态配置数据平面，访问代理接受来自访问主体的流量数据，建立一次性==的安全访问连接。信任评估引擎将持续进行信任评估，把评估数据提供给访问控制引擎进行零信任策略决策运算，判断访问控制策略是否需要改变，如有需要及时通过访问代理中断连接，快速实施对资源的保护。身份管理和权限管理为访问控制提供所需的基础数据来源，其中身份管理实现各种实体的身份化及身份生命周期管理，权限管理实现对授权策略的细粒度管理和跟踪分析。典型的身份安全基础设施包括：PKI系统、身份管理系统、数据访问策略等。

（三）零信任关键技术

1. 现代身份与访问管理技术

2. 软件定义边界技术
   SDP技术旨在通过软件的方式，在“移动+云”的时代背景下，为企业构建起虚拟边界，利用基于身份的访问控制以及完备的权限认证机制，为企业应用和服务提供隐身保护，是网络黑客因为看不到目标而无法对企业的资源发动攻击，有效的保护企业的数据安全。

SDP的五大特点：

（1）网络隐身：SDP应用服务器没有对外暴露的DNS、IP地址或端口，必须通过授权的SDP客户端使用专有的协议才能进行连接，攻击者无法获取攻击目标。

（2）预验证：用户和终端在连接服务器前必须提前进行验证，确保用户和设备的合法性。

（3）预授权：根据用户不同的职能以及工作需求，依据最小权限原则，SDP在设备接入前对该用户授予完成工作任务所需的应用和最小访问行为权限。

（4）应用级的访问准入：用户只有应用层的访问权限，理论上无法获得服务器的配置、网络拓扑等其他信息，无法进行网络级访问。

（5）扩展性：除采用特殊协议对接SDP服务器以外，其他访问依然基于标准的网络协议，可以方便的与其他安全系统集成。

3. 微隔离技术
   对数据中心而言，主要有南北向流量和东西向流量，南北向流量是指通过网关进出数据中心的流量，东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段，一旦攻击者突破防护边界，缺少有效的安全控制手段用来阻止东西向流量的随意访问。随着东西向流量的占比越来越大，微隔离技术应运而生，其作为一种网络安全技术，重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。

数据中心往往包括海量的节点，频繁变化带来的工作量不可预估，传统的人工配置模式已经无法满足管理的需求，自动适应业务变化的策略计算引擎是微隔离成功的关键。

二、零信任应用场景

（一）远程办公

场景分析：

（1）接入人员和设备的多样性增加

（2）企业资源暴露程度大幅度增加

（3）数据泄露和滥用风险大幅增加

零信任安全构架针对远程办公应用场景，不再采用持续强化边界的思维，不区分内外网，针对核心业务和数据资产，梳理访问这些资产的各种访问路径和场景，在人员、设备和业务之间构建一张虚拟的、基于身份的逻辑边界，针对各种场景构建一体化的零信任动态访问控制体系，主要包括以下创新点和先进性：

①构建更安全的远程办公网络

通过实施“从不信任并始终验证”，不同类型用户只能按照预先确定的信任级别，访问预先申请的企业资源，未预先申请的企业资源将无法被访问，阻止企业内部“漫游”情况。

②增强对企业应用和数据保护

在实施“按需求访问”的基础上，有效整合资源保护相关的数据加密、网络分段、数据防泄漏等技术，保护应用资源、数据在网络中的传输和存储，并优先保护高价值资源。

③大面积减少攻击暴露面

用户通过访问认证之前，资源对用户隐身，即使用户通过访问认证和授权，成功进入网络以后，零信任架构也将阻止用户漫游到未经授权的领域。零信任思维从根本上降低了外部（互联网可发现）和内部（内部威胁）攻击面。

④减少违规行为的影响

零信任架构中，用户只能按需获得有限访问权限，有助于限制违规操作、业务中断、安全漏洞等的危害范围和危害后果，降低了补救成本。

⑤缩减安全管理成本和潜在建设成本

零信任架构终结了安全防护手段各自为政的现状，在零信任架构实施时，可以通过与现有工具的集成，大幅度降低零信任潜在建设成本，零信任的“无边界信任”思想减少了VPN的使用，简化了运营模式，缩减了安全管理成本。

典型案例：

零信任架构基于网络所有参与实体的数字身份，对默认不可信的所有访问请求进行加密、认证和强制授权，汇聚关联各种数据源进行持续信任评估，并根据信任的程度对权限进行动态调整，最终在访问主体和访问客体之间建立一种动态的信任关系。

