信息安全是当今数字业务的核心关注的问题。ZeroNews 持续关注并致力于提升用户的数据传输安全。本次更新,我们特别引入了 TLS 终止能力,为企业提供一种更高级别的、自主掌控加密密钥的数据保护选项。
不同数据传输安全模型
● HTTP 映射: 这是基础的内网穿透方式。用户创建 HTTP 映射后,数据在公网传输时通常为明文。对于涉及敏感信息(如登录凭证、支付信息)的系统,明文传输存在潜在风险。这也是为什么主流平台普遍采用 HTTPS (基于 TLS 的 HTTP) 进行加密的原因。使用内网穿透服务时,证书和私钥由谁管理、如何管理,是安全性的关键考量点之一。
● 传统(服务商管理)TLS: 常见做法是服务商为用户生成或托管证书及私钥。这种模式简化了用户操作,但也意味着服务商在技术上拥有访问加密数据的可能性。如果服务商的安全措施存在漏洞或遭遇严重攻击,理论上存在私钥泄露的风险,可能导致企业数据被解密。这促使部分对数据主权要求极高的企业寻求更自主的解决方案。
● ZeroNews TLS 终止 + 企业自持私钥: 该模式旨在解决上述关于密钥控制权的顾虑。其核心原理是:
○ 私钥 100% 企业自有: ZeroNews 不触碰、不存储 您的私钥。
○ 加解密在可控边界完成: 数据传输之前已进行加密,传输隧道仅负责“搬运”。
○ 实现条件: 需要使用企业自有域名 并自行配置和管理该域名的 TLS 证书(支持 DigiCert、GlobalSign 等主流 CA 颁发的证书)。[详情可参阅配置指南:ZeroNews V2.1.4 震撼更新!自定义域名服务重磅上线]
TLS 终止模式详解与操作
ZeroNews 提供两种 TLS 终止位置选择,适应不同架构需求:
1. 在 ZeroNews Agent 终止:
a. 原理: 由用户自行管理证书,在 Agent 本地配置要终止 TLS 流量的域名证书, 完成对用户访问的TLS流量进行解密,并将解密后的流量转发至用户内网服务,同时将内网服务响应的流量进行加密转发。
b. 配置要求:
i. 您需要在 ZeroNews 平台为该自有域名上传完整的 TLS 证书链(公钥证书)和对应的私钥证书。
ii. 注:平台也支持自动签发证书无需手动上传。
2. 在上游服务终止:
a. 原理: 始终由用户自行管理证书,ZeroNews 对证书不可见,TLS流量在用户上游服务(如Nginx/Apache)进行加解密,ZeroNews边缘网络及Agent仅作为流量透传,全程不接触明文数据,对数据不可见,实现端到端的安全加密转发。
b. 配置要求:
i. 无需在 ZeroNews 平台上传任何证书。证书完全由您在自己的『服务器』上配置和管理。
操作步骤简述:
1. 添加并配置自定义域名: 在 ZeroNews 平台添加您的自有域名,并配置其用于 HTTPS (端口 443)。(注意:此步骤仅为域名绑定,TLS 证书配置取决于后续选择的终止模式)。
2. 创建 TLS 映射: 在自定义映射页面,点击“创建映射”。
3. 配置映射参数:
a. 选择目标设备 (Agent)。
b. 协议选择 TLS。
c. 公网访问地址:选择第一步配置好的域名。
d. 输入内网目标 IP 及端口。
e. 关键选择:TLS 终止位置 (选择“在 ZeroNews Agent 终止” 或 “在上游服务终止”)。
f. 点击“创建”。
重要注意事项:
● 证书处理原则:
○ 上游服务终止模式: 无需在 ZeroNews 平台操作证书。
○ Agent 终止模式: 若选择手动上传证书,必须提供包含完整信任链的公钥证书文件以及对应的私钥文件。
● 端口冲突规避: 同一个自有域名(HTTPS:443)不能同时创建 HTTPS 协议的映射和 TLS 终止映射。
TLS 终止的价值与挑战
● 核心价值: TLS 终止模式的核心优势在于将加密数据的最终控制权(私钥)完全交还企业自身。ZeroNews 仅提供加密数据的传输通道。这为处理极度敏感数据的场景(如核心支付系统、高机密通信)提供了更高层级的数据主权保障。
● 适用场景: 该模式特别适合对数据加密密钥控制有严格合规要求或极高安全需求的大中型企业和团队。这些组织通常拥有更强的资源来应对随之而来的管理复杂度。
● 伴随的挑战: 选择完全自主管理密钥也意味着企业需承担相应责任:
○ 证书全生命周期管理: 企业需自行负责证书的申请、购买(如适用)、安装、配置、续期、吊销和轮换。这个过程涉及公私钥基础设施(PKI)的理解和维护,具有一定复杂性和运维负担。
○ 应对协议演进: TLS 协议本身会不断更新(如从 TLS 1.2 到 TLS 1.3)。企业需要关注这些变化,并确保自身环境(包括可能使用的『负载均衡』器、Web 『服务器』等)及时升级以支持新版本、淘汰不安全的旧版本,维持安全性和兼容性。
总结:
TLS 终止能力,本质上是将数据“保险箱”的钥匙(私钥)完全交由您自己保管,ZeroNews 则专注于安全地“护送”这个已上锁的保险箱(通过加密隧道传输数据)。
请注意: 使用此功能必须配合企业自有域名,不支持独立使用。它并非适用于所有内网穿透场景的通用方案,而是为具有特定高安全需求、且具备相应证书管理能力的企业提供的一种增强型安全选择。
内网穿透解决方案应兼顾安全性与实用性。ZeroNews 提供包括 HTTPS 映射、服务商管理 TLS 以及企业自持私钥 TLS 终止在内的多种安全层级选项,以满足不同场景和用户能力的需求。企业可根据自身业务敏感度、合规要求和运维资源,选择最适合的“专业级”方案。
即刻体验 ZeroNews,为您的关键业务数据流选择恰当的安全保障!
