企业应用程序的零信任架构

周边已经死了。在员工在咖啡店工作、企业数据存储在三个不同的云提供商中、并且您的供应链合作伙伴可以通过 VPN 访问您的网络的世界中，防火墙内的任何内容都可以信任的想法已经过时了。零信任架构用一个简单的、不妥协的原则取代了这一假设：从不信任，始终验证。

Forrester Research 在 2010 年创造了“零信任”一词，但直到大流行引发的远程工作激增和毁灭性的 SolarWinds 供应链攻击才推动企业实际实施。 Gartner 报告称，到 2025 年，60% 的组织已采用某种形式的零信任，但只有不到 10% 的组织在所有工作负载中实现了全面实施。

要点

• 零信任通过验证每个访问请求来消除隐式信任，无论源网络或先前的身份验证如何
• 与扁平网络架构相比，微分段可将横向移动风险降低 85%
• 身份感知代理取代 VPN 成为企业应用程序的主要远程访问机制
• 18-24 个月的分阶段实施路线图在每个阶段提供可衡量的安全改进

---

零信任原则

零信任不是您购买的产品。它是一种基于五个核心原则的架构哲学，指导整个企业的每个设计决策。

零信任的五个支柱

永远不要信任，永远要验证。 每个访问请求都必须经过身份验证和授权，无论其源自何处。来自公司办公室的请求将受到与来自公共 WiFi 网络的请求相同的审查。先前的身份验证并不能保证将来的访问。

假设违规。 设计系统时就好像攻击者已经在您的网络内部一样。这种假设推动了分段、监控和最低权限决策。如果某个部分受到损害，则必须控制爆炸半径。

明确验证。 身份验证和授权决策使用所有可用信号：用户身份、设备健康状况、位置、一天中的时间、资源敏感性和行为分析。单一因素（如有效的会话令牌）永远是不够的。

最低权限访问。 用户、应用程序和服务获得执行其功能所需的最低访问权限。访问的范围受资源、操作和时间的限制。常设特权被取消，取而代之的是及时的访问授权。

持续验证。 身份验证不是登录时的一次性事件。当风险信号发生变化（设备状态下降、检测到不可能的移动、观察到异常行为）时，会持续评估会话并实时撤销访问。

传统安全与零信任

传统外围安全与零信任之间的对比是根本性的：

---

微分段

微分段是零信任的网络实现。微分段不是任何系统都可以与任何其他系统通信的扁平网络，而是创建强制执行明确通信策略的隔离区域。

微分段的工作原理

传统的网络分段将网络划分为几个大区域（DMZ、生产、开发、管理）。微分段通过创建与单个工作负载或应用程序层一样细的分段来进一步实现这一点。

示例：没有微分段的 ERP 部署

受感染的 Web 服务器可以访问数据库服务器、文件服务器、打印服务器以及同一 VLAN 上的所有其他系统。利用客户门户中的 XSS 漏洞的攻击者可以转向包含财务记录的数据库。

示例：具有微分段的相同 ERP 部署

Web 服务器只能通过端口 8069 与应用程序服务器通信。应用程序服务器只能通过端口 5432 与数据库服务器通信。数据库服务器无法发起任何出站连接。受损的 Web 服务器没有通往数据库的路径，也没有通往其他应用程序层的路径。

实施方法

业务平台的微分段

对于运行 Odoo ERP、Shopify 连接器和 AI 支持的服务的组织，微分段应创建以下隔离边界：

• ERP 应用层 --- 与所有其他工作负载隔离，只能通过身份感知代理访问
• 数据库层 --- 只能从特定端口上的 ERP 应用程序层访问
• 集成层 --- 与 ERP 和数据库层隔离的市场连接器和 API 网关
• AI/ML 工作负载 --- 与模型 API 调用的特定出口规则隔离
• 开发/登台 --- 与生产完全分离，它们之间没有网络路径

