阿肯评:本文是《零信任在企业攻防实践中的作用》的姊妹篇。Ethan作为当事人,详细介绍了全网零信任落地的思路、计划、挑战和解决办法。任何一个企业要全网推行零信任架构,面临诸多挑战,比如适合的产品、原有网络和系统的适配、推广的节奏、其他部门的配合等。在阿肯看来,最重要的是与管理层和业务部门对齐零信任认知,确认将零信任理念和框架作为未来安全建设的方向。这个方向一旦达成一致,过程中的问题就是如何想办法解决的问题。变革中没有容易的事情,让我们一起努力!

作者简介-----------------------------------

Ethan:高科技上市公司安全运营负责人,12年的内部安全建设经验,对零信任、实战攻防有深入研究。

-------------------------------------------------------------------------

引言

本文可作为《零信任在企业攻防实践中的作用》的姊妹篇。我们观察到,当前行业内仍有大量甲方企业的零信任建设停留在VPN替代,尚未实现全网部署,而笔者所在公司已完成全部应用系统的零信任保护。在从传统架构向全网零信任演进的过程中,积累了不少实践经验,也踩过诸多典型 “坑”。因此,本文将系统分享我司的转型路径与实战心得,希望能为处于相同阶段的同行提供启发与借鉴。

需要说明的是,零信任的核心技术范畴通常涵盖 Software-Defined Perimeter(软件定义边界SDP)、Identity and Access Management(身份与访问控制IAM)、Micro-Segmentation(微隔离MSG)三大方向。但本文所介绍的实践场景,暂聚焦于 SDP 与 IAM 结合的零信任落地模式,至于 MSG(主要应用于服务器场景的微隔离),因该技术方案复杂度较高、部署成本较重,目前我司仍处于调研阶段,尚未启动全面部署,故暂不纳入本次分享范围。

一、背景介绍

2021 年,笔者入职现企业,负责信息安全相关工作。彼时公司内部安全建设相对滞后,在内部红蓝对抗演练中,攻击方能够梳理出 10 条以上可落地的攻击路径。

通过对攻击方的攻击路径进行复盘分析,我们发现核心问题在于网络隔离机制不完善:缺乏有效的边界管控导致攻击者可在内部网络中如 “蜘蛛网” 般自由横向移动,这不仅大幅增加了安全检测的覆盖难度,也严重制约了应急响应的效率与精准度。

针对这一痛点,安全团队将问题与解决方案同步上报至安全委员会(后文简称 “安委会”),经决策后确定全面推行零信任安全架构 —— 核心思路是 “掐断所有非授权访问内网的路径”:用户若需访问内部服务器,必须通过零信任代理完成身份核验与权限校验后才可建立连接。这一模式相当于 “将所有关键访问入口集中到‘零信任代理’这一个‘篮子’中”,后续工作则聚焦于对该代理机制进行全维度安全加固,确保其成为内网防护的可靠屏障。

二、为什么要从传统网络架构切换至全网零信任

2.1 管理层对数据安全要求的提升

  • 个人敏感信息保护需求:随着《数据安全法》《个人信息保护法》等法律法规的完善,公司业务开展过程中收集的大量个人敏感信息面临严格合规要求。一旦发生数据泄露,轻则触发监管部门问询调查,重则导致相关业务停业整顿,对公司商誉与经营造成重大冲击。

  • 商业机密防护痛点:公司业务系统中存储的订单、合同、商机等商业机密数据,是投入大量人力、财力、时间积累的核心资产。若此类数据被非法下载外传,将直接影响经营业绩 —— 例如一线团队多次反馈 “客户被友商精准截胡”,但因传统架构下业务日志无法记录数据访问轨迹,导致泄露溯源工作陷入困境。

2.2 攻防常态化对防守方提出更高要求

随着所在行业整体安全水位提升,公司已实现攻防演练常态化。但受历史架构遗留问题影响,办公网与数据中心服务器网之间存在大量未管控访问路径,攻击者可轻易通过这些路径渗透服务器区域。过多且动态变化的攻击路径,导致防守团队陷入 “被动应对、疲于奔命” 的困境,难以形成有效防御体系。

