這系列的前兩篇文章中,我們談到零信任的兩個基本問題:「是誰在登入?」以及「這台設備安全嗎?」。這篇要談第三個問題,也是很多企業容易忽略的:就算人對了、設備也沒問題,但我們真的要讓他進入整個公司內部網路嗎?
大多數企業使用 VPN 的方式是:員工通過帳號密碼驗證後,建立一條虛擬專線連回公司內網。邏輯很直覺——驗證通過,就信任你,讓你進來。
問題是,進了內網,就等於進了公司每條走道,甚至房間的門都可以去嘗試開啟。攻擊者一旦取得帳號,進來之後就能掃描內部系統、嘗試連線其他伺服器,一步步擴大控制範圍。這個過程在資安領域稱為橫向移動(Lateral Movement),而 VPN 的設計竟然讓橫向移動變得更容易。
Fortinet FortiGate 是台灣企業非常普遍的防火牆兼 VPN 設備。2025 年初揭露的漏洞( CVE-2024-55591,CVSS 9.6),讓攻擊者可以完全繞過身分驗證、自行建立帳號留下後門,直接取得進入內網的通道。此漏洞對台灣中小企業的影響應該積極評估。
零信任網路存取(ZTNA)的出發點很簡單:不讓使用者進入整個網路,只給他存取那個他需要的應用系統。
舉個例子。業務人員需要用 CRM,登入後就只看得到 CRM,其他系統對他來說不存在或連不到。外包廠商進行維護,就只能連線到指定伺服器或跳板機,其他資源也一律存取不到。這樣的設計,讓攻擊者即便取得帳號,也找不到橫向移動的空間。兩者的差異整理如下:
由此看來,啟用 VPN 其實也就是增加一項對外曝險介面。
「有 VPN 加 MFA,算不算零信任?」這是實務輔導中最常被問到的問題。答案是:不算。
VPN 加 MFA 讓進門的過程更嚴格,但進門之後的世界還是一樣大,這是傳統信任模型的強化版,不是零信任。零信任在意的不是「如何讓使用者安全地進來」,而是「使用者根本不需要進入整個網路」。
當然不代表要立刻停用所有 VPN。對多數組織來說,兩者可以並存,優先從風險較高的情境導入 ZTNA,例如外部廠商連線、遠距工作、特權帳號存取核心系統,這些使用情境出問題往往影響最大。
實務上建議從三件事著手進行。首先,盤點哪些系統是遠端存取的主要對象,例如 ERP、CRM、研發環境,這些是優先保護的範圍。接著,針對這些系統建立應用層級的存取控制,讓不同角色只看到對應的系統。最後,從外部廠商與遠距工作開始,逐步取代 VPN 情境,這兩類帳號一旦外洩,影響往往最難察覺。
以 ISO/IEC 27001 的角度來看,A.8.20 網路安全 與 A.8.21 網路服務之安全 兩項控制措施,正是在要求組織管控網路存取的範圍與方式。ZTNA 的導入,便是將這些要求轉化為具體技術機制的做法。
從 VPN 走向 ZTNA,說到底就是把「信任整個網路」的習慣,改成「信任每一次的存取行為」。這個轉變不必一步到位,但值得開始思考及改善。
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者;曾任資安輔導顧問,專長:資安、個資、人工智慧
