3.1 当前网络架构

图3-1展示了一个很有代表性的虚构的企业网络安全架构。从图中可以看出，这家企业已经拥有了很多网络安全设备，具备了一定的安全能力，不过仍然存在对内网过度信任、对外暴露攻击面、缺少基于身份和数据的动态安全管控等问题。

下面对企业现有架构中的要点进行简要介绍。

1.具备基本的边界安全能力

◎入侵检测：企业的防火墙带有IDS和IPS功能，可以对网络流量进行检测。

◎网络准入：企业员工需要通过NAC系统的验证才能接入公司网络。问题是NAC无法用于远程访问和云环境，基于复杂度和性能考虑，企业也没有将NAC用于分支机构。

◎WAF：企业的一部分2C的业务系统位于DMZ区，企业的C端用户可以直接通过互联网访问，业务系统会调用内网资源。企业还提供了一些 API 供第三方调用，这些API在互联网上也是开放的。这部分系统和API的安全由WAF来保护。

2.简单的网络分区

目前防火墙的网络规则比较宽松，只做了简单的分区。如果企业遭受病毒攻击，那么病毒可以在网络中自由传播，会影响很多业务系统。企业希望通过零信任架构消除网络中的过度信任，限制威胁扩散。

3.对远程访问的担忧

◎VPN：大部分远程访问的员工会通过VPN接入内网。不过随着远程办公人数的增加，VPN的安全问题越来越明显。而且，业内爆出了不少VPN漏洞攻击事件，企业对此非常担心，希望通过零信任架构保护远程办公的安全。

◎堡垒机：企业一直使用堡垒机来保证核心网络资源的安全运维。美中不足的是，目前堡垒机与核心网络资源之间的连接始终是畅通的，企业希望可以对此进行改善。而网络策略默认是拒绝的，只有合法用户发起访问时，才暂时允许堡垒机连接到核心网络资源。

◎云桌面：部分员工需要通过云桌面接入敏感的业务系统。企业最头疼的是云桌面的成本、性能、体验问题。

4.期望升级身份管理和安全运营能力

◎身份管理系统：企业大部分员工的身份在IAM中。但是由于历史原因，也有一部分人的身份在其他几个小型身份管理系统中，比较分散。

◎身份验证：部分系统已经使用了多因子身份认证。

◎PKI：企业已经开始使用PKI来验证用户和服务的身份。

◎MDM：企业已经通过MDM对移动设备进行管理。

◎SIEM：企业使用SIEM来管理安全信息和安全事件，希望持续丰富接入SIEM的信息，同时引入自动化的编排和响应能力（SOAR）。