什么是TLS
为保证流量在公网上传输的安全性(该安全性我们通常理解为不可篡改性及不可窥探性), IETF(国际互联网工程任务组) 提出并标准化了一套加密措施, 该措施发展至今我们称之为TLS(Transport Layer Security - 传输层安全协议), 该协议保证HTTP请求发起方的请求在到达自身服务器时不会被第三方恶意窥探及恶意篡改, 截止到目前,最新标准在RFC 8446中记录
ZeroNews 如何提供TLS能力
我们高度重视用户在公网环境中的数据安全,ZeroNews TLS 模块对IETF提出的加密标准提供全面支持
ZeroNews 边缘节点模块处理TLS流量
在默认情况下,ZeroNews会对所有用户(免费套餐 / 付费套餐)的HTTP流量基于TLS1.3(最新加密版本)进行加密处理,在此场景中,你无需自身去处理和证书以及安全相关的繁琐步骤(如申请证书,配置证书,配置nginx,定期续签证书等),ZeroNews边缘节点会在用户无感的情况下自动处理好相关的TLS安全工作, 在此阶段中,作为用户将获得:
1. 证书的自动申请与自动配置 ✅
2. HTTP请求流量的证书合法性验证 ✅
3. 所有进出口流量的加密传输 ✅
4. 证书的实时监控及自动续期 ✅
5. ZeroNews始终对TLS各项标准及规范进行追踪及实现,对各种网络漏洞进行实时更新及优化 ✅
6. 更好的访问速度和性能,ZeroNews使用了全国级别的负载均衡器,会始终将您的客户端引导到离您最近的边缘节点中,由于TLS握手需要多次往返请求,所以客户端和节点之间的距离越近,意味着效率越高 ✅
7. ZeroNews所有高级特性可支持配置✅
当流量在 ZeroNews 边缘节点完全验证完毕并完成合法性校验之后,对应的流量会通过 ZeroNews 内部私有的加密隧道传输进您的内网环境,ZeroNews同样保证该加密隧道的安全
由于ZeroNews将整个流程全部自动化,且针对所有用户开放,所以对于开发者或者团队而言,这是0感知的,这也意味着会大大降低团队的 运维成本 及 时间成本, 同时也释放运维团队对网络安全领域的关注压力, 同时因为配置的便捷性,用户无需对网络/编程等相关知识有积累, 0理解成本即可获得企业级的安全特性
ZeroNews TLS Terminate Policy
除了为所有用户提供默认开箱即用自动化的TLS安全保障之外, ZeroNews TLS Terminate Policy 带来了更多的可能性, 该策略支持用户根据自身需求在整个流量传输的任意位置处理TLS流量加解密
在 ZeroNews agent客户端 处理TLS流量
如果您选择在ZeroNews agent 客户端侧处理tls流量(官方术语为 Agent TLS终止), 即ZeroNews网络层(边缘节点)无法看到经过您映射的真实数据内容,而是会将加密流量直接传输给您部署在内外的ZeroNews agent, 由ZeroNews agent处理TLS流量的解密验证工作,这种方式需要提供一些额外配置,我们在官方文档中有对该模式进行详细配置指引
在该阶段下, 作为用户将额外获得:
更高级别的端到端(e2e)加密方式,在公网的任何模块(包括ZeroNews云端网络)都无法解析您的加密流量 ✅
作为隐私级别更高一层的TLS终止模式,由于ZeroNews无法解析您的任何数据(包括请求头),所以部分ZeroNews高级特性将失效 ,如basic auth, HTTP header等,因为这类特性需要ZeroNews在边缘节点处解密您的请求头从而验证一些信息
在内网服务处理TLS流量
如果您选择在您的内网服务终止TLS, 这种方式是将端到端的概念进一步延伸,在这个阶段中,证书/私钥及所有安全相关的工作将全权由用户接管,ZeroNews 云端网络及ZeroNews 内网agent 均无法解析您的任何请求内容, 这意味着,您的内网服务必须完全具备独立处理网络安全相关的能力,且ZeroNews高级特性将同样处于不可用状态, 在此阶段中,作为用户将额外获得:
权威级别的e2e加密方式,所有的加密数据包只有用户自身内网服务可以解开,其他任何阶段均是不可见状态 , ZeroNews 云端节点及ZeroNews agent只会转发加密数据包 ✅
在何时使用何种终止策略?
ZeroNews 会尽可能让TLS相关的配置对用户来说尽可能的简单,但是我们同样也希望当用户在特殊场景下有需求时,您可以根据您的网络架构来精确设置TLS终止场景,如果您在使用TLS的过程中有任何问题,可以咨询官方客服获得技术支持,同时我们根据用户反馈和数据分析,给出一些场景的使用建议,可供您参考:
- 针对一些内网的web站点或者打算对c端提供服务的应用程序,同时希望解放团队在网络运维上的压力时,我们建议直接在ZeroNews云端节点终止即可,此方式不会产生任何额外配置,也无需有任何心智负担,ZeroNews会保障您整个应用程序在网络层面的安全性和可靠性
- 针对一些特殊的文件资源,如律师文件,合同文件,及其他敏感内容的共享,在常规情况下,您依旧可以信任ZeroNews云端节点的处理能力,如您仍有顾虑,可以考虑我们的basic auth 及IP Policy 高级特性来进一步提高您服务的访问限制范围
- 针对政府及高校或者其他特殊企业机构,我们强烈建议使用TLS终止 + IP Policy 来最高程度保障整个数据的隐私性及访问隔离性
