【固若金汤】基于深信服aTrust的零信任架构落地实践

一、建设背景

在数字化转型的浪潮下，企业远程办公、移动接入、第三方外包接入的需求日益增长。传统基于 VPN 的接入模式存在以下问题：

• 账号泄露风险高：只要获取账号口令，黑客即可绕过防护，直接进入内网，存在横向渗透风险。
• 身份管理分散：各业务系统（如OA、ERP、VDI）认证体系各自独立，导致账号孤岛和重复管理。
• 访问控制粗放：VPN 一旦连通，相当于授予全网访问权限，无法实现精细化的业务安全管控。

  
  

  
  

  
  
  
  

为了应对以上挑战，企业决定引入 零信任架构，通过深信服 aTrust 平台 构建统一认证门户，落实“始终不信任、最小权限、动态防护”的安全理念，提升整体接入防护能力。

---

二、实施前准备

1、架构规划

• 部署 双控制中心 + 双代理网关，实现主从集群，确保高可用性。
• 将关键业务系统纳入统一接入：OA 系统、ERP 平台、VDI 桌面、远程办公入口。

  
  

  
  
  
  

2、账号体系整合

• 对接企业现有 AD 域，统一身份认证。
• 逐步替代各系统自带的分散认证方式，实现单点登录（SSO）。

  
  

  
  
  
  

3、安全策略设计

• 引入 多因素认证（MFA）：密码口令 + 动态令牌/短信等等。
• 按部门/角色进行授权，实现精细化访问控制。
• 定义 自适应认证略：对非常用地点、异常时间段的访问触发更二次验证。

  
  

  
  

  
  
  
  

---

三、实施过程

1、基础部署

• 完成 aTrust 控制中心集群部署，确保集群正常。
• 上线代理网关集群，保证代理网关的高可用。

  
  

  
  

  
  
  
  

2、认证改造

• 将原 VPN 接入用户迁移至 aTrust 零信任门户。
• 普通用户接入：采用 密码 + 短信 二次认证。
• 特殊场景：内网办公可配置免二次认证，异常环境触发二次认证。

  
  

  
  

  
  
  
  

3、权限控制落地

通过灵活的授权方式，实现对业务系统的精细化访问控制：

• 按角色授权：将权限分配给角色，用户继承角色权限，方便统一管理；
• 按用户组授权：针对部门或团队分配访问权限，实现分层管理；
• 单用户授权：对特殊用户可单独设置权限，满足个性化业务需求。

  
  

  
  

  
  
  
  

这种方式确保每位用户 仅能访问其被授权的资源，实现最小权限原则，有效降低安全风险。

4、安全防护策略

通过灵活设置判定条件来保障系统安全。例如：

• 检测到接入 IP 属于境外地址时，直接阻断访问请求。
• 当终端未安装杀毒软件时，禁止其访问业务资源；

  
  

  
  

  
  
  
  

---

四、效果与收益

1、安全层面

• 即使个别账号泄露，因二次增强认证，攻击无法得逞。
• 高危用户访问被动态识别与阻断，降低横向渗透风险。

  
  

  
  

  
  
  
  

2、管理层面

• 所有系统接入 aTrust 门户，用户统一认证，减少账号孤岛。
• 策略集中化管理，管理员可直观查看并快速调整访问策略。
• 满足等保合规与审计需求。

  
  

  
  

  
  
  
  

---

五、经验与总结

1、经验

• 零信任落地需 分步骤实施：先接入关键业务，再逐步扩展到所有系统。
• 多因素认证是阻断账号泄露风险的关键环节。
• 高可用设计强烈推荐：双控制中心、双代理网关保障架构稳定性。

  
  

  
  

  
  
  
  

---

本案例通过 aTrust 的零信任架构落地，帮助企业从“传统信任边界”向“动态信任+最小权限”转型，真正实现了 “固若金汤” 的接入安全防护体系。

感谢楼主分享，企业从“传统信任边界”向“动态信任+最小权限”转型，真正实现了 “固若金汤” 的接入安全防护体系。