---

身份感知代理

身份感知代理 (IAP) 是零信任架构中的访问网关。它们通过在将每个请求转发到目标应用程序之前对每个请求进行身份验证和授权来取代传统的 VPN。

身份感知代理如何工作

当用户尝试访问企业应用程序时：

1.请求到达身份感知代理而不是直接到达应用程序 2. 代理检查有效会话，如果不存在则重定向到身份提供者 3. 身份提供者对用户进行身份验证（密码+MFA）并返回身份声明 4. 代理根据身份声明、设备状态和上下文评估授权策略 5. 如果获得授权，代理会将请求转发给应用程序。如果不是，则请求被拒绝

应用程序本身没有面向公众的端点。它只能通过代理访问。这消除了依赖直接应用程序访问的一整类攻击。

身份感知代理解决方案

• Google BeyondCorp Enterprise (IAP) --- 与 Google Cloud 集成，支持任何 Web 应用程序
• Cloudflare Access --- 适用于任何基础设施，卓越的全球性能
• Azure AD 应用程序代理 --- 深度 Microsoft 生态系统集成
• Pomerium --- 开源、自托管、协议无关
• Authentik --- 具有内置应用程序代理的开源身份提供商（用于 ECOSIRE 平台）

IAP 与 VPN

VPN 授予网络级访问权限。连接后，用户（或拥有被盗 VPN 凭据的攻击者）就可以访问网络上的每个系统。身份感知代理授予应用程序级访问权限。每个应用程序都有自己的授权策略，并且永远不会授予网络访问权限。

对于 API 安全，IAP 通过在授权决策中添加设备状态和上下文信号来补充 OAuth2/OIDC。

---

设备状态检查

零信任将验证从用户扩展到设备。受感染设备上的有效用户凭据仍然存在安全风险。设备状态检查在授予访问权限之前评估端点的运行状况和合规性。

设备状态检查评估什么

• 操作系统版本 --- 操作系统是否已修补至可接受的最低版本？
• 磁盘加密 --- 设备的存储是否已加密（BitLocker、FileVault、LUKS）？
• 防火墙状态 --- 主机防火墙是否启用并正确配置？
• EDR/防病毒状态 --- 端点检测和响应软件是否使用当前签名运行？
• 屏幕锁定 --- 自动屏幕锁定是否配置了可接受的超时？
• 越狱/root检测 --- 设备的安全模型是否受到损害？
• 证书存在 --- 设备是否具有有效的企业证书？

连续设备评估

身份验证时的初始姿势检查是必要的，但还不够。设备状态可能会在会话期间发生变化：用户可能会禁用其防火墙、EDR 代理可能会崩溃，或者可能会披露设备操作系统版本的新漏洞。

连续设备评估会定期（通常每 5-15 分钟）重新评估状态，并在设备不合规时实时撤销访问权限。这符合持续验证的零信任原则。

---

实施路线图

在整个企业中实施零信任是一个多阶段的过程。尝试同时实施所有内容会导致项目失败、用户沮丧以及过渡期间的安全漏洞。以下路线图提供了结构化的 18-24 个月进展。

第 1 阶段：基础（第 1-3 个月）

目标： 建立身份基础设施和可见性。

• 部署或整合身份提供商（Authentik、Okta、Azure AD）
• 对所有应用程序中的所有用户实施 MFA（请参阅 Odoo 的 IAM 最佳实践）
• 清点所有应用程序、数据存储和网络流量
• 部署网络监控以建立基线流量模式
• 定义初始安全策略和治理框架

第 2 阶段：访问现代化（第 4-8 个月）

目标： 用身份感知访问取代基于边界的访问。

• 为最高优先级应用程序（ERP、财务系统）部署身份感知代理
• 对托管设备实施设备状态检查
• 从数据库层开始对生产工作负载进行微分段
• 从 VPN 迁移到远程工作人员的按应用程序访问
• 为管理帐户实施特权访问管理（PAM）

