OpenZiti

Обзор

OpenZiti — бесплатная open-source платформа для создания собственных zero-trust overlay-сетей. Альтернатива классическим VPN: сервисы остаются невидимыми для интернета, порты открывать не нужно, каждый запрос проходит аутентификацию и авторизацию.

Сценарии использования

• Удалённый доступ к домашней инфраструктуре — вход к NAS, серверам, камерам без проброса портов на роутере
• Защита legacy-приложений — подключение веб-серверов и сервисов через туннелеры без изменения кода
• Нативная интеграция в приложения — встраивание SDK для zero-trust доступа «из коробки»
• IoT и edge-устройства — соединение распределённых датчиков, контроллеров и промышленных систем
• Микросервисная архитектура — шифрованные каналы между сервисами в Kubernetes и облаках
• Приватный обмен файлами и бэкапы — передача данных между площадками без публичного IP

Архитектура

• Controller — управляющая плоскость: хранит идентичности, политики, сервисы и топологию сети
• Edge Routers — маршрутизаторы данных, формируют зашифрованный mesh между узлами. Работают только на исходящих подключениях
• Туннелеры — ziti-edge-tunnel и ziti-tunneler для подключения legacy-приложений без модификации
• SDK — библиотеки для Go, C, Python, Java, Swift, .NET. Позволяют встроить zero-trust прямо в приложение

Особенности

• Нет входящих портов — все соединения инициируются наружу, используется взаимная TLS-аутентификация (mTLS)
• Идентификация вместо IP — доступ привязан к криптографическим идентичностям, а не к адресам
• End-to-end шифрование — данные зашифрованы от клиента до сервиса на всех уровнях
• Кроссплатформенность — Linux, Windows, macOS, Android, iOS, Kubernetes, Raspberry Pi
• Полная автономность — развёртывание на своих серверах, без зависимостей от облачных провайдеров
• API и CLI — автоматизация через REST API и командную строку

Аналоги и отличия

• Tailscale / Headscale — проще в настройке, но это mesh VPN с привязкой к IP. Настоящий zero-trust не обеспечивают
• WireGuard / Nebula — быстрые P2P-туннели, требуют открытых портов или реле. Встроенной идентификации сервисов нет
• ZeroTier — удобная mesh-сеть, но модель доверия менее строгая, есть привязка к IP
• Cloudflare Tunnel — облачное решение, не self-hosted. Трафик проходит через инфраструктуру Cloudflare
• Teleport — zero-trust доступ к серверам и БД с фокусом на SSH/Kubernetes. Более узкое решение
• Twingate — коммерческая ZTNA-платформа, не open-source

Кому подойдёт

OpenZiti выбирают те, кому нужен полный контроль над сетевой безопасностью без компромиссов. Подходит для:

• Хоумлаберов, защищающих домашнюю инфраструктуру
• Разработчиков, создающих безопасные приложения
• DevOps-инженеров, которым нужен zero-trust без зависимости от коммерческих провайдеров

Минус — время на изучение. Документация объёмная, первичная настройка сложнее, чем у Tailscale.