晚上10点14分,位于泗水的物流公司Cakra Nusantara物流的IT安全经理陈伟强(Alvin Chandra)收到了团队几周前刚部署的SIEM系统发来的告警:有人从一个公司员工都不在的城市登录了公司VPN,随即直接访问了ERP系统中存有应收账款和合作伙伴银行账户信息的财务模块。使用的账号属于五周前离职的一名财务人员。人力资源部早已注销了她的邮箱和门禁卡,但没有人想起要停用她的VPN账号——因为VPN和ERP由两个不同的团队管理,没有任何一个系统会在她连上内网后重新验证她的身份。所幸这次事件在数据外泄之前就被发现了。但这件事让陈伟强意识到一个残酷的现实:一旦有人——或者某个程序——通过了大门,老旧系统几乎从不会再问一句:"你真的还有权待在这里吗?"这正是零信任架构要解决的核心问题。
什么是零信任架构
零信任是一种建立在"永不信任,始终验证"这一核心原则之上的安全模型。与传统的边界安全模型(常被称为"城堡与护城河"模型,即假定公司网络内部的一切都是安全的,外部的一切都是威胁)不同,零信任不承认存在任何"安全区域"。无论是总部员工、在巴厘岛远程办公的员工、第三方供应商,还是一个内部服务调用另一个服务的API请求,每一次访问都必须验证身份、检查设备健康状况,并持续重新评估授权——而不是仅在登录时验证一次。访问权限的授予基于身份和上下文(谁、用什么设备、访问哪个资源、在什么条件下),而不是基于网络位置。在旧模型中,一旦有人通过了VPN或防火墙,通常就可以在大多数内部系统之间自由移动。而在零信任架构下,每一个系统、每一个API、每一个网络分段都有自己独立的验证关卡。
分布式世界中边界安全的真实代价
"城堡与护城河"式安全模型是为员工都在同一间办公室、应用都跑在内部服务器、"内外"界限分明的时代而设计的。如今的商业现实早已面目全非,这种落差带来了实实在在的后果:
远程与混合办公风险——员工一旦从家里、咖啡馆或分公司访问ERP或CRM系统,"安全的内部网络"这个概念就失去了意义;接入公共Wi-Fi的笔记本电脑随时可能成为通往核心业务系统的入口。
入侵后的横向移动——攻击者一旦获取一个薄弱的凭证,在没有分段的扁平网络中就能在服务器之间自由跳转,把一次小事故变成一场全面的数据泄露。
不受控的第三方供应商访问——许多企业向IT外包商、审计人员或顾问发放没有明确边界的通用VPN账号,一个疏忽的供应商就可能成为整个网络的攻击入口。
离职员工权限未及时收回——就像陈伟强遇到的情况,人工离职流程常常留下长达数周的空窗期,期间旧凭证在未接入中央目录的系统上仍然完全有效。
合规与审计失败——监管机构和ISO 27001审计人员越来越要求提供细粒度、按资源划分的访问控制证明;只记录"谁连上了VPN"的边界模型根本无法回答"谁访问了哪些具体数据"。
防火墙/VPN层的单点故障——一旦VPN设备本身被攻破或配置错误,整个防线会瞬间崩溃,因为背后没有第二层验证。
这六种情况有一个共同点:一旦突破了外部边界,内部就再也没有分层检查。零信任彻底颠覆了这一假设。
零信任实施的核心组件
构建零信任并不是购买一款产品那么简单,而是搭建多个相互支撑的控制层。必备要素包括:
集中式身份提供商(IdP)配合SSO和MFA——从ERP到邮箱,所有业务应用都应通过统一的身份源(Azure AD/Entra ID、Okta、Google Workspace)进行认证,并强制启用多因素认证,这样一个凭证泄露就不会打开所有大门。
设备健康状态验证——系统在授予敏感数据访问权限前,会检查连接设备是否已加密、杀毒软件是否启用、系统补丁是否更新——不只看是谁在请求,还要看是从什么设备发出的请求。
网络微分段——将网络划分为若干小区域(例如财务数据库服务器与文件共享服务器相互隔离),这样攻击者攻破一个分段后无法自动触及另一个分段。
最小权限与即时(JIT)访问——每个账号,包括管理员账号,只获得完成任务所需的最小权限,特权访问以临时方式授予并自动过期,而非长期有效。
集中式策略引擎——一个实时评估每一次访问请求的决策引擎,依据身份、设备、位置、数据敏感度和风险评分,决定放行、拒绝或要求二次验证。
持续监控与日志记录——对敏感系统的每一次访问都被SIEM或类似工具记录并分析,异常登录地点或非工作时间的访问会被自动捕获,而不是几周后才被发现。
API网关强制执行——对于基于微服务架构的现代应用,无论是内部调用还是第三方调用,每一次API请求都必须经过网关验证令牌、限制速率并记录每笔交易。
全程加密——数据无论是静态存储还是传输过程中都要加密,包括内部服务之间的通信,而不仅仅是公网入口处。
这八个组件相辅相成;哪怕只遗漏一项——比如部署了MFA却忽视了微分段——都会留下可被横向移动利用的重大缺口。
