零信任架构是否意味着要完全淘汰企业VPN？

并非完全淘汰。零信任架构改变了VPN的使用范式。传统提供整个内网访问的VPN会被零信任网络访问（ZTNA）解决方案取代，后者提供基于应用的精细访问。然而，VPN技术本身作为一种安全的传输协议，在零信任体系中可能仍会作为底层连接组件存在，但其上层的访问控制逻辑完全由零信任策略引擎管理。

对于已经部署了传统VPN和防火墙的企业，向零信任迁移的第一步是什么？

最务实的第一步是建立强大的身份基石。这包括部署全公司范围的多因素认证（MFA）和强化身份与访问管理（IAM）系统。在身份验证可靠的基础上，可以选择一个或几个关键业务应用（如CRM、财务系统），试点部署ZTNA解决方案，为其替换掉传统的VPN访问方式。这个过程可以逐步进行，无需一次性替换所有VPN连接。

代理服务器在零信任模型中主要承担什么新功能？

在零信任模型中，代理服务器从简单的网关演变为策略执行和风险评估的关键节点。其主要新功能包括：作为所有用户访问互联网和云应用的统一安全入口（即安全服务边缘的一部分）；实时分析流量、用户行为和设备状态，为持续的身份验证和风险评估提供数据；执行精细化的数据安全策略，如数据丢失防护和内容隔离。

企业级安全连接新范式：零信任架构如何重塑VPN与代理的角色

3/29/2026 · 4 min

传统边界安全模型的局限性

长期以来，企业网络安全依赖于“城堡与护城河”式的边界防御模型。虚拟专用网络（VPN）作为这一模型的典型代表，通过在受信任的企业内网与外部用户或设备之间建立加密隧道，实现远程访问。网络代理则主要用于内容过滤、访问控制和匿名化。然而，在云计算、移动办公和物联网（IoT）时代，这种基于网络位置划分“信任区”的模型暴露出显著缺陷：一旦攻击者突破边界，便可在内网横向移动；同时，它无法有效验证内部用户或设备的持续可信状态。

零信任架构的核心原则

零信任架构摒弃了“内部即安全”的默认假设，其核心信条是“永不信任，始终验证”。它建立在几个关键原则之上：

最小权限访问：授予用户和设备完成特定任务所需的最低限度访问权限，且访问权限是动态、临时的。
显式验证：每次访问请求都必须经过严格的身份验证和授权，无论请求源自网络内部还是外部。
假定违规：假设网络环境已被渗透，因此需要持续监控和评估用户、设备及会话的风险。
微分段：将网络细分为更小的、隔离的区段，以限制攻击的横向扩散。

VPN与代理在零信任环境中的演变

在零信任框架下，VPN和代理并未被完全淘汰，而是被赋予了新的角色和更精确的职责。

VPN的角色转变

传统VPN提供的是广泛的网络层访问，相当于为用户打开了进入整个内网的大门。在零信任模型中，VPN的功能被解构和精细化：

从网络访问转向应用访问：零信任网络访问（ZTNA）解决方案取代了传统VPN，提供基于身份和上下文的、对特定应用程序或服务的直接访问，而非整个网络。
作为连接组件：VPN技术可能被降级为一种安全的传输层组件，用于在不可信网络上建立加密链路，但其上层的访问控制完全由零信任策略引擎驱动。

代理的角色增强

代理服务器在零信任架构中找到了更核心的位置，功能得到显著扩展：

安全服务边缘（SSE）的关键入口：现代云代理（如安全Web网关、云访问安全代理）成为实施零信任策略的前沿执行点。所有流量，无论来自何处，都通过这些云安全服务进行路由、检查和保护。
持续风险评估：代理可以实时分析用户行为、设备健康状态和流量内容，为策略引擎提供动态的风险评估数据，用于实时调整访问权限。
数据安全与隔离：通过代理，可以实现数据在用户设备与云应用之间的安全中转与隔离，防止数据泄露。

实施零信任架构的路径建议

企业向零信任迁移并非一蹴而就，建议采取渐进式策略：

识别与分类：首先对关键数据资产、应用程序和用户角色进行识别与分类。
建立强大身份基石：部署多因素认证（MFA）和统一的身份与访问管理（IAM）系统，这是零信任的基础。
从关键应用开始：选择少数高价值或高风险的应用，率先实施ZTNA，取代其对应的传统VPN访问方式。
采用云交付安全服务：逐步将安全Web网关、防火墙即服务等代理类安全功能迁移到云端，形成统一的安全服务边缘。
实施网络微分段：在数据中心和云环境中开始实施网络微分段，限制东西向流量。
整合与自动化：通过一个集中的策略管理平台，整合所有安全控制点，并利用自动化实现策略的持续验证与调整。

结论

零信任架构并非一个具体产品，而是一种战略性的安全框架。它正在将VPN从一种广泛的网络连接工具，转变为更精细、上下文感知的访问控制体系中的可选传输组件；同时，它将代理从简单的流量转发器，提升为执行持续验证和实施安全策略的智能网关。对于企业而言，拥抱零信任意味着从依赖静态边界的防御，转向以身份为中心、动态自适应的安全新模式，从而更好地应对日益复杂的网络威胁和灵活的业务需求。