SmartLink + ZTNA:双重安全防线
背景
Claire 是 BioLab 的信息安全负责人,该实验室有 90 名员工,分布在三个地点并有远程办公。公司在自有服务器上托管关键内部应用——LIMS(实验室管理)、ERP、合规文档库。Claire 希望保护这些应用的访问,不暴露内网到互联网,也不让团队使用传统 VPN。
没有 SmartLink + ZTNA 的问题
使用传统 VPN:
- 一旦连接 VPN,用户可以访问整个内网(“城堡”模式)
- 如果终端被攻破,攻击者可访问整个网络
- VPN 维护繁琐、速度慢、影响用户体验
- 无法细粒度控制:无法只开放单个应用
- VPN 账号又是一个需管理的攻击面
仅用 ZTNA(Tailscale/Headscale):
- 网络被分段,但应用认证还是传统(用户名/密码)
- 内部应用的密码依然是薄弱环节
- 无法掌握谁在应用层访问了什么
- 无法集中管理应用访问权限
解决方案:SmartLink + Tailscale/Headscale
将 SmartLink 与 Zero Trust 网络(Tailscale 或其开源替代 Headscale)结合,可获得两道互补的安全防线:
第一层 — SmartLink:控制谁可以访问及在什么条件下(身份、设备、位置)
第二层 — ZTNA:控制用户可以访问哪些主机(微分段)