2.3 合作方与移动化办公场景的挑战

  • 合作方接入管控难题:业务开展过程中,需频繁允许供应商、合作伙伴等外部人员访问内部系统。此类用户非公司员工,行为不可控,需基于 “访问时间有效期、用户活跃状态、角色权限” 等维度实现精细化管控,而传统网络架构无法满足这一需求。

  • 移动化办公适配需求:员工需通过企业微信、飞书等即时通讯(IM)工具便捷访问内部应用,传统架构在移动场景下的安全性与便捷性难以兼顾。

2.4 提升员工办公体验的需求

传统网络架构下,员工登录各业务系统需重复输入用户名与密码,长期使用体验较差。用户期望参考微软 Teams 的体验模式 —— 登录统一入口后,可 “无感访问” 所有授权业务系统,减少重复认证操作,提升办公效率。

2.5 影子资产管控难题

公司内部安全管理制度滞后,导致内网存在大量未纳入管控的 “影子资产”(如私自部署的服务器、未登记的终端设备)。“无法识别即无法管理”,这些未管控资产如同内网中的 “定时炸弹”,随时可能成为安全漏洞的突破口。而零信任架构通过 “认证鉴权前置” 机制,仅允许通过合规校验的资产访问内网,可有效解决影子资产问题。

三、项目职责以及访问流程

3.1 相关方职责分工

3.2 改造后访问流程

用户使用企业微信点击业务系统后将自动拉起零信任客户端并且自动登录该业务系统,无须零信任和业务系统登录的两次认证,大幅提升用户体验。

四、项目推进计划与难点

4.1 阶段性项目推进计划

序号

计划阶段

计划内容

业务上线率

终端推广率

持续时间(天)

1

准备阶段

完成零信任相关平台部署与网络链路打通,确保基础环境可用

-

-

3

2

业务灰度测试

选取边缘业务系统,切换部分正常用户通过零信任访问,验证业务兼容性与稳定性

10%

-

5

3

第一批客户端推广

IT 部强制推广零信任客户端至指定用户,闭环客户端使用问题,确保稳定率达标

10%

30%

20

4

核心业务系统上线

推动门户、OA、销售管理系统等核心系统接入零信任,保留原访问通道以备回退

40%

30%

10

5

第二批客户端推广

全面推广零信任客户端,要求访问核心业务系统必须安装,持续解决用户问题

40%

50%

10

6

全部业务系统上线

实现内网所有系统接入零信任,保留原访问通道以备回退

80%

50%

10

7

全面客户端推广

要求所有用户安装零信任客户端,访问业务系统必须通过客户端验证

80%

80%

30

8

业务试运行

维持业务上线率90%、客户端推广率90% 的状态运行30 天,监控系统稳定性

90%

90%

30

9

业务通道切换

完成客户端全面覆盖后,关闭原有访问通道,实现零信任唯一访问路径

90%

90%

10

10

项目结项

完成客户端100% 推广与业务100% 上线,梳理项目成果并结项

100%

100%

5

4.2 项目难点与解决方案

零信任全面切换是复杂的系统性工程,在获得管理层认可后,执行过程中主要面临以下挑战,已通过对应方案解决:

难点 1:如何保障业务平滑切换,规避系统性风险?

  • 灰度测试先行,提前排障:与业务团队深度协同,筛选核心用户参与边缘业务灰度验证,重点排查系统兼容性、访问稳定性问题,确保切换前关键业务指标达标,降低正式上线风险。
  • 分部门梯度推进,降低影响范围:按部门优先级分批切换用户,优先覆盖行政、财务等非核心业务体系,待流程跑通、稳定性验证后,再逐步推广至市场、销售等核心业务部门,避免全量切换导致的业务中断。
  • 实时监控异常,主动介入处理:对零信任业务访问日志进行实时监测,重点追踪 4xx(客户端错误)、5xx(服务器错误)等异常状态码,建立故障预警机制,发现问题立即介入,缩短故障影响时长。

难点2:如何平衡零信任安全与用户体验,减少抵触情绪?

