企业在内网自建应用,通过企微等WrorkSpace 平台发布,会遇到内网访问,成员身份认证,员工安装客户端等场景,在企业级集成中,有些场景比较棘手。
如:如何在保持内网应用物理隔离的同时,无缝对接企业微信(WeCom)的身份认证体系?
传统的 ZTNA(零信任网络访问)方案往往过于"沉重"。它们强制接管全局流量,要求终端安装客户端,且私有化部署成本很高。对于只需要通过企微访问几个内网 Dashboard 的企业来说,这种"全家桶"式的架构不仅对现有网络需要改造,更是提高了管理复杂度。
ZeroNews 提供了一种更优雅的路径:应用级边缘网关(Application-Level Edge Gateway) 。
当企业试图在内网环境集成企微认证时,通常会遇到三个难题:
痛点 1 : 架构摩擦
传统零信任需要改造现有网络拓扑,对防火墙进行修改。
痛点 2 : 部署开销
整套零信任系统的维护成本、授权费用以及硬件消耗,往往远超应用本身的价值。
痛点 3 : 用户摩擦
所有人都需要安装零信任vpn客户端,既繁琐,又影响体验。
新架构 : ZeroNews 企业 网关 + 企业 微信
ZeroNews 的解决方案理念是 " 零接触 " 。我们通过企业安全网关+应用级隧道和解耦的 IAM 架构,在保障安全的前提下,实现了简单的接入体验。更重要的是,不需要所有人额外安装客户端。
核心原则
解耦认证
我们在边缘网关侧引入了 ZeroNews IAM 模块,可实现私有化部署。这意味着ZeroNews不会获取企业微信的用户通讯录。
zeronews 安全网关与IAM 系统,已经完成了企业微信的对接适配,管理员只需在可视化界面上完成简单配置,即可接入访问。
端到端加密
企业用户除了要求体验流畅外,对于安全也非常重视。基于我们的专利技术,端到端的TLS ,在内网 Edge Agent 上与内网上游服务处终止(Termination)两种方式,私钥证书企业自己管理,即便流量经过我们的边缘节点,我们也无法解密你的业务数据。真正做到了企业数据安全自主可控。
无客户端化
访问应用的用户,无需安装任何 APK 或证书。只需在企微中点击应用,网关会自动处理基于 SNI 的路径匹配与身份重定向。被授权的访问用户,在企微里感受不到任何多余步骤。
实现逻辑
身份映射 :
将企微的 OAuth2.0 回调地址映射到 ZeroNews 提供的 CNAME 域名。
流量管理 :
在边缘网关层配置访问策略,仅允许来自企业微信 IP 段或持有特定 JWT 令牌的请求进入隧道。
QoS 管理 :
为不同的内部应用(如:OA vs 视频服务)分配独立的带宽配额,确保关键业务的体验不受干扰。
访问 效果
企微内自建应用:
将企业内部部署的应用,通过企业微信应用平台,发布出来,只允许通过企业微信成员登录,如果员工被授权访问了,则企微内访问无需手动点击认证,访问无感。
浏览器 访问 :
除了企微内访问外,也支持浏览器访问,企微微信扫码认证登录,授权的用户将正常登录,未授权的用户,会被拒绝。
结果 & 收益
通过这种轻量化架构,企业可以获得以下实际收益:
|--------|-------------|---------------------------------------------------|
| 功能 | 零信任 | ZeroNews G at e w a y |
| 用户体验 | 所有用户需要安装客户端 | 不需要安装客户端 |
| 网络影响 | 企业全部流量接管 | 针对应用层级 |
| 数据策略 | VPN加密 | 端到端的TLS,私钥企业管理 |
| 成本 | 高 | 低 |
| 可观测行 | 通用日志/审计日志 | 应用级审计和带宽控制 |
让安全归于无感
ZeroNews 的愿景并不是构建另一个复杂的网络围墙,而是通过边缘治理(Edge Governance) ,让内网应用像公网服务一样易于访问,同时像物理离线一样安全。