自建还是采用零信任平台
对大多数印尼企业而言,真正的问题不是"是否要自己搭建每一个组件",而是"自建与采用成熟平台的比例该如何分配"。Okta、微软Entra ID(原Azure AD)或谷歌BeyondCorp风格的方案已经以托管服务的形式提供了身份提供商、策略引擎和设备健康检查——按用户按月计费,但实施周期大幅缩短,企业内部团队也无需自行维护核心安全基础设施。对于IT团队精简、或急需满足大型客户尽职调查要求的企业来说,这是更合适的选择。
自建方案——例如在Open Policy Agent之上编写自定义策略引擎,或使用内部防火墙手动划分网络——则适用于业务需求高度特殊、交易量大到按用户收费的商业许可成本过高,或所在行业(银行、医疗)的监管要求企业必须完全掌控身份基础设施的情况。实践中,大多数切实可行的实施方案都是混合模式:采用商业IdP来实现SSO和MFA(因为从零重建安全认证系统风险极高),同时针对企业独特的内部应用架构,自行构建微分段策略和API网关规则。AFSS通常建议以成熟的IdP平台作为基础,再在其上构建策略层和ERP集成层——这样既能降低风险,又能加快上线速度。
印尼市场的成本与周期估算
零信任实施成本很大程度上取决于组织规模以及推行范围的深度。以下是印尼企业的大致参考区间:
入门级(20-100名用户的中小企业,聚焦SSO+MFA+针对ERP和邮箱的基础访问策略):约1.5亿-3.5亿印尼盾(约合9,500-22,000美元),实施周期2-3个月。适合刚开始收紧访问控制、且需要快速满足大企业客户尽职调查要求的公司。
中端级(100-500名用户的企业,涵盖网络微分段、设备健康检查,以及针对多个核心业务应用的API网关集成):约4.5亿-10亿印尼盾(约合28,000-63,000美元),周期4-7个月,包含按部门分阶段试点。
企业级(500名以上用户、多分支机构、需满足ISO 27001或印尼《个人数据保护法》(UU PDP)审计等严格合规要求,包含定制策略引擎和全面集成的SIEM):约18亿-45亿印尼盾(约合114,000-285,000美元),周期8-14个月,主要考虑到遗留系统迁移和跨部门培训的复杂度。
除了实施成本外,还应为IdP平台的年度许可费用(通常每用户每月3-8美元,视功能等级而定)以及定期合规审计费用留出预算——这两项开支在初期预算规划中经常被遗漏。
案例研究:Cakra Nusantara物流
在那次离职员工VPN事件之后,陈伟强向Cakra Nusantara物流(一家在六个城市拥有340名员工的物流公司)董事会提交了一份分阶段的零信任项目方案。第一阶段(第1-3个月)用基于Azure AD、强制启用MFA的SSO取代了老旧VPN,覆盖ERP和车队追踪系统的全部访问。第二阶段(第4-6个月)推行微分段,将财务数据库服务器与仓库运营服务器隔离,并为所有管理员账号实施即时访问策略。第三阶段(第7-8个月)为供外部合作伙伴访问的货运追踪系统集成了API网关。
全面实施九个月后,成果显著:得益于接入SIEM的持续监控,可疑活动的平均检测时间从11天缩短至4小时。平均响应时间从3天缩短至不到2小时,因为安全团队现在可以按会话单独撤销访问权限,而无需关闭整个系统。一次访问审计发现并撤销了47个权限过高的账号,其中9个属于仍处于活跃状态的离职员工。仅在头六个月,微分段防线就成功拦截了23次横向移动尝试——这些事件在旧架构下根本不可能被发现。董事会还注意到,在下一次保单续保时,网络安全保险保费下降了18%,这在很大程度上得益于显著增强的合规报告能力。
上线后需要持续追踪的指标
零信任不是一个完成后就可以放手不管的项目——它的有效性需要持续衡量:
- 平均检测时间(MTTD)——从可疑活动发生到系统发出警报所经过的时间。
- 平均响应时间(MTTR)——从检测到撤销访问权限或事件被控制所经过的时间。
- 每季度审计发现并撤销的权限过高账号数量。
- MFA采用率——覆盖全部用户群体,包括服务账号和API凭证。
- 微分段控制拦截的横向移动尝试次数。
- 权限开通/收回的平均耗时——新员工获得权限、离职员工权限被完全收回各需要多长时间。
- 设备健康合规率——访问敏感系统时,满足最低安全标准的设备所占比例。
定期追踪这些指标——最好通过IT团队和管理层每月review的仪表盘——才能确保零信任的投入持续创造价值,而不是悄悄退化成一年后就被遗忘的一次性项目。
如果贵公司仍然仅靠VPN和防火墙作为唯一的防线,那么类似陈伟强遇到的事件迟早会发生。AFSS帮助印尼企业设计并构建符合自身规模和预算的零信任架构,从基础的SSO到完整的微分段方案。欢迎查看我们的价格方案,或直接提交项目需求进行初步咨询。



