信息安全是當(dāng)今數(shù)字業(yè)務(wù)的核心關(guān)注的問題。ZeroNews 持續(xù)關(guān)注并致力于提升用戶的數(shù)據(jù)傳輸安全。本次更新，我們特別引入了 TLS 終止能力，為企業(yè)提供一種更高級別的、自主掌控加密密鑰的數(shù)據(jù)保護(hù)選項。

不同數(shù)據(jù)傳輸安全模型

● HTTP 映射： 這是基礎(chǔ)的內(nèi)網(wǎng)穿透方式。用戶創(chuàng)建 HTTP 映射后，數(shù)據(jù)在公網(wǎng)傳輸時通常為明文。對于涉及敏感信息（如登錄憑證、支付信息）的系統(tǒng)，明文傳輸存在潛在風(fēng)險。這也是為什么主流平臺普遍采用 HTTPS (基于 TLS 的 HTTP) 進(jìn)行加密的原因。使用內(nèi)網(wǎng)穿透服務(wù)時，證書和私鑰由誰管理、如何管理，是安全性的關(guān)鍵考量點(diǎn)之一。

● 傳統(tǒng)（服務(wù)商管理）TLS： 常見做法是服務(wù)商為用戶生成或托管證書及私鑰。這種模式簡化了用戶操作，但也意味著服務(wù)商在技術(shù)上擁有訪問加密數(shù)據(jù)的可能性。如果服務(wù)商的安全措施存在漏洞或遭遇嚴(yán)重攻擊，理論上存在私鑰泄露的風(fēng)險，可能導(dǎo)致企業(yè)數(shù)據(jù)被解密。這促使部分對數(shù)據(jù)主權(quán)要求極高的企業(yè)尋求更自主的解決方案。

● ZeroNews TLS 終止 + 企業(yè)自持私鑰： 該模式旨在解決上述關(guān)于密鑰控制權(quán)的顧慮。其核心原理是：

○ 私鑰 100% 企業(yè)自有： ZeroNews 不觸碰、不存儲 您的私鑰。

○ 加解密在可控邊界完成： 數(shù)據(jù)傳輸之前已進(jìn)行加密，傳輸隧道僅負(fù)責(zé)“搬運(yùn)”。

○ 實(shí)現(xiàn)條件： 需要使用企業(yè)自有域名 并自行配置和管理該域名的 TLS 證書（支持 DigiCert、GlobalSign 等主流 CA 頒發(fā)的證書）。[詳情可參閱配置指南：ZeroNews V2.1.4 震撼更新！自定義域名服務(wù)重磅上線]

TLS 終止模式詳解與操作

ZeroNews 提供兩種 TLS 終止位置選擇，適應(yīng)不同架構(gòu)需求：

1. 在 ZeroNews Agent 終止：

a. 原理： 由用戶自行管理證書，在 Agent 本地配置要終止 TLS 流量的域名證書， 完成對用戶訪問的TLS流量進(jìn)行解密，并將解密后的流量轉(zhuǎn)發(fā)至用戶內(nèi)網(wǎng)服務(wù)，同時將內(nèi)網(wǎng)服務(wù)響應(yīng)的流量進(jìn)行加密轉(zhuǎn)發(fā)。

b. 配置要求：

i. 您需要在 ZeroNews 平臺為該自有域名上傳完整的 TLS 證書鏈（公鑰證書）和對應(yīng)的私鑰證書。

ii. 注：平臺也支持自動簽發(fā)證書無需手動上傳。

2. 在上游服務(wù)終止：

a. 原理： 始終由用戶自行管理證書，ZeroNews 對證書不可見，TLS流量在用戶上游服務(wù)（如Nginx/Apache）進(jìn)行加解密，ZeroNews邊緣網(wǎng)絡(luò)及Agent僅作為流量透傳，全程不接觸明文數(shù)據(jù),對數(shù)據(jù)不可見，實(shí)現(xiàn)端到端的安全加密轉(zhuǎn)發(fā)。

b. 配置要求：

i. 無需在 ZeroNews 平臺上傳任何證書。證書完全由您在自己的服務(wù)器上配置和管理。

操作步驟簡述：

1. 添加并配置自定義域名： 在 ZeroNews 平臺添加您的自有域名，并配置其用于 HTTPS (端口 443)。（注意：此步驟僅為域名綁定，TLS 證書配置取決于后續(xù)選擇的終止模式）。

