文章总结： 文章系统阐述了零信任架构（ZTA）与传统网络架构的核心差异，详细解析了ZTA三大核心组件（ZTNA网关、动态验证层、资产监控层）及关键技术栈（SDP、MFA、EDR、UEBA、微分段）。基于BAT千万级用户实践，提出分三阶段（试点-推广-成熟）的平滑迁移方案，解决VPN替代、老旧设备兼容、安全设备联动等兼容性挑战，并给出KeyCloak、NSX、SOAR等具体工具选型建议，强调灰度发布与性能优化，为企业零信任转型提供可落地的工程化路径。 综合评分： 85 文章分类： 安全建设,零信任架构,网络安全,应用安全,解决方案

基于 BAT 千万级用户零信任架构（ZTA）

原创

刘军军 刘军军

运维星火燎原

2026年2月8日 00:00 河北

一、零信任架构（ZTA）与传统网络架构的深度对比

| | | | | | — | — | — | — | | 对比维度 | 传统网络架构 | 零信任架构（ZTA） | 核心差异 | | 信任模型 | 基于 “网络位置” 的信任（内网默认可信，外网默认不可信） | 基于 “持续验证” 的信任（永不信任，始终验证） | 传统架构是 “城堡模型”（围墙内安全），ZTA 是 “无边界模型”（每次访问均需验证） | | 安全边界 | 清晰的内外网物理 / 逻辑边界（如防火墙、DMZ 区） | 无固定边界，以 “身份 + 设备 + 数据” 为最小保护单元 | ZTA 将边界从网络层迁移至身份与数据层，适应云原生、远程办公等分布式场景 | | 访问控制 | 静态权限（一次性授权，长期有效） | 动态最小权限（基于上下文实时决策，权限随场景动态调整） | 传统依赖 “网络 IP + 端口” 控制，ZTA 依赖 “身份 + 设备健康 + 行为基线” 多维验证 | | 威胁假设 | 假设 “内网无威胁”（未考虑内部攻击或横向移动） | 假设 “已被入侵”（默认所有访问都可能来自威胁源） | ZTA 以 “最坏情况” 为前提设计，传统架构难以应对 APT 攻击、内部泄露等高级威胁 | | 典型技术栈 | 防火墙、VPN、网络分段（VLAN）、静态 ACL | ZTNA（零信任网络访问）、SDP（软件定义边界）、MFA、UEBA（用户与实体行为分析） | ZTA 技术更强调身份治理、终端检测与响应（EDR）、微分段等细粒度防护 |

二、零信任架构核心组件

三、图表组件说明

1.外部访问入口（绿色节点）：

• ZTNA 网关：所有外部请求（远程办公、第三方接入）必须通过该网关，替代传统 VPN 的 “一次性接入” 模式。

2.动态验证层（蓝 / 黄 / 橙节点）：

• 身份认证（蓝色）：支持多因素认证（MFA）、单点登录（SSO），确保用户身份真实可靠（如 “密码 + 人脸 + 硬件令牌”）。
• 设备健康检查（黄色）：通过 EDR 工具检测终端是否安装杀毒软件、系统补丁是否最新、是否存在异常进程。
• 权限决策引擎（橙色）：基于用户角色、访问场景（如 “销售岗仅能在工作时间访问销售数据”）动态授予最小权限。

3.核心资产与监控（红 / 紫 / 深蓝节点）：

• 微分段网络（紫色）：将网络划分为独立逻辑单元，即使某区域被入侵，威胁也无法横向扩散（如生产区与办公区完全隔离）。
• 持续监控（深蓝）：通过 UEBA 技术分析用户行为基线（如 “某员工突然在凌晨登录数据库”），实时发现异常。
• 自动响应（红色）：检测到威胁后自动执行阻断（如封禁异常 IP）、隔离设备或触发人工告警。

四、企业落地建议

1.分阶段实施：

• 初期：优先对核心数据（如客户信息）部署 ZTA，通过 MFA 和设备校验加固访问入口。
• 中期：推广微分段，将网络按业务域隔离（参考 BAT 某子公司实践：用 NSX 实现跨云环境微分段）。
• 长期：结合 AI 驱动的 UEBA 工具（如 Palo Alto Networks Cortex XDR）实现全链路自动化监控与响应。

