私はISVとして、顧客のLAN内に複数のIoTデバイス(Androidベース)を持っています。
私のIoTデバイスはLAN上の何にも触れず、単に顧客のAPIコールに応答し、クラウドサーバーから情報を返します。
顧客はZero Trustネットワークに移行し始めており、私たちはIoTデバイスの追加機能を増やすたびにさまざまなエンドポイントへのトラフィックを許可するためにファイアウォール管理者に依頼し続けています。
質問:もし私のIoTデバイスがVPN(制御可能)に単一のTCPポートを通じて接続できる場合、それは継続的なアップグレード/ポート許可の問題を解決し、さらには顧客のZero Trust環境を強化することになるでしょうか?
VPNはあなたが今直面している継続的なアップグレード/ポート許可の問題を解決しますが、顧客のZero Trust環境を強化することにはなりませんし、彼らの全体的なゼロトラスト姿勢にとって間違った方向への一歩だと思います。
Zero Trustモデルは従来の境界モデルの反対で、ネットワーク/ゾーン内部のものは信頼されているとするものです。VPNは単に異なる境界を作るだけで、そこでは事柄が信頼されていることになり、あなたの顧客にはわかりにくいかもしれません。
CloudflareトンネルやAPIゲートウェイのようなものを検討してください。これらはVPNではできないようなアイデンティティとアクセスポリシーにより良く結びつけることができます。Tailscaleもチェックしてみてください。これはVPNですが、その上にかなり良いアイデンティティとアクセス制御を構築しています。」},{
最初の2つのポイントには完全に同意します。製品のおすすめとしては、NetFoundry / OpenZitiを提案します。前者は製品で、後者はNFが構築・保守しているオープンソースです - https://openziti.io/。NF / ZitiはCloudflareやTailscaleといくつか類似点がありますが、その範囲を超えてゼロトラスト原則をより良く支持し、製品/ MSPプロバイダーをサポートし、埋め込みシナリオ(この場合はおそらくKotlin SDKやAndroidトンネラーを使用してOSにロードすることも含む)にも対応しています。
Tailscaleと比較した詳細については、各ツールの長所を公平に比較したこのブログを書きました - https://netfoundry.io/vpns/tailscale-and-wireguard-versus-netfoundry-and-openziti/。