2. 創(chuàng)建 TLS 映射： 在自定義映射頁面，點(diǎn)擊“創(chuàng)建映射”。

3. 配置映射參數(shù)：

a. 選擇目標(biāo)設(shè)備 (Agent)。

b. 協(xié)議選擇 TLS。

c. 公網(wǎng)訪問地址：選擇第一步配置好的域名。

d. 輸入內(nèi)網(wǎng)目標(biāo) IP 及端口。

e. 關(guān)鍵選擇：TLS 終止位置 (選擇“在 ZeroNews Agent 終止” 或 “在上游服務(wù)終止”)。

f. 點(diǎn)擊“創(chuàng)建”。

重要注意事項：

● 證書處理原則：

○ 上游服務(wù)終止模式： 無需在 ZeroNews 平臺操作證書。

○ Agent 終止模式： 若選擇手動上傳證書，必須提供包含完整信任鏈的公鑰證書文件以及對應(yīng)的私鑰文件。

● 端口沖突規(guī)避： 同一個自有域名（HTTPS:443）不能同時創(chuàng)建 HTTPS 協(xié)議的映射和 TLS 終止映射。

TLS 終止的價值與挑戰(zhàn)

● 核心價值： TLS 終止模式的核心優(yōu)勢在于將加密數(shù)據(jù)的最終控制權(quán)（私鑰）完全交還企業(yè)自身。ZeroNews 僅提供加密數(shù)據(jù)的傳輸通道。這為處理極度敏感數(shù)據(jù)的場景（如核心支付系統(tǒng)、高機(jī)密通信）提供了更高層級的數(shù)據(jù)主權(quán)保障。

● 適用場景： 該模式特別適合對數(shù)據(jù)加密密鑰控制有嚴(yán)格合規(guī)要求或極高安全需求的大中型企業(yè)和團(tuán)隊。這些組織通常擁有更強(qiáng)的資源來應(yīng)對隨之而來的管理復(fù)雜度。

● 伴隨的挑戰(zhàn)： 選擇完全自主管理密鑰也意味著企業(yè)需承擔(dān)相應(yīng)責(zé)任：

○ 證書全生命周期管理： 企業(yè)需自行負(fù)責(zé)證書的申請、購買（如適用）、安裝、配置、續(xù)期、吊銷和輪換。這個過程涉及公私鑰基礎(chǔ)設(shè)施（PKI）的理解和維護(hù)，具有一定復(fù)雜性和運(yùn)維負(fù)擔(dān)。

○ 應(yīng)對協(xié)議演進(jìn)： TLS 協(xié)議本身會不斷更新（如從 TLS 1.2 到 TLS 1.3）。企業(yè)需要關(guān)注這些變化，并確保自身環(huán)境（包括可能使用的負(fù)載均衡器、Web 服務(wù)器等）及時升級以支持新版本、淘汰不安全的舊版本，維持安全性和兼容性。

總結(jié)：

TLS 終止能力，本質(zhì)上是將數(shù)據(jù)“保險箱”的鑰匙（私鑰）完全交由您自己保管，ZeroNews 則專注于安全地“護(hù)送”這個已上鎖的保險箱（通過加密隧道傳輸數(shù)據(jù)）。

請注意： 使用此功能必須配合企業(yè)自有域名，不支持獨(dú)立使用。它并非適用于所有內(nèi)網(wǎng)穿透場景的通用方案，而是為具有特定高安全需求、且具備相應(yīng)證書管理能力的企業(yè)提供的一種增強(qiáng)型安全選擇。

內(nèi)網(wǎng)穿透解決方案應(yīng)兼顧安全性與實(shí)用性。ZeroNews 提供包括 HTTPS 映射、服務(wù)商管理 TLS 以及企業(yè)自持私鑰 TLS 終止在內(nèi)的多種安全層級選項，以滿足不同場景和用戶能力的需求。企業(yè)可根據(jù)自身業(yè)務(wù)敏感度、合規(guī)要求和運(yùn)維資源，選擇最適合的“專業(yè)級”方案。

即刻體驗(yàn) ZeroNews，為您的關(guān)鍵業(yè)務(wù)數(shù)據(jù)流選擇恰當(dāng)?shù)陌踩Ｕ希?br />
審核編輯 黃宇