全流程宣贯,明确价值与节奏:通过内部邮件、公告、部门专项培训等多渠道,持续传递零信任项目的安全价值与切换时间表,让用户清晰了解 “为何做”“何时做”,缓解信息差带来的抵触心理。

  • 双渠道响应,快速解决用户问题:搭建 “自助服务 + 人工支持” 双轨响应体系 —— 提供自助排查指南(如常见问题手册、操作视频),同时建立专属支持群 / 热线,承诺用户问题 1 小时内响应、4 小时内闭环,提升问题解决效率。
  • 简化权限审批,适配移动办公:将权限申请审批流与内部 IM 系统打通,支持用户通过 IM 端、手机端完成审批操作,缩短权限开通周期,避免因审批流程繁琐影响办公效率。

难点3:老旧不规范 Web 应用如何适配零信任,解决兼容问题?

问题表现,部分老旧 Web 应用因配置不规范,导致标准零信任代理无法正常适配,具体问题包括:

  • HTML 中硬编码绝对 URL 路径(如http://172.16.0.1/xxx),IP 地址变更后需修改代码才能访问;

  • 浏览器发起的 API 请求写死 URL 路径(如http://home.company.com/user/info),无法适配零信任动态访问路径。

解决方案

  • 启用零信任 “智能改写” 功能:针对含大量绝对路径的复杂站点或老旧系统,通过零信任平台自动识别并改写 URL 路径,无需修改应用代码即可适配零信任访问模式;
  • 配置 “依赖站点” 规则:若业务系统嵌套未接入零信任的外部应用,通过零信任平台配置依赖站点白名单,实现嵌套应用的间接安全访问,保障业务流程完整性。

难点4:如何解决客户端安装阻力(如高管移动办公场景)?

核心痛点,部分高管更依赖移动化办公,1-2 个月无需登录 PC 客户端,对安装零信任 PC 客户端存在抵触,同时需保障全员覆盖目标。

应对策略,采用 “全员部署 + 特殊场景加白” 的灵活策略:

  • 基础要求:推行全员零信任客户端安装,确保整体覆盖率;

  • 特殊适配:针对高管等以移动端办公为主的用户,开通客户端安装白名单,允许其通过移动端零信任入口完成日常操作,兼顾安全性与办公灵活性。

难点 5:大流量内网应用经 SDP 网关代理后,是否会影响访问速度?

核心结论,当前未出现大流量内网应用因 SDP 网关代理导致的大幅访问速度下降问题。零信任代理技术已较为成熟,正常情况下不会成为性能瓶颈;若出现个别业务系统卡慢,需通过技术手段排查根因,明确责任边界。当然,也可以将此类系统例外处理。

具体排查方案

  • B/S 类应用(Web 应用):

    通过零信任访问日志,提取关键性能指标分析瓶颈,示例如下:

  • C/S 类应用

    零信任对 C/S 应用仅做简单数据包转发,无侵入性修改,本质与直连网络性能一致。若出现卡慢,可引导业务团队对比 “零信任代理” 与 “网络直通” 两种模式的延迟:
  • a)若延迟差异小:说明问题与零信任无关,需排查应用本身或内网网络;
  • b)若延迟差异大:联系零信任厂商售后团队介入处理。

难点 6:如何保障代理网关的健壮性,避免单点故障?

当前运行现状,截至目前,未出现因代理网关异常导致的业务中断问题,核心配置与运行数据如下:

  • 代理网关数量:2 台(主主模式,避免单点故障)

  • 硬件配置:单台内存 64G、硬盘 1T

  • 性能指标:最高处理流量 1.2Gb/s,并发连接数 7W,CPU 使用率稳定在 15%(资源冗余充足)

难点 7:如何解决 DNS 解析问题(含 hosts 绑定场景)?

