基于零信任理念的企业端到端安全解决方案研究.pdfVIP

基于零信任理念的

企业端到端安全解决方案研究

管，为企业提供一种增强内部网络通信安全的方法。

1企业防护架构变化

传统IT架构设计部署方式为：办公终端为企业资

信息化技术普及后，企业面临着信息安全防护的产，可进行操作系统级的安全管控，包括杀毒、桌管、

考验和压力。为确保信息安全，企业在防范来自互联DLP等，还可以使用云桌面实现更强数据保护；使用企

网的入侵和攻击的同时，更应重视来自企业内部网的业级SSLVPN实现安全远程接入和数据安全传输；互

入侵和攻击。在不改变现有架构的前提下，要以有限联网边界部署多重安全机制，控制来自互联网的安全

的资源加强内部网络的通信安全，考虑到构建方便与风险；通过二层VLAN和三层路由实现内部网络区域

可用性高等因素，采用以VPN结合防火墙的安全控的隔离和互通；企业关键应用和数据资产集中在企业

——————————内网环境［1］。企业传统IT系统架构如图1所示。

收稿日期：2023-06-16云原生环境下的企业IT计算资源全面云化，部分

142023/08/DTPT

应用服务和数据区

私有云应用和

数据服务

核心交换区

公有云应用服务

OA前置

服务器

SSLVPN

邮件

服务器

门户网站

互联网边界

防火墙DMZ区办公终端接入区

远程办公终端

图1企业传统IT系统架构

关键应用和数据迁移出私有数据中心，部署在公有云企业IT资源的全面云化，其核心应用及数据迁移

上，或直接使用公有云SaaS服务；业务移动化推动多至公有云，企业系统的互联网暴露面增加，且由于企

种角色（员工外包方、合作伙伴）使用多样化BYOD终业的多分支结构和混合云环境的复杂性，难以进行暴

端（PC、笔记本电脑、移动终端）从内、外网访问私有云/露面的有效收敛，企业迫切需要将关键应用服务从互

公有云中企业关键应用服务和数据；以网络边界为中联网隐身，最大限度收敛互联网资产暴露面，从而缩

心，严防外部安全威胁，保护内部服务和数据资产的减攻击面，降低被恶意攻击和入侵的风险。

安全保障思路遭遇挑战。针对分布在混合云环境中的企业业务系统和数

业务云化也带了很多应用局限性。更多的第三据中心，资源的统一管理和接入控制成为企业进行接

方终端设备进入默认信任程度