零信任網路架構
Vibe Prompt
「幫我設計一個零信任網路架構:所有流量都需驗證、最小權限、持續監控。」
零信任三原則
1. 永不信任,永遠驗證
└── 不論來源是什麼,都要檢查身份與權限
2. 最小權限
└── 只給剛剛好的權限,不多給
3. 假設已被入侵
└── 設計時假設攻擊者已經在內部網路
技術架構
使用者 → Identity Provider (Google/Azure AD)
│
▼
認證閘道 (Cloudflare Access / BeyondCorp)
│ (驗證身份 + 檢查裝置)
▼
內部服務 (不直接暴露,只接受來自閘道的流量)
│
▼
微服務間 (mTLS 雙向認證,所有通訊加密)
│
▼
資料庫 (只允許特定服務連線,IP 白名單)
Cloudflare Zero Trust
# 設定 Access Policy
tunnel:
ingress:
- hostname: app.vibe-tutor.com
service: http://localhost:3000
access:
required: true
policies:
- email_domains: ["vibe-tutor.com"]
- country: ["TW", "JP", "US"]
零信任成熟度模型
| 階段 | 說明 | |------|------| | 1. 傳統邊界 | VPN + 防火牆 | | 2. 混合 | VPN + 部分 Zero Trust | | 3. 零信任基礎 | 身份為核心、微隔離、mTLS | | 4. 自動化零信任 | AI 驅動的動態權限調整 |
課程總結
網路安全課程完成!
- ✅ 網路安全基礎
- ✅ WebGoat 實戰
- ✅ WAF 設定
- ✅ DDoS 防護
- ✅ 零信任架構
關鍵要點
- ✅ 請根據本章主題補充具體的學習重點
- ✅ 建議加入比較表格、程式碼範例或流程圖
- ✅ 確保內容扎實且有價值
零信任網路的實現
核心元件
| 元件 | 功能 | 實作範例 | |:----:|------|---------| | Policy Engine | 根據身份、裝置、情境決定存取權限 | Zscaler、Cloudflare Access | | Identity Provider | 使用者身分驗證 | Okta、Auth0、Keycloak | | Device Agent | 檢查裝置安全性 | CrowdStrike、SentinelOne | | Micro-Segmentation | 細分內部網路區段 | VMware NSX、Calico |
實際配置
# Cloudflare Access Policy
# 只有特定 Email 網域 + 通過裝置檢查才能存取內部工具
policies:
- name: "Allow corporate access"
decisions:
- allow
include:
- email_domain: "company.com"
- device_posture: "os_version_checked"
- country: "TW"
VPN vs 零信任
| 比較 | VPN | 零信任 (ZTNA) | |------|:---:|:-------------:| | 存取範圍 | 連上 VPN = 存取整個內網 | 每次連線都經過驗證 | | 橫向移動 | ❌ 攻擊者可在內網自由移動 | ✅ Micro-segmentation 限制 | | 使用者體驗 | 需安裝 VPN 用戶端 | 透過瀏覽器即可 | | 延遲 | VPN 伺服器可能瓶頸 | 邊緣節點全球分佈 | | 管理成本 | VPN 閘道需維護 | SaaS 服務,免維護 |
零信任:不再信任任何人,連內網也不行
傳統的網路安全模型是城堡與護城河——內部網路是安全的,外部網路是危險的。只要進入了內部網路,就預設信任。
這個模型在 2024 年已經徹底失效。
- 一個釣魚郵件就能讓攻擊者取得內部存取權
- 一旦進入內網,攻擊者可以在內部自由橫向移動
- 平均停留時間(Dwell Time):204 天——攻擊者在你的內網中藏了半年才被發現
零信任的三大核心原則
| 原則 | 傳統模型 | 零信任模型 | |:----:|:--------:|:----------:| | 顯式驗證 | 進入內網後就信任 | 每次存取都需要驗證 | | 最小權限 | 內網內的存取範圍很大 | 只給完成工作所需的最小權限 | | 假設被入侵 | 「我們不會被攻破」 | 「我們已經被攻破了」——預設最壞情況 |
實作零信任的具體措施
1. 裝置:所有存取裝置必須符合安全基準
- 已安裝防毒軟體
- OS 版本符合最低要求
- 已完成修補
2. 身分:每次存取都驗證
- 不只是首次登入
- 異常行為時要求重新認證
3. 應用:只允許授權的應用執行
- 應用白名單
- 防止未授權軟體執行
4. 資料:資料在傳輸與靜態都加密
- TLS for transit
- KMS for encryption at rest
- DLP for data loss prevention
課程總結
你已完成網路安全課程的全部五章:
- 網路安全基礎 — OSI 模型、縱深防禦
- WebGoat 實戰 — 動手練習常見漏洞
- WAF 與 ModSecurity — 應用層防火牆
- DDoS 防護 — 多層次防禦策略
- 零信任網路架構 — 新一代安全思維
從基本的防火牆規則,到 WAF、DDoS 防護,再到零信任——網路安全是一個不斷演進的領域,而這五堂課為你建立了完整的知識基礎。