SmartLink + ZTNA:双重安全防线
背景
Claire是BioLab的首席信息安全官(RSSI),该实验室有90名员工,分布在三个地点并有远程办公。公司在自有服务器上托管了关键的内部应用——LIMS(实验室管理系统)、ERP、法规文档库。Claire希望在不暴露内部网络到互联网、也不让团队使用传统VPN的情况下,保护这些应用的访问安全。
没有SmartLink + ZTNA时的问题
使用传统VPN时:
- 一旦连接VPN,用户可以访问整个内部网络(“城堡”模式)
- 如果某台设备被攻破,攻击者就能访问整个网络
- VPN维护繁琐、速度慢,影响用户体验
- 无法细粒度控制:无法只授权访问单一应用
- VPN凭证是额外的攻击面,需要管理
仅用ZTNA(Tailscale/Headscale)时:
- 网络被分段,但应用的认证依然传统(用户名/密码)
- 内部应用的密码仍是薄弱环节
- 无法按应用层面追踪谁访问了什么
- 无法集中管理应用访问权限
解决方案:SmartLink + Tailscale/Headscale
将SmartLink与零信任网络(Tailscale或其开源替代Headscale)结合,可获得两层互补的安全防护:
第一层 — SmartLink:控制谁可以访问以及在什么条件下(身份、设备、位置)
第二层 — ZTNA:控制用户可以连接到网络中的哪些主机(微分段)
使用SmartLink + ZTNA
步骤1 — 部署零信任网络
Claire部署了Headscale(自托管以保证数据主权)或启用Tailscale(企业版)。每台托管内部应用的服务器都加入零信任网络。
步骤2 — 将SmartLink作为身份提供者接入
Claire将SmartLink配置为Tailscale/Headscale的OpenID Connect(OIDC)身份提供者。现在,员工要加入零信任网络,必须通过SmartLink和其VaultysID进行认证。
步骤3 — 按组定义ACL
Claire基于SmartLink分组定义网络访问规则:
- **“实验室”**组仅能访问LIMS和文档库
- **“财务”**组仅能访问ERP
- **“管理层”**组可访问所有应用
- 无人能访问未被明确授权的服务器
步骤4 — 增加SmartLink策略
Claire通过SmartLink的设备访问策略(DAP)加强安全:
- 访问LIMS需生物识别VaultysID,且设备必须在公司网络或ZTNA内
- 访问ERP需浏览器为最新版本且操作系统受支持
步骤5 — 日常用户体验
Paul是一名远程工作的研究员,他打开浏览器:
- 使用VaultysID(扫码+指纹)在SmartLink上认证
- Tailscale/Headscale客户端通过SmartLink SSO自动认证
- Paul在SmartLink仪表盘点击LIMS
- SmartLink通过加密隧道自动连接应用
全程无感。Paul无需输入密码,也无需手动启动VPN。
零信任架构详解
能防护哪些威胁?
| 威胁类型 | 传统VPN | 仅用ZTNA | SmartLink + ZTNA |
|---|---|---|---|
| 凭证被盗 | ❌ 全网可访问 | ⚠️ 网络有限,但应用仍暴露 | ✅ 加密身份(VaultysID)+网络分段 |
| 设备被攻破 | ❌ 全网暴露 | ⚠️ 网络分段但仍有风险 | ✅ 设备策略可阻止不合规设备 |
| 横向移动 | ❌ 可横向遍历全网 | ✅ 微分段 | ✅ 微分段+应用层控制 |
| 应用密码被盗 | ❌ 可直接访问应用 | ❌ 可直接访问应用 | ✅ 无密码暴露(保险箱) |
| 离职后访问 | ⚠️ 撤销慢 | ⚠️ 仅撤销网络访问 | ✅ 网络+应用一键撤销 |
| 合规审计 | ❌ 日志分散 | ⚠️ 仅有网络日志 | ✅ 网络+应用全程可追溯 |
零信任原则落地
“永不信任,始终验证”
- 验证身份 → VaultysID(无密码加密认证)
- 验证设备 → SmartLink设备访问策略(操作系统、浏览器、IP)
- 最小权限访问 → Tailscale/Headscale ACL(仅授权必要服务器)
- 应用访问控制 → SmartLink SSO(仅授权应用)
- 端到端加密 → Tailscale/Headscale WireGuard隧道
- 持续监控 → SmartLink日志 + ZTNA日志联动
选Tailscale还是Headscale?
| 评估项 | Tailscale | Headscale |
|---|---|---|
| 托管方式 | 云端(Tailscale公司) | 自托管 |
| 数据主权 | 数据存储在Tailscale | 100%完全自主控制 |
| 部署难度 | 非常简单 | 需有运维能力 |
| 费用 | 收费(SSO需企业版) | 免费开源 |
| 支持 | 商业支持 | 社区支持 |
| SmartLink集成 | SSO OIDC + WebFinger | SSO OIDC |
两种方案均可通过OpenID Connect与SmartLink无缝集成。
有哪些变化
| 未使用本方案 | 使用SmartLink + ZTNA |
|---|---|
| VPN=全网可访问 | 用户&应用级微分段 |
| VPN凭证+应用密码 | VaultysID唯一认证 |
| 内部应用暴露在公网 | 应用对互联网完全不可见 |
| 撤销慢且不彻底 | 网络+应用一键即时撤销 |
| 日志分散且不完整 | 端到端全链路可追溯 |
| 边界安全(城堡模式) | 零信任安全(持续验证) |
涉及功能
- 🔗 SSO OpenID Connect — SmartLink作为身份提供者
- 🌐 Tailscale集成 — Tailscale SSO配置指南
- 🌐 Headscale集成 — Headscale SSO配置指南
- 🛡️ 访问策略(DAP) — 设备与访问条件控制
- 📁 文件夹管理 — 按组组织访问权限
- 🔐 VaultysID — 无密码加密身份认证