（二）大数据中心

①精细化隔离的安全策略

②以身份为基石的逻辑边界

③安全策略自适应调整

（三）云计算平台

①实施细粒度的访问控制

②面向微笑服务的隔离机制

③“先验证后连接”的微服务

（四）物联网

场景分析：

（1）泛终端自身的安全短板
研究报告显示，攻击者越来越多地利用智能家居传感器、智能手机、路由器上的各种漏洞将其作为新的攻击媒介，物联网终端已经成为事实上的攻击“跳板”，将威胁带入全网。

（2）多样化终端接入管理困难
随着物联网的广泛使用，物联网设备快速兴起，传统的哑终端、非智能终端也开始向智能终端靠拢。数量众多、类型多样、不同接入方式的泛终端，既需要传统的网络准入控制、企业资源管理产品对办公终端进行接入管理，也需要统一终端管理等产品对移动端和服务器进行接入资产管理。同时，对于物联终端，尤其是在传统PC终端、移动端混合接入的场景下，还面临接入认证和管理的难题。

（3）物联终端易于攻击

物联网终端采用多样化接入技术，包括2G/3G/4G/5G、WiFi、蓝牙、Zigbee、LoRa、NB-IoT等，在云网融合背景下，5G物联网装置绕过了中央路由器直接接入5G网络云端。由于物联网终端具有数量大、安全防护能力较弱等特性，在安全管控措施不到位的情况下，高级攻击者利用设备的脆弱性，从内部攻击服务平台，将更容易获得成功。

解决思路：

随着边缘计算技术的不断完善，边缘计算在本地执行计算和分析的思想也越来越被接受，云边协同成为新的基础架构，极大地满足物联网大部分场景在敏捷连接、实施业务、数据优化、安全与隐私等方面的计算需求。在物联网实施零信任架构，可借边缘计算技术，解决终端的身份认证和访问控制，允许身份可信、经过动态授权的物联网设备入网，并动态监测，及时发现并处置假冒、伪造的非法连接。

（1）部署边缘物联接入管理设备

在物联网设备侧部署边缘物联网接入管理设备，接管物联设备的身份管理、权限分配、接入控制等接入管理功能，物联接入管理设备和数据中心联动，在网络边缘处协同使用计算、连接、存储能力，及时处理物联网设备相关请求，控制安全风险范围。

（2）建立物联设备标识管理机制

面对物联网终端主要存在的终端设备仿冒、用户身份仿冒问题，根据物联终端各自不同的特性，可以采用不同的身份标识实施身份鉴别。高可信设备采用可信芯片+可信OS（Operation System,操作系统），直接标识身份；嵌入式设备采用设备标签，如	如移动设备识别码（IMEI）、应用开发商标识符（IDFA）、唯一设备标识码（UDID）等，以及设备外贴RFID电子标签、密码模组等，都可以帮助建立设备身份标识；对于智能程度较低的物联设备，也可以采用设备数字指纹的方式来构建设备标识，解决设备入网身份管理问题。

（3）建立物联设备安全基线库

​ 采用灵活的方式，对物联设备建立安全基线。在物联设备标识管理基础上，综合获取物联设备信息，包括操作系统类别、操作系统版本、涉及敏感数据的APP特征、业务访问记录、行为特征等，运用人工智能深度学习等技术手段，建立安全基线库，帮助快速精准判断设备运行环境是否正常，及时发现被“攻陷”设备。

典型案例：

​ 零信任身份指纹的解决方案，借助边缘物联代理，已进入关键技术突破和实验验证阶段。其核心指导思想是对物联设备建立身份指纹，主体属性（包括：MAC地址、操作系统、端口、协议、服务、厂商）、环境属性（包括：上线时间、IP、接入位置、业务流量大小）和客体属性（包括：所属部门、管理人员、授权时间、授权级别）构成，通过持续主动扫描、被动监听检测、安全接入控制区等方式，对物联终端进行持续信任评估、访问控制，解决物联终端的身份仿冒和恶意访问。

MQTT：（Message Queuing Telemetry Transport消息队列遥测传输）是ISO标准下基于发布/订阅范式的消息协议。它工作在TCP/IP协议族上，是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议，为此，它需要一个消息中间件。