核心痛点,部分 B/S、C/S 应用需通过本地 hosts 文件绑定 IP 与域名才能访问,若未同步配置零信任,会导致代理网关无法定位真实服务器。

解决方案

  • 全面梳理 hosts 绑定业务:迁移前排查全公司业务系统,统计需通过本地 hosts 绑定访问的应用清单;

  • 同步配置零信任 hosts 记录:将梳理出的 hosts 绑定信息(IP + 域名)录入零信任平台,确保代理网关能正确解析并访问对应真实服务器,避免因 DNS 解析异常导致的访问失败。

难点8:网络层的访问控制策略如何配置?

推广期:宽松适配,保障业务过渡

核心目标是在零信任逐步落地的同时,不影响现有业务正常运行,策略配置聚焦 “分域授权、宽进测试”:

  • 按网络分区划分网关职责:先明确各代理网关的覆盖范围,基于企业实际网络架构(如办公网、高敏封闭网、物联网网络、各职场局域网、分支机构网络)进行分域绑定,确保每个分区有专属代理网关负责流量转发,避免跨域混乱。

  • 分区防火墙加白网关 IP:在各网络分区的防火墙(AF)中,将对应负责的代理网关 IP 加入白名单,临时允许网关访问该分区内所有 IP 及端口。此配置可减少推广期的策略调试成本,让核心用户通过零信任正常访问业务,同时保留传统访问路径作为备份。

正式上线后:严格收紧,实现 “零信任唯一入口”

核心目标是切断传统 IP 访问路径,将零信任代理网关作为业务访问的唯一通道,策略配置聚焦 “最小授权、按需放开”:

  • 防火墙禁用传统访问路径:在全公司各区域防火墙上,统一关闭 “职场本地 IP 直接访问业务系统” 的权限,仅保留并放通零信任代理网关的 IP 地址,强制所有业务访问流量通过零信任网关转发,实现访问路径的 “单一化、可控化”。

  • 特殊业务按需申请例外:若存在无法通过零信任访问的特殊场景(如第三方对接、紧急运维),需走标准化审批流程(如业务部门提报需求、安全团队评估风险、管理层审批),审批通过后为特定 IP / 端口配置临时访问规则,且需明确有效期,避免例外规则长期存在导致安全漏洞。

五、改造后的收益以及挑战

5.1 价值收益

数据安全维度

  • 数据流转可审计:用户访问业务数据均需经过零信任代理,可在零信任平台审计所有用户的访问与数据下载行为,便于数据泄密事件发生时,基于零信任日志进行追溯与还原。

  • 异常下载可告警:针对短时间内或非工作时间内大量下载公司内部数据、文件的行为,可基于零信任日志配置告警规则,尤其对用户提交离职的场景进行重点监控。

  • 用户操作可审计:针对销售管理类系统中项目敏感信息(如报价)被内鬼转发给其他厂商导致项目被精准截胡的问题,可通过零信任审计该业务系统操作记录,确定短期内查看过项目金额等敏感信息的用户。

攻防对抗维度

  • 大幅降低攻击路径:此前攻防对抗中,攻击队钓鱼内部用户后,可通过用户的 WIFI、有线网络访问大量内部系统,且内部服务器隔离不彻底,攻击者可呈 “蛛网” 般横向移动,常能梳理出十多条拿下靶机的攻击路径;零信任架构落地后,此类攻击路径被大幅压缩。

  • 大幅提高钓鱼难度:基于 “最小化应用权限” 原则,全网零信任环境下,用户仅能访问零信任管理员授予的权限,且大部分场景下仅为业务系统 Web 应用权限。即便攻击者钓到某用户账号,也仅能访问该用户的少量 Web 应用权限,难以拿下服务器并在服务器区域横向移动。

