SmartLink + ZTNA:双重安全防线
背景
Claire 是 BioLab 的信息安全负责人,该实验室有 90 名员工,分布在三个地点并有远程办公。公司在自有服务器上托管关键内部应用——LIMS(实验室管理)、ERP、合规文档库。Claire 希望保护这些应用的访问,不暴露内网到互联网,也不让团队使用传统 VPN。
没有 SmartLink + ZTNA 的问题
使用传统 VPN:
- 一旦连接 VPN,用户可以访问整个内网��(“城堡”模式)
- 如果终端被攻破,攻击者可访问整个网络
- VPN 维护繁琐、速度慢、影响用户体验
- 无法细粒度控制:无法只开放单个应用
- VPN 账号又是一个需管理的攻击面
仅用 ZTNA(Tailscale/Headscale):
- 网络被分段,但应用认证还是传统(用户名/密码)
- 内部应用的密码依然是薄弱环节
- 无法掌握谁在应用层访问了什么
- 无法集中管理应用访问权限
解决方案:SmartLink + Tailscale/Headscale
将 SmartLink 与 Zero Trust 网络(Tailscale 或其开源替代 Headscale)结合,可获得两道互补的安全防线:
第一层 — SmartLink:控制谁可以访问及在什么条件下(身份、设备、位置)
第二层 — ZTNA:控制用户可以访问哪些主机(微分段)
使用 SmartLink + ZTNA
步骤 1 — 部署 Zero Trust 网络
Claire 部署自托管的 Headscale(数据主权)或启用 Tailscale(Business 版)。每台托管内部应用的服务器都加入 Zero Trust 网络。
步骤 2 — 连接 SmartLink 作为身份提供方
Claire 配置 SmartLink 作为 Tailscale/Headscale 的 OpenID Connect(OIDC)身份提供方。现在,员工要加入 Zero Trust 网络,必须通过 SmartLink 和 VaultysID 认证。
步骤 3 — 按组定义 ACL
Claire 基于 SmartLink 组定义网络访问规则:
- **“实验室”**组仅访问 LIMS 和文档库
- **“财务”**组仅访问 ERP
- **“管理层”**组可访问所有应用
- 任何人都不能访问未明确授权的服务器
步骤 4 — 增加 SmartLink 策略
Claire 用 SmartLink 的设备访问策略加强安全:
- 访问 LIMS 必须用生物识别 VaultysID,且��设备在公司网络或 ZTNA 网络
- 访问 ERP 必须用最新浏览器和受支持操作系统
步骤 5 — 日常用户体验
Paul 是远程办公的研究员,他打开浏览器:
- 用 VaultysID(扫码+指纹)登录 SmartLink
- Tailscale/Headscale 客户端通过 SmartLink SSO 自动认证
- Paul 在 SmartLink 仪表盘点击 LIMS
- SmartLink 通过加密隧道自动连接应用
一切无感。Paul 无需输入密码,也无需手动启动 VPN。
Zero Trust 架构详解
能防护哪些威胁?
| 威胁类型 | 传统 VPN | 仅用 ZTNA | SmartLink + ZTNA |
|---|---|---|---|
| 凭证被盗 | ❌ 全网可达 | ⚠️ 网络受限但应用仍暴露 | ✅ 密码学身份(VaultysID)+ 网络分段 |
| 终端被攻破 | ❌ 全网暴露 | ⚠️ 网络分段但部分暴露 | ✅ 设备策略阻断不合规终端 |
| 横向移动 | ❌ 可横向全网 | ✅ 微分段 | ✅ 微分段 + 应用层控制 |
| 应用密码被盗 | ❌ 可直接访问应用 | ❌ 可直接访问应用 | ✅ 无已知密码(保险箱) |
| 离职后访问 | ⚠️ 撤销慢 | ⚠️ 仅撤销网络权限 | ✅ 一键撤销网络和应用权限 |
| 合规审计 | ❌ 日志分散 | ⚠️ 仅有网络日志 | ✅ 集中日志+一键生成 ISO 27001 报告 |
Zero Trust 原则落地
“永不信任,始终验证”
- 身份验证 → VaultysID(无密码密码学认证)
- 设备验证 → SmartLink 设备访问策略(操作系统、浏览器、IP)
- 最小权限访问 → Tailscale/Headscale ACL(仅所需服务器)
- 应用访问控制 → SmartLink SSO(仅授权应用)
- 端到端加密 → Tailscale/Headscale WireGuard 隧道
- 持续监控 → SmartLink 日志(审计追踪)+ ZTNA 日志结合
- 合规报告 → 一键生成 RSSI、CTO、ISO 27001 报告
Tailscale 还是 Headscale?
| 对比�项 | Tailscale | Headscale |
|---|---|---|
| 部署方式 | 云端(Tailscale Inc.) | 自托管 |
| 数据主权 | 数据存储在 Tailscale | 100% 自主可控 |
| 易用性 | 非常简单 | 需有运维能力 |
| 费用 | 付费(SSO 需 Business 版) | 免费且开源 |
| 支持 | 商业支持 | 社区支持 |
| SmartLink 集成 | SSO OIDC + WebFinger | SSO OIDC |
两者都可通过 OpenID Connect 与 SmartLink 完全兼容。
有哪些变化
| 未结合方案 | 使用 SmartLink + ZTNA 后 |
|---|---|
| VPN = 全网可达 | 用户和应用级微分段 |
| VPN 账号 + 应用密码 | 唯一 VaultysID 认证 |
| 内部应用暴露互联网 | 应用对互联网完全不可见 |
| 撤销慢且不彻底 | 网络与应用权限一键即时撤销 |
| 日志分散且不完整 | 集中日志+合规报告 |
| 边界安全(城堡模式) | Zero Trust 安全(持续验证) |
涉及功能
- 🔗 SSO OpenID Connect — SmartLink 作为身份提供方
- 🌐 Tailscale 集成 — Tailscale SSO 配置指南
- 🌐 Headscale 集成 — Headscale SSO 配置指南
- 🛡️ 访问策略(DAP) — 设备与访问条件控制
- 📁 文件夹管理 — 按组组织访问权限
- 🔐 VaultysID — 无密码密码学身份
- 📜 日志审计 — 实时网络与应用连接日志
- 📑 报告 — 一键生成 RSSI、CTO、ISO 27001 审计报告