MQTT是一个基于客户端-服务器的消息发布/订阅传输协议。MQTT协议是轻量、简单、开放和易于实现的，这些特点使它适用范围非常广泛。在很多情况下，包括受限的环境中，如：机器与机器（M2M）通信和物联网（IoT），其中，通过卫星链路通信传感器、偶尔拨号的医疗设备、智能家居、及一些小型化设备中已广泛使用。

国内很多企业都广泛使用MQTT作为Android手机客户端与服务器端推送消息的协议。随着移动互联网的发展，MQTT由于开放源代码，耗电量小等特点，将会在移动消息推送领域会有更多的贡献，在物联网领域，传感器与服务器的通信，信息的收集，MQTT都可以作为考虑的方案之一。

MQTT协议是为大量计算能力有限，且工作在低带宽、不可靠的网络远程传感器和控制设备通讯二设计的协议，它具有以下主要的几项特性：

1. 使用发布/订阅消息模式，提供一对多的消息发布，解除应用程序耦合。

2. 对负载内容屏蔽的消息传输。

3. 使用TCP/IP提供网络连接。

4. 有三种消息发布服务质量。

5. 小型传输，开销很小（固定长度的头部是2字节），协议交换最小化，以降低网络流量。

6. 使用Last Will和Testament特性通知有关各方客户端异常中断的机制。

HTTP：（Hyper Text Transfer Protocol超文本传输协议）是一个简单地请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出，二消息内容则具有一个类似MIME的格式。

HTTP是基于客户/服务器模式，且面向连接的。典型的HTTP事务处理有如下的过程：

（1）客户与服务器建立连接

（2）客户想服务器提出请求，（请求格式：统一资源标识符URL、协议版本号，后面是MIME信息包括请求修饰符、客户机信息和可能的内容）

（3）服务器接受请求，并根据请求返回响应的文件作为应答，（其格式为一个状态行，包括信息的协议版本号、一个成功或者错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容）

（4）客户与服务器关闭连接

客户与服务器之间的HTTP连接是一种一次性连接，它限制每次连接只处理一个请求，当服务器返回本次请求的应答后便立即关闭连接，下次请求再重新建立连接。这种一次性连接主要考虑到WWW服务器面向的是Internet中成千上万个用户，且只能提供有限个连接，故服务器不会让一个连接处于等待状态，及时的释放连接可以大大提高服务器的执行效率。

HTTP是一种无状态协议，即服务器不保留与客户交易时的任何状态。大大减轻服务器记忆负担，保持较快响应速度。HTTP是一种面向对象的协议，允许传送任意类型的数据对象，它通过数据类型和长度来标识所传送的数据内容和大小，并允许对数据进行压缩传送。当用户在一个HTML文档中定义了一个超文本链后，浏览器通过TCP/IP协议与指定的服务器建立连接。

从技术上讲，客户在一个特定的TCP端口（端口号一般为80）上打开一套接字。如果服务器一直在这个周知的端口上倾听连接，则该连接便会建立起来，然后客户通过该连接发送一个包含请求方法的请求块。

HTTP规范定义了9种请求方法，每种请求方法规定了客户和服务器之间不同的信息交换方式，常用的请求方法是GET和POST。服务器将根据客户请求完成相应操作，并以应答块形式返回给客户，最后关闭连接。

（五）5G应用

在Gartner行业报告《市场报告：通信服务提供商应对5G安全挑战的策略》中，把纵深防御、持续性和自适应以及零信任安全列为5G安全战略的三大支柱。

1. 5G应用安全风险分析

5G将多样化的应用统一到了一个网络，并且凭借网络切片和边缘计算技术实现网络的划分和对应用的支撑，但是安全需求仍然呈现多样化的特点。5G网络从云、管、边、端多维度引进了安全风险，同时，2G/3G/4G的一些应用风险在5G中仍然存在。基于5G应用架构，对5G应用进行安全风险分析和梳理。

（1）按照网络侧和用户端梳理5G架构下的主要对象，如下表所示：

（2）按照内部和外部梳理5G架构面对的风险来源，如下表所示：

（3）对5G架构下的攻击情况进行梳理，如下表所示：

典型的攻击案例列表如下：

①建立5G统一的身份管理机制

②实现细粒度用户访问控制

③访问控制策略自动化配置

对5G应用的威胁集中在对数据的机密性、完整性、可用性、防抵赖性攻击以及对应用资源和服务身份授权等方向，由于5G应用表现形式的不同，所采用的资源保护方式也有所不同。