大幅提升检测能力

  • 应用内置安全检测机制:零信任应用内置目录遍历、敏感目录、异常访问、异常登录、中间人攻击告警、蜜罐等功能,基于这些日志结合安全策略分析,可大幅提升安全检测能力。例如,攻击者访问应用触发安全策略时,系统向正常用户发送验证码提醒高敏操作,通过策略联动强化检测效果。

  • 自定义请求响应检测规则:针对已过维保、无厂家支持但承载核心业务无法下线的漏洞业务系统,可基于请求响应报文中的内容配置检测规则,当检测到恶意 Payload 攻击时触发告警。

用户体验维度

  • 丝滑访问体验:从上述访问流程可知,用户登录企业微信后,可无缝访问各类授权应用,无需重复进行零信任与业务系统的登录操作(需应用配合完成单点登录改造)。

网络管理维度

  • 提升基础架构人员效率:无需维护多代积累的冗长 ACL 策略,大幅减轻基础架构团队的工作负担,提升工作效率与体验。

  • 简化网络架构:防火墙仅需放行零信任代理网关业务,即可保障网络正常运行,简化网络架构的同时提高网络健壮性。

安全、灵活的认证授权

  • 权限随人动态同步:用户入职时,基于角色自动获取初始权限;员工信息录入公司组织架构平台后,权限自动同步至 IAM 与零信任系统,无需额外操作。

  • 闲置账号自动锁定:针对人员规模较大的公司,部分用户可能无需访问内部系统但仍持有基础权限,可配置零信任闲置账号规则 —— 账号 100 天未使用零信任系统即自动锁定。

  • 动态二次认证:针对敏感应用访问或常规应用非工作时间访问场景,可触发短信验证码等二次认证,确保操作行为为用户本人发起,而非攻击者盗用权限。

5.2 困难和挑战

业务改造与成本投入较高

  • 若需实现零信任的流畅应用体验、显著提升用户使用感,需对业务系统进行针对性改造 —— 通过 IAM(身份与访问管理)的 Oauth2 协议,为业务系统配置自动登录能力,整体改造成本较大。

对安全人员专业能力与工作负荷\\响应速度提出更高要求

  • 权限与应用全生命周期管理需安全人员主导:从权限维护、应用发布到应用授权等流程均需安全人员介入,新增了一定工作量;目前可通过零信任系统 API 与业务系统对接,实现该环节的半自动化运营,部分降低人力压力。

  • 用户访问问题需安全人员全程介入:零信任部署于业务访问最前端,一旦用户出现业务系统无法访问的情况,均需安全人员参与排查,处理用户访问故障。

  • 需具备跨领域技术储备与排障能力:当业务系统各阶段出现问题时,故障排查需穿透零信任环节,安全人员需深度参与业务排障,协助开发团队定位故障点。这要求安全人员在网络架构、开发逻辑、业务架构等维度具备充足信息储备,具备多场景排障能力。

六.结语

零信任是一个非常大的项目,需要从上至下的推进,并且涉及到多个部门的通力协作,需要重构所有员工的使用体验,但收益也是巨大的,全面零信任之后,用户体验更加丝滑,在此基础上的安全建设更加有效了,也大幅降低了基础架构组的 ACL 维护压力,从以前的基于网络五元组的访问关系,变成了基于身份信息+应用的访问关系。

在整个过程中,确实也踩了一些坑,而且全网零信任落地后对安全人员提供了更高的要求,当业务系统故障的时候,零信任是用户的入口,需要安全人员具备深厚的架构和排障知识,协助业务定位问题,也在这个过程中对整体的网络架构、业务架构、业务数据流都有了更深入的认识和理解,以便其他工作更好的开展。

对于当前的我而言,我觉得零信任项目对组织是有效的,最后我借用德鲁克在卓有成效的管理中的一句话结尾:才智、想象力和知识都是至关重要的资源,但只有有效性才能把它们转化为成果。

全文完。

声明:本文来自阿肯的不惑之年,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。