零信任技术-OpenNHP ¶
OpenNHP 是一款工作在 OSI/Session Layer 会话层的网络资源隐身协议,旨在针对未经授权的用户隐藏企业内部网络资源。其工作原理是,所有内部资源都预设了一个 deny all 的访问控制规则,针对经过认证的用户下发一条短效的通行规则。
局限性 ¶
- 不提供远程访问的承载网络,只有访问控制,也就是说,如果还要提供远程访问内网的能力,还需要引入其他组件,比如反代系统,VPN系统等
- 不提供无感自动认证,也就是说:你可能在发现无法访问时,才会意识到没有进行认证
- 因此这个东西感觉还是需要和其他系统配合,比如作为VPN的一个组件。VPN认证了以后,直接把NHP一起认证了,并使用VPN管理连接心跳,也保持连通性。
- 系统有点过于极客了,普通用户使用体验不好,解决方法如上
当然也可以将内部资源都接入到一台或多台网关系统上,针对网关设备下发访问控制。
部署/Deployment ¶
OpenNHP supports multiple deployment models to suit different use cases:
- Client-to-Gateway: Secures access to multiple servers behind a gateway
- Client-to-Server: Directly secures individual servers/applications
- Server-to-Server: Secures communication between backend services
- Gateway-to-Gateway: Secures site-to-site connections
组件 ¶
文档 ¶
https://docs.opennhp.org/deploy/
项目为 Apache2.0 开源
https://github.com/OpenNHP/opennhp
评论
请登录后发表评论。
暂无评论。成为第一个评论者!