2. 基于零信任的5G应用风险消减思路

5G应用面临的安全挑战主要源于开放的5G架构下，攻击面大大增加。5G应用安全建设一支滞后于5G业务建设。梳理影响5G应用安全的关键技术要素如下：

①获取5G网络中用户的唯一永久身份标志（SUPI）加密后的隐藏标识符（SUCI）

②更新后的身份验证和密钥协议（AKA）

③增强完整性的无线接入网数据

④增强密码算法

⑤增强网间连接安全性

⑥增强家庭网络安全控制

⑦基于用户设备数据的虚假基站检测

结合5G应用架构和零信任体系架构方法，可以很有针对性的采取5G风险消减的办法：

（1）建立5G统一的身份管理机制

（2）实现细粒度用户访问控制

（3）访问控制策略自动化配置

文献总结：

基于零信任架构的IoT设备身份认证机制研究 2020

摘要：新型应用场景致使网络安全边界模糊、增加新的暴露面。

三、零信任的实现

云深互联陈本峰谈零信任架构的3大核心技术：https://www.deepcloudsdp.com/news/detail7.html

软件定义边界（SDP）简介：

https://blog.csdn.net/baidu_41700102/article/details/104314375

SDP 软件定义边界：

SDP即“软件定义边界”，是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 旨在使应用程序所有者能够在需要时部署安全边界，以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。

SDP 的体系结构由两部分组成：SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理(请参见下图)。因此，在 SDP 中，控制平面与数据平面分离以实现完全可扩展的系统。此外，为便于扩展与保证正常使用，所有组件都可以是多个实例的。

基于SDP技术构建零信任安全

使用 lstio 服务网格实现零信任网络

https://itnext.io/helping-reach-a-zero-trust-network-using-an-istio-service-mesh-ca4865d46e61

360云盾

https://www.360.cn/n/11512.html

在云端轻松实现零信任安全策略的灵活扩展

https://cloud.51cto.com/art/201504/472271_all.htm

VMware NSX实现零信任

https://blog.csdn.net/z136370204/article/details/97243605

VMware vCenter 6.0 安装及群集配置介绍

https://blog.51cto.com/wzlinux/2094598

创建 vSphere Distributed Switch

https://docs.vmware.com/cn/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-D21B3241-0AC9-437C-80B1-0C8043CC1D7D.html

Toomey说，如何开始零信任之旅零信任可以逐步实施。他说：“第一步是定义您想要实现的业务成果。” “查看您的技术清单，并加以利用。制定一个计划并坚持下去。一位圆桌会议参与者询问采用零信任度是否意味着您必须废弃现有的基础架构。 Toomey回答说，它不会替代现有技术，而是添加到您拥有的技术旁边。供应商可以提供评估工具，以帮助组织确定要保护的最高优先级应用程序。这些将扫描组织的环境，以识别与特权访问相关的现有风险。为了解决这些风险，零信任需要多种技术的结合，例如多因素身份验证，身份和访问管理，特权访问和网络分段。鲁兹说。 Ruetz说，单一登录也很重要，但只是一小部分。行为分析和AI可以通过为身份管理提供上下文来帮助理解不寻常的模式。 Gritter说，有关他们正在访问什么以及流量来自何处的信息可以帮助系统做出授予访问权限的决策。通过开始自动执行过程，这也使身份管理更加容易。 “我们要做的不只是自动化流程，” Gritter补充道。 Ruetz表示：“借助AI和机器学习，我们需要达到一个自治的程度，否则我们将永远跟不上。”没有一家供应商提供完整的零信任解决方案。

腾讯安全发布《零信任解决方案白皮书》

https://mp.weixin.qq.com/s/ZkuR5bDGYpXySUcuROcb7Q

FWKNOP 是 Jonathan Bennett 等推动的一个 SPA开源项目［9］，诞生于 2004 年，最新版本( 2018 年) 可 以支持对 iptables、firewalld( Linux) 、ipfw( FreeBSD 和 Mac OS X) 、PF( OpenBSD) 等防火墙进行调用． Fwknopd 为服务端守护进程，根据客户端发送的 SPA 报 文，完成客户端认证，并根据加密报文的具体内容，执 行服务端临时防火墙策略的生成、删除和连接状态保持．

fwknop教程

https://blog.csdn.net/u010617952/article/details/108757602

单包授权认证（SPA）fwknop之安装和演示

https://blog.csdn.net/he_tao225/article/details/106425229

源代码

https://github.com/mrash/fwknop

单包授权fwknop 强服务隐蔽的综合指南 *使用教程*

http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

权限控制模式：ACL、RBAC、ABAC {GO语言}

https://blog.csdn.net/hukfei/article/details/86631685

在 Go 语言中使用 casbin 实现基于角色的 HTTP 权限控制

https://studygolang.com/articles/12323

四、 区块链与零信任的结合

文献总结

1.使用区块链将零信任架构扩展到端点：一项系统性综述

Augmenting Zero Trust Architecture to Endpoints Using Blockchain: A Systematic Review

