零信任时代,分支机构的网络安全该怎么搞

零信任时代，分支机构的网络安全该怎么搞

内外边界已经不再适用，我们需要一个更灵活的安全架构。无论用户身在何地，无论用户要访问什么应用，都应该能够非常灵活的受到安全架构的保护。

1、分支机构的现状

大中型企业一般都有分支机构，分公司、办事处、营业网点、连锁零售店、维修点等等。

一直以来，分支机构场景下的网络技术都没有什么变化，还是几年前的那些老技术。通过MPLS专线或者IPSec VPN，把分公司员工跟总部数据中心的业务系统连接在一起，如下图。

2、时代变了

如果业务系统只存在于数据中心，不需要其他连接的话，这种架构看起来还不错。

但是今天我们的IT架构已经不再是这样了。人们需要访问的信息不止存在于数据中心。很多内部业务系统已经迁移到了云端。

（1）SaaS：很多公司的HR管理系统、报销系统都是采用了SaaS服务。（2）IaaS/PaaS：很多公司内部开发的业务系统部署在了云服务上，可能是阿里云，可能是腾讯云，或者一些政务云上。享受IaaS或PaaS云服务带来的便利。

（3）互联网：上网是正常工作必备的条件。员工需要查资料，下载软件等等。在这种网络架构下，分支机构的员工想访问SaaS服务的时候，流量是从总部数据中心分流出去的，如下图。例如，大连的员工，访问互联网的出口可能是在上海。

总部数据中心成了网络中心中转点，所有安全设备也都部署在总部，如下图。防火墙、入侵检测、上网行为管理、VPN等等都部署在总部的数据中心，以此保证用户的访问安全。

3、传统架构的安全挑战

上述的这种传统的网络安全架构并不适应新时代的需求。

整个架构显得臃肿不堪。

（1）体验问题：用户访问SaaS应用要先回总部再出去，连接过程中有很多不必要的额外的开销，最终必然导致用户体验的降低。

（2）安全问题：传统架构的基本假设是——内网安全，外网不安全。但是在今天看来，这种假设是不对的。