零信任網路架構
Vibe Prompt
「幫我設計一個零信任網路架構:所有流量都需驗證、最小權限、持續監控。」
零信任三原則
1. 永不信任,永遠驗證
└── 不論來源是什麼,都要檢查身份與權限
2. 最小權限
└── 只給剛剛好的權限,不多給
3. 假設已被入侵
└── 設計時假設攻擊者已經在內部網路
技術架構
使用者 → Identity Provider (Google/Azure AD)
│
▼
認證閘道 (Cloudflare Access / BeyondCorp)
│ (驗證身份 + 檢查裝置)
▼
內部服務 (不直接暴露,只接受來自閘道的流量)
│
▼
微服務間 (mTLS 雙向認證,所有通訊加密)
│
▼
資料庫 (只允許特定服務連線,IP 白名單)
Cloudflare Zero Trust
# 設定 Access Policy
tunnel:
ingress:
- hostname: app.vibe-tutor.com
service: http://localhost:3000
access:
required: true
policies:
- email_domains: ["vibe-tutor.com"]
- country: ["TW", "JP", "US"]
零信任成熟度模型
| 階段 | 說明 | |------|------| | 1. 傳統邊界 | VPN + 防火牆 | | 2. 混合 | VPN + 部分 Zero Trust | | 3. 零信任基礎 | 身份為核心、微隔離、mTLS | | 4. 自動化零信任 | AI 驅動的動態權限調整 |
課程總結
網路安全課程完成!
- ✅ 網路安全基礎
- ✅ WebGoat 實戰
- ✅ WAF 設定
- ✅ DDoS 防護
- ✅ 零信任架構