摘要：为了在当今的无边界网络中防止横向移动，零信任体系结构（ZTA）的采用正在获得势头。考虑到全面的ZTA实施，对手不太可能从受损的端点开始通过网络传播。但是，可以利用受损端点的已验证和授权会话执行有限的恶意活动，最终使端点成为ZTA的致命弱点。为了有效地检测此类攻击，基于攻击场景的分布式协同入侵检测系统已经被开发出来。尽管如此，高级持久性威胁（APT）已经证明它们能够以高成功率绕过这种方法。因此，对手可以在未被发现的情况下通过或潜在地改变检测日志机制以实现隐蔽存在。最近，区块链技术在网络安全领域展示了可靠的用例。受ZTA和基于区块链的入侵检测和预防的融合的推动，在本文中，我们研究了如何将ZTA扩展到端点。也就是说，我们对ZTA模型、以端点为重点的现实世界体系结构以及基于区块链的入侵检测系统进行了系统回顾。我们讨论了区块链的不变性增强检测过程的潜力、已识别的开放挑战以及可能的解决方案和未来方向。

痛点：随着云计算和基于云的服务的革命，组织或企业的大多数资源和数据不再存储在本地。此外，像新冠病毒这样的流行病极大地改变了工作模式，大多数员工和企业不得不转而在家工作。由于许多“未经培训”的员工使用自己的设备连接到工作IT系统，在家工作（和远程工作）使组织面临新的严重安全风险。

传统问题：基于边界的安全模型中，我们通常假设边界内的组织资源和资产是良性和可信的。一旦攻击者成功控制了这些端点中的任何一个，他们就会进入边界并获得对进一步敏感信息和资产的访问权。此外，在基于边界的安全模型中，组织将无法保护由第三方云服务提供商管理的资产。

文章引用了几篇实现零信任架构的文献：

[13] M. Zhou, L. Han, H. Lu and C. Fu, “Distributed collaborative intrusion detection system for vehicular Ad Hoc networks based on invariant,” Computer Networks, vol. 172, no. 107174, pp. 12-14, 8 May 2020.

[14] W. Li, Y. Wang, Z. Jin, K. Yu, J. Li and Y. Xiang, “g, Challenge-based CollaborativeIntrusion Detection in Software Defined Networking: An Evaluation,” Digital Communications and Networks, vol. 10, no. 1016, pp. 4-6, 19 September 2020.

[15] C. Cunningham, “forrester.com,” Forrester Research, Inc., 27 March 2018. [Online]. Available: https://go.forrester.com/blogs/next-generation-access-and-zero-trust/. [Accessed October 2020].

[16] J. G. Grimes, “acqnotes.com,” June 2007. [Online]. Available: http://www.acqnotes.com/Attachments/DoD%20GIG %20Architectural%20Vision,%20June%2007.pdf. [Accessed October 2020].

[17] R. Ward and B. Beyer, “BeyondCorp: A New Approach to Enterprise Security,” Usenix, vol. 39, no. 6, pp. 6-10, December 2014.

[18] L. Cittadini, B. Spear, B. Beyer and M. Saltonstall, “BeyondCorp: The Access Proxy,” Security, vol. 41, no. 4, pp. 28-33, 2016.

一旦网络位置依赖变得无关，虚拟专用网（VPN）技术就可以被消除。简言之，VPN允许远程工作的用户A通过安全加密通道连接到办公室B。更准确地说，从A到B的隧道是加密的，但是，作为端点的A和B是无关的，应该通过其他方式进行保护，因为VPN加密仅指A到B隧道本身。当用户A通过身份验证且隧道成功建立时，他/她在远程网络B上接收到IP地址。此外，在该隧道上，从点A到网络B的流量被解除封装并路由，因此导致“正式”后门。因此，如果我们开始将网络位置视为不相关的，同时应用一组适当的控制以及现代体系结构，那么只要没有进一步的依赖关系（例如，使用遗留协议的应用程序），就可以消除VPN。这就是说，身份验证和授权以及策略执行应该立即尽可能地移动到网络边缘。