前言:遠端存取的安全典範正在轉移
VPN(虛擬私人網路)在過去二十年是企業遠端存取的標準解決方案。然而隨著雲端應用普及、混合辦公常態化,以及攻擊者對 VPN 漏洞的高度關注,傳統 VPN 的安全缺陷正逐漸難以忽視。Gartner 預測,到 2025 年底,至少 70% 的新遠端存取部署將採用 ZTNA 而非 VPN。本文深度解析兩者差異,協助企業做出最適合自身情況的選擇。
一、VPN 的三大致命弱點
1. 隱式信任(Implicit Trust)
傳統 VPN 的核心假設是:通過身份驗證的使用者就值得信任。一旦使用者連線成功,即可存取企業內網中大量的資源,有時甚至是整個內部網段。這種「護城河式」(Castle-and-Moat)的安全模型在現代威脅環境中極其危險:若攻擊者盜取了一組 VPN 帳號密碼,他便可以在內網中自由橫向移動,如入無人之境。
2. 過度授權(Over-Privileged Access)
VPN 通常以網路層級(Layer 3)的方式授予存取權限,難以精確控制到「使用者 A 只能存取應用程式 B 的特定功能」這樣的細粒度(Granular)存取政策。IT 管理員往往為了方便而給予過大的存取範圍,大幅擴大了攻擊面。
3. 效能瓶頸(Performance Bottleneck)
傳統 VPN 架構通常要求所有流量回流(Hairpin)至企業總部的 VPN 閘道,再從閘道轉發至目的地(包括 SaaS 應用程式)。這種架構在使用者存取 Microsoft 365 或 Salesforce 等雲端應用時,會產生不必要的延遲,嚴重影響使用體驗。混合辦公普及後,VPN 集中點更容易成為效能瓶頸。
二、什麼是 ZTNA?核心原則「永不信任,持續驗證」
ZTNA(Zero Trust Network Access,零信任網路存取)是一種基於零信任原則設計的存取控制架構。其核心理念是:永不信任任何使用者、裝置或網路位置;在每次存取請求時持續驗證身份、裝置健康狀態與存取政策合規性。
ZTNA 的關鍵特性包括:
- 最小權限存取:使用者只能存取被明確授權的應用程式或資源,而非整個網段
- 應用程式層級隔離:每個應用程式都是獨立的存取對象,隱藏於公開網際網路之外
- 持續驗證:不只在登入時驗證,在會話期間也持續評估裝置狀態與使用者行為
- 身份與裝置雙重驗證:結合 IdP(身份提供者)與 MDM(行動裝置管理)確認裝置合規
- 就近存取:流量不須回流總部,可就近連接至最近的 PoP(接入點)
三、ZTNA vs VPN 詳細比較
| 比較項目 | 傳統 VPN | ZTNA |
|---|---|---|
| 安全模型 | 隱式信任(通過驗證即信任) | 零信任(永不信任,持續驗證) |
| 授權粒度 | 網路層級(IP 範圍、子網路) | 應用程式層級(細粒度政策) |
| 效能影響 | 流量回流造成延遲,雲端存取慢 | 就近存取,低延遲,雲端應用快速 |
| 橫向移動防護 | 差(可存取整個內網) | 佳(應用程式微分段隔離) |
| 管理複雜度 | 需管理實體/虛擬設備與憑證 | 雲端管理,政策集中配置 |
| 擴充性 | 受限於硬體容量,擴充成本高 | 雲端彈性擴充,無容量上限 |
| 適用場景 | 傳統地端應用、少量遠端使用者 | 混合雲、大量遠端工作者、BYOD |
四、ZTNA 的三種部署模式
1. Proxy-based(代理型)
流量透過 ZTNA 服務商的雲端代理節點轉發。使用者連接至代理,代理驗證後再轉發至目標應用程式。優點是部署簡單,應用程式無須修改;缺點是流量可能有輕微延遲,且依賴服務商基礎設施的可用性。代表廠商:Zscaler Private Access(ZPA)、Cloudflare Access。
2. Endpoint-based(端點型)
在使用者裝置上安裝輕量級代理程式(Agent),代理程式負責驗證身份、評估裝置健康狀態,並建立加密通道。優點是可提供更豐富的裝置上下文資訊,適合受管裝置(Managed Device)環境。代表廠商:Palo Alto Networks Prisma Access、CrowdStrike Falcon ZTNA。
3. Service-initiated(服務啟動型)
連接器(Connector)安裝在應用程式伺服器端,主動向 ZTNA 雲端平台建立外向連線(Outbound)。應用程式本身不需要對外開放任何入站埠口,大幅降低暴露面。這是最安全的模式,也稱為「應用程式隱藏」架構。代表廠商:BeyondCorp Enterprise、Tailscale。
