零信任？？？？

远程办公的场景越来越多，传统的VPN方式已经不能满足业务和安全需求，这里先记录几个名词，后续有时间研究研究

SPA & fwknop & SDP & Pomerium & IAP & Traefik & KeyCloak & Casbin & ORY Oathkeeper

零信任就是在默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证

根据某零信任架构白皮书，实现零信任架构的三大技术"SIM"

1. SDP，软件自定义边界

2. IAM，身份权限管理

3. MSG，微隔离

MSG主要是应对内网安全，减少内网横向攻击的风险，这里还是以替代VPN方案来说吧，计划弄成keycloak +pomerium，当然，如果有客户端能力可以做一个SPA，也就是SDP

keycloak 是开源IAM系统，看文档 https://www.keycloak.org/

pomerium 是IAP（身份感知代理）网关，身份感知代理利用细粒度的用户身份验证和授权方法，提供对特定应用的安全访问，看文档 https://www.pomerium.com/docs/

https://www.justauth.cn/  第三方登录开源库

已经有大佬把keycloak-justauth集成好了 https://github.com/yanfeiwuji/keycloak-justauth

fwknop是一个开源的单包授权（端口敲门）的项目，单包授权（端口敲门）又是SDP关键技术，https://github.com/mrash/fwknop

原文始发于微信公众号（Pa55w0rd）：零信任？？？？