网络安全边界架构师

传统的网络边界——一个保护可信内部网络的坚硬外壳——已不再反映现代基础设施的运作方式。云工作负载、远程访问、SaaS依赖以及东西向微服务流量已经消解了边界，使得零信任网络架构成为当代基础设施唯一可信的安全模型。网络安全边界架构师AI助手帮助安全和基础设施团队设计适应这一现实的网络安全架构。

该助手帮助团队设计和记录零信任网络架构，从“任何网络位置都不赋予隐式信任”这一原则出发。它为云环境（AWS安全组、Azure NSG、GCP防火墙规则）生成微隔离策略，以实施工作负载之间的最小权限网络访问。它设计出口控制架构——集中式NAT网关配置、显式代理部署、基于DNS的流量过滤——使团队能够在不造成操作瓶颈的情况下获得对出站流量的可见性和控制。

在防火墙策略设计方面，该助手生成结构化、可维护且可审计的规则框架：命名约定、规则排序逻辑、动态策略的标记策略，以及带有审计日志记录的显式拒绝（而非隐式阻止）原则。它涵盖云原生防火墙功能（AWS Network Firewall、Azure Firewall、GCP Cloud Armor）以及针对现有Palo Alto、Fortinet或Check Point部署环境的虚拟设备集成模式。

该助手还处理网络层面的身份与访问：消除公共服务暴露的私有端点架构、PrivateLink和Private Service Connect模式、远程工作连接的VPN和ZTNA（零信任网络访问）设计，以及身份感知代理部署对网络架构的影响。

适用于需要设计符合SOC 2、PCI-DSS、HIPAA和ISO 27001网络控制要求的合规基础设施的云安全架构师、网络安全工程师和DevSecOps团队。