第 3 阶段：细分和监控（第 9-14 个月）

目标： 实现全面的微分段和行为监控。

• 跨所有生产工作负载的完整微分段
• 部署UEBA（用户和实体行为分析）进行异常检测
• 为特权操作实施即时 (JIT) 访问
• 将设备状态检查扩展到非托管/BYOD 设备
• 集成云安全态势管理

第 4 阶段：持续验证（第 15-18 个月）

目标： 实现持续的、上下文感知的访问决策。

• 通过实时风险评分实施持续身份验证
• 针对高风险信号部署自动响应手册
• 将零信任扩展到 API 到 API 通信（双向 TLS、服务网格）
• 实施数据级访问控制（字段级加密、动态屏蔽）
• 进行红队演习以验证零信任控制

第 5 阶段：优化（第 19-24 个月）

目标： 精炼、自动化和测量。

• 基于行为基线的人工智能驱动的自适应访问策略
• 自动合规证据收集和报告
• 根据事件数据和红队调查结果持续改进
• 将零信任原则扩展到第三方和供应商访问
• 发布用于执行报告的零信任成熟度记分卡

---

常见的零信任陷阱

**将零信任视为产品购买。**没有任何一家供应商能够提供完全的零信任。它是一个由许多协同工作的控件组成的体系结构。

忽视用户体验。 过多的身份验证提示和访问摩擦会促使用户寻找破坏安全性的解决方法。基于风险的智能身份验证平衡了安全性和可用性。

忽略遗留应用程序。 许多关键业务应用程序本身无法支持现代身份验证。规划遗留系统的反向代理、身份验证网关和凭证存储。

跳过网络可见性阶段。 在不了解现有流量模式的情况下进行微分段会破坏应用程序。在实施分段策略之前投资彻底的流量映射。

忘记东西向 API 流量。 用户访问的零信任只是成功的一半。平台内的服务到服务通信还必须使用相互 TLS、服务令牌或服务网格策略进行身份验证和授权。

---

常见问题

实施零信任架构需要多长时间？

对于中型企业来说，全面的零信任实施通常需要 18-24 个月。然而，分阶段的方法在每个阶段都提供了安全性改进。 MFA 实施（第一阶段）可以在几周内完成，并立即阻止 99.9% 的凭据攻击。关键是从高价值、高风险的资产入手，逐步扩大。

零信任会取代防火墙和 VPN 吗？

零信任并不能消除防火墙，但它改变了它们的作用。防火墙对于网络边界的广泛流量过滤仍然有用，但它们不再是主要的访问控制机制。 VPN 被用于应用程序访问的身份感知代理所取代。一些组织暂时为无法支持现代身份验证的旧应用程序维护 VPN。

零信任对于中小型企业来说现实吗？

绝对地。基于云的身份提供商（Authentik、Google Workspace、Microsoft 365）和托管安全服务使任何规模的组织都可以实现零信任。中小型企业可以通过关注三个控制来实现显着的零信任优势：无处不在的 MFA、关键应用程序的身份感知代理以及应用程序层之间的基本微分段。

零信任如何影响应用程序性能？

身份感知代理为每个身份验证和授权检查请求增加 1-5 毫秒的延迟。对于大多数业务应用程序来说，这是难以察觉的。在虚拟机管理程序或云提供商级别实施时，微分段对性能的影响几乎为零。与安全收益相比，性能成本可以忽略不计。

---

下一步是什么

对于现代企业来说，零信任架构不是可选的——它是符合当今分布式劳动力、云原生应用程序和复杂威胁参与者现实的安全架构。从身份整合和 MFA 开始，逐步实现身份感知访问和微分段，并朝着持续验证的方向发展。

ECOSIRE 在每个平台部署中实施零信任原则。我们的 OpenClaw AI 安全强化 包括身份感知访问控制和微分段，而我们的 Odoo ERP 实施 从基础构建基于角色的访问和 SSO 集成。 联系我们 讨论您的零信任之旅。

---

由 ECOSIRE 发布 --- 通过 Odoo ERP、Shopify 电子商务 和 OpenClaw AI 等人工智能驱动的解决方案帮助企业扩展规模。