1.1.1 传统安全模式面临的挑战

1.人和应用脱离安全边界

1）移动办公让人脱离安全边界

随着移动办公的兴起，大量用户从内网走到了外网，脱离了企业的安全边界。用户需要随时随地访问数据资源，而移动办公、远程办公还在加速发展。

2）业务上云让应用脱离安全边界

为了支持业务的发展，业务上云已经成为越来越多企业的必然选择，企业的IT架构逐步从单机房模式演进到云模式，访问者的身份也不再可控。人和业务应用之间的连接、服务和服务之间的连接，都脱离了传统安全边界的范围，如图1-1所示。

人和业务脱离内网之后，网络结构变得复杂，暴露面极速扩大。以边界保护数据中心的传统网络安全模式，无法对抗黑客的不断渗透。黑客可以利用漏洞和弱密码攻击暴露在外的服务器，也可以通过网络钓鱼入侵用户设备……频繁发生的网络安全事件一次次地证明了传统网络安全模式的不可信。企业需要一种新型网络安全架构来应对挑战。

2.对内网的过度信任

传统安全模式在某种程度上假设内网用户、设备和系统是可信的，忽视了来自内网的威胁。企业一般专注于对外部的防御，内网用户的访问行为往往只受到很少的限制。

随着网络攻击手段的提升和APT攻击的泛滥，在复杂的网络环境中，当网络边界过长时，企业网络很难防御住单点进攻。攻击者一旦突破企业的安全边界，就如入无人之境，网络边界也变成了马其诺防线。攻击者可能首先通过网络钓鱼、零日漏洞突破边界的防御，然后在内网肆意传播恶意代码，或者以入侵的服务器为跳板，进一步横向攻击内网的其他服务器。因此，企业不能再完全依赖以边界为中心的防御体系了，而需要一种对所有用户和设备都适用的访问控制体系。