零信任网络的实现思路-2

        如果大家已经看过“零信任网络的实现思路”，那么这篇文章我们聊一聊如何更好的优化这个网络架构，以达达到更高的安全效果。

        如下图，代表的初步的零信任网络环境和进一步优化的零信任网络环境。

        在进一步优化的零信任网络环境中，具有真实业务的服务器环境可以部署在一个非暴露到公网（不具有公网IP）的内部网络环境中，这种方式可以更大限度的保障业务所在服务器的网络安全。

        改进之处在于，当安全端口收到来之客户端的请求时，能够识别出真真的服务是有哪个对应的安全应用客户端进行代理的，而不是如同原架构，由安全端口直接进行访问。

        在这种逻辑下，安全端口将寻找到能够代理对应应用请求的安全应用客户端，并把请求发送给对应的安全应用客户端，而后再有安全应用客户端向真真的业务应用发起请求，并把请求的返回的数据进行对应的返回，进而一路返回到浏览器，最终进行了功能的实现。

        整个优化过程，其实就是把真实业务从安全服务端口所在的网络环境进行了剥离，并且可以剥离到一个非暴露到公网的环境中去，从而最大限度的保障了业务数据所在环境的安全。

        基于上述架构，我们可以把一些标准的服务进行上述流程的暴露，而对开发的应用方则完全忽视了这种部署进行调用。如可以把数据库的端口通过安全环境暴露，而在各个业务端（可以跨机器、跨网络）则可无感的访问对应的数据库，整个数据可以流转在公网上，并且基于一些加密机制，它的数据是无法破解的，这就是SDWAN（Software-Defined Wide Area Network）。

        如果在这个基础上需要再加一层保护，可以再在底层附加一层VPN网络，进而更好的保护整个应用的网络安全。