現階段，零信任將和傳統VPN並存（主要受限於機構進行零信任改造、升級的速度）；長遠看，零信任解決方案將會替代傳統VPN的全部功能和適用場景，部分傳統VPN產品可能會根據零信任理念擴充套件升級成為零信任的核心元件（這種情況下，VPN原始的概念實際已不存在）。

零信任與VPN概念內涵的區分

VPN提供了一種在公共網路上建立專用資料通道的技術。包含兩層含義：一是“虛擬”，即並不存在一個端到端的物理通訊鏈路，而是在公共網路上建立一個邏輯上的專用網路；二是“專用”，強調私有性和安全性。VPN是對企業內網的延伸，透過VPN可幫助企業分支機構、遠端使用者、外部合作伙伴等與企業內部網路建立安全的網路連線，實現安全保密通訊。

零信任是一種行業上新的安全理念和多種相關技術的概括性叫法。零信任的基本目標是防止未經授權情況下的資源訪問，其高階目標是降低資源訪問過程中的所有安全風險，所以零信任是一種網路安全防護/保護理念。

從概念和安全目標（企業急需解決的問題）可以看出，相較VPN,零信任對於企業目標的滿足度更高：VPN側重於解決不可信鏈路上的安全通訊問題；零信任架構在確保鏈路安全可信之餘，核心解決端到端的安全防護、訪問控制許可權等問題。

易迷惑點

VPN與零信任最令人迷惑的地方有兩點，一是VPN和零信任都須解決一定安全問題，二是VPN和零信任都適用於遠端辦公場景。因此很多人認為零信任和VPN是完全等同的關係。其實不然。

核心技術點分析

VPN的關鍵技術是隧道技術，透過對通訊資料的封裝和解封裝，實現資料的透明、安全傳輸。根據隧道所在的網路層次，可分為二層、三層、應用層隧道協議。常見的二層隧道協議包括PPTP、L2TP，三層隧道協議包括GRE、IPsec，應用層隧道協議SSL VPN等。VPN一般會和使用者身份認證（通常基於口令、基於數字證書等）技術結合使用。一旦鑑權透過，VPN即預設“信任”所有內部訪問流量，無持續動態監測使用者安全狀態。

零信任的核心技術涉及較多，包括身份認證（使用者/裝置/應用/程式、MFA等）、訪問控制（基於安全評估而非僅僅依賴傳統的基於使用者角色、基於靜態屬性、基於網路位置等因素）、持續安全驗證（包括身份認證、訪問控制、通道安全、端側安全、服務側安全等）、自動化（策略自適應、安全評估AI化等）、裝置和資產管理等。零信任安全基於“持續驗證、永不信任”的安全設計原則，對使用者身份和行為進行動態授權，預設任何流量“不可信”。

應用場景分析

VPN通常被需要將遠端工作者或位置連線到更集中的專用網路的組織所使用。這可以包括公共雲中的虛擬私有云。當一個組織發展迅速，無法負擔像SD-WAN這樣儘可能避免公共網際網路的網路解決方案時，使用VPN是一種低資本支出的選擇。然而，傳統網路、虛擬專用網路和非軍事區架構用來建立訪問的iP地址和網路位置通常被配置為允許過多的隱式信任和未修補的漏洞，從而使企業面臨遭受攻擊的風險。

零信任理念主要闡述了以動態訪問控制為核心的企業內部安全框架。它可以有較多靈活的應對多種安全場景。包括無邊界辦公/運維場景、多雲多通道的安全訪問和伺服器運維、企業網路對外訪問入口的安全防護應用、跨境跨運營商辦公加速等。

總結

雖然零信任和VPN是不同維度的概念，但在業界經常拿兩者進行比較。現在市場中也出現了基於零信任理念的VPN產品，基本上把零信任安全代理（見圖1）的能力在傳統VPN的基礎上做了升級和擴充套件。

零信任架構

隨著機構零信任的改造和升級工作深入，傳統VPN將逐步被淘汰，據Gartner預測到2023年將有60%的VPN被零信任取代。下表（圖2）是《零信任實戰白皮書》中對VPN和零信任的比較，供大家參考。

VPN對比零信任

附-騰訊零信任iOA介紹：

2016年，騰訊在國內率先落地零信任安全架構；2019年騰訊率先牽頭在CCSA立項“零信任安全技術參考框架”行業標準和“服務訪問過程持續保護參考框架” ITU-T國際標準。2020年6月，騰訊安全釋出《零信任解決方案白皮書》，同年騰訊聯合幾十家權威機構成立國內首個“零信任產業標準工作組”，在業界首次釋出《零信任實戰白皮書》，推動零信任系列產品、技術標準的研究與產業化落地。

騰訊iOA解決方案示意