Pangolin

Pangolin 是什么？

Pangolin 是一款零信任访问平台，提供基于身份的访问控制，支持应用和基础设施。它被定位为“优于现有 VPN”，通过身份和设备安全检查来允许访问特定资源。

该平台安装在用户设备上，建立直接 WireGuard® 隧道，连接本地、云端和边缘的远程环境。访问决策通过基于身份和上下文的规则强制执行。

主要特性

• 基于身份的访问控制，支持应用和基础设施：用户仅能访问其被授权的内容，基于身份而非单纯网络位置。
• 每步进行设备和用户安全检查：Pangolin 在访问过程中评估身份和设备安全，帮助降低风险，同时保持流畅的用户体验。
• 用户设备直连 WireGuard® 隧道：Pangolin“安装在用户设备上”，并建立到远程环境的直接加密隧道。
• 通过安装的连接器穿越任意防火墙：用户可通过部署在现有网络边界后的连接器进行连接。
• 集中管理应用级访问规则：平台支持针对特定应用的基于身份和上下文规则强制执行。

如何使用 Pangolin

1. 部署 Pangolin 组件，确保防火墙后有连接器可用，用户设备可运行 Pangolin。
2. 使用现有身份连接用户，使访问决策基于身份。
3. 为特定应用定义访问规则，使用基于身份和上下文的策略。
4. 允许用户通过 WireGuard® 隧道访问远程环境，途中执行身份和设备安全检查。

使用场景

• 授予自托管应用的受控访问：允许用户通过基于身份和上下文的规则访问特定内部应用，而非宽泛的网络访问。
• 跨本地、云端和边缘的安全远程访问：使用相同的 WireGuard® 隧道方式访问不同环境中的资源。
• 替换或补充 VPN 式工作流：通过聚焦应用级权限和集中管理访问策略，提供“更好 VPN”式的访问路径。
• 减少节点级 ACL 管理的运营开销：针对每个节点管理 ACL 操作繁重的情况，通过集中管理应用级访问来解决。
• 需要快速部署的 IT 和安全 rollout：采用“易于部署”的模型，无需依赖漫长的专业服务介入（如提供的推荐摘录所述）。

常见问题

• Pangolin 是 VPN 吗？ Pangolin 被描述为“更好的 VPN”，使用用户设备到远程环境的 WireGuard® 隧道，但它也被明确定位为专注于基于身份、应用级访问的零信任访问平台。

• “任意防火墙后的连接器”是什么意思？ 网站提到 Pangolin 使用“易于部署的任意防火墙后连接器”，表示您可以将连接器置于现有网络边界内，用户可通过它连接。

• 用户可从哪些设备访问（设备类型）？ 平台列出支持 macOS, iOS, Windows, Linux, 和 Android，意味着用户可在这些设备平台运行 Pangolin。

• Pangolin 如何决定用户是否可访问应用？ 它在每步检查用户身份和设备安全，并强制执行基于身份和上下文的规则，以访问特定应用。

• Pangolin 是自托管还是云端？ 网站提到云端和自托管选项，但摘录中未提供进一步部署细节。

替代方案

• Tailscale（身份感知访问的 mesh VPN）：一种相邻的安全连接方法，使用基于 WireGuard 的技术，通常专注于设备到设备访问和身份集成。
• Zscaler（安全访问 / ZTNA 风格平台）：零信任访问/安全网关的不同类别，通常聚焦于网络边缘的 Web/应用访问策略，而非设备端隧道模型。
• 其他集成身份的 VPN：传统 VPN 产品结合身份提供商可提供安全远程访问，但可能更注重网络访问，而非应用级、身份与上下文感知策略。
• 通用零信任访问网关：零信任访问领域的替代方案通常旨在使用身份和策略控制资源访问，在执行位置（客户端 vs. 网关）和访问策略管理方式上有所差异。