2.合规对齐：

• 符合《网络安全法》“数据分类分级保护” 要求，零信任的最小权限原则可直接支撑数据访问审计（参考 ISO 27001:2022 附录 A.11）。

五、零信任架构（ZTA）与现有网络的兼容性方案（分阶段落地策略）

基于BAT千万级用户业务的平滑迁移经验，零信任与传统网络的兼容需遵循“渐进式替代，最小化中断”原则，核心策略如下：

1.兼容性核心挑战与技术适配

| | | | — | — | | 现有网络痛点 | 零信任兼容方案 | | 传统VPN依赖“隧道内全信任” | ZTNA网关叠加模式：在现有VPN架构前部署ZTNA网关，先对高风险访问（如远程办公）启用零信任验证，保留VPN作为过渡方案（参考腾讯2022年远程办公改造）。 | | 静态ACL与VLAN隔离逻辑固化 | 微分段Overlay网络：通过SDN技术（如Cisco ACI/VMware NSX）在现有网络上叠加逻辑隔离层，无需重构物理网络（阿里巴巴混合云场景实践）。 | | 老旧设备不支持现代身份协议（如SAML/OIDC） | 身份代理网关：部署身份转换中间件（如KeyCloak），将传统Radius/LDAP协议转换为零信任支持的标准协议，实现与 legacy 系统无缝对接。 | | 安全设备烟囱式部署（防火墙/IPS独立运行） | 安全编排平台（SOAR）：通过API整合现有安全设备日志，实现“身份验证→设备检测→权限决策”的跨设备联动（字节跳动SOAR平台日均处理10万+决策请求）。 |

2.分三阶段实施路线图（以500人企业为例）

（1）. 试点阶段（1-3个月）：高风险场景优先覆盖

• 目标：验证兼容性，积累用户习惯数据
• 具体动作：

远程办公接入改造：部署ZTNA网关（如Palo Alto Networks Prisma Access），要求远程员工必须通过MFA认证+设备健康检查（EDR扫描）才能访问OA/CRM系统，保留原VPN用于临时应急。

核心数据加密：对财务数据库、客户信息等敏感数据启用传输加密（TLS 1.3）和存储加密（AES-256），通过API网关（如Kong）控制访问权限，与现有数据库审计系统（如奇安信网神）联动。

日志整合：将ZTNA网关日志接入现有SIEM系统（如Splunk），建立“身份-设备-访问行为”关联分析基线。

（2）. 推广阶段（3-6个月）：内部网络微分段

• 目标：实现“最小权限”访问，限制横向移动风险
• 具体动作：

网络逻辑分区：基于业务系统重要性，通过SDN将现有网络划分为“生产区/办公区/测试区”，部署微分段控制器（如Illumio），默认拒绝跨区访问（参考工行“业务域隔离”实践）。

身份与权限绑定：将AD域账号与权限系统（如SAP GRC）联动，实现“身份→角色→资源”的动态授权（例：市场部员工仅工作时间可访问客户资料，且仅能查看不可下载）。

老旧设备替代：对不支持动态策略的传统防火墙（如ASA 5500系列），优先替换核心区域设备，边缘区域保留并通过SOAR平台下发静态策略。

（3）. 成熟阶段（6-12个月）：全面零信任架构

• 目标：实现“永不信任，始终验证”的动态防护
• 具体动作：

淘汰传统VPN：完全关闭VPN接入，所有访问统一通过ZTNA网关，支持细粒度应用级访问控制（如仅允许访问Jira的特定项目，而非整个系统）。

UEBA行为分析：部署用户行为分析系统（如Exabeam），建立用户/设备行为基线，检测异常访问（例：某开发人员突然在凌晨访问财务系统）并自动触发响应（如临时冻结权限）。

合规自动化：通过CIS-CAT等工具定期扫描零信任策略合规性，输出《网络安全法》《数据安全法》合规报告（参考BAT年度安全审计流程）。

六、关键工具与兼容性清单

| | | | | | — | — | — | — | | 功能模块 | 传统网络组件 | 零信任适配工具 | 兼容性说明 | | 身份认证 | Active Directory/LDAP | KeyCloak/Auth0（身份代理） | 支持SAML/OIDC协议转换，无需重建账号体系 | | 终端防护 | 传统杀毒软件 | CrowdStrike/奇安信EDR（设备健康检测） | 通过API将终端风险评分同步至ZTNA网关 | | 网络隔离 | VLAN/ACL | VMware NSX/山石网科微分段控制器 | Overlay模式部署，不改变物理网络拓扑 | | 安全监控 | 防火墙日志/IPS告警 | Splunk/ELK（日志关联分析） | 通过CEF格式对接现有SIEM，保留历史数据分析能力 |

七、风险规避与平滑过渡建议

1. 灰度发布：按部门分批迁移（先试点IT/安全部，再推广业务部门），设置“回退开关”（如1小时内异常访问量超阈值自动切回传统模式）。
2. 用户培训：通过“模拟钓鱼演练+操作手册”降低用户抵触（参考阿里“安全学院”的零信任培训体系，员工通过率需达90%以上）。
3. 性能优化：ZTNA网关部署在核心链路时，需确保吞吐量≥现有流量的1.5倍（如互联网出口带宽10G，网关需支持15Gbps处理能力）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：运维星火燎原 刘军军 刘军军《基于 BAT 千万级用户零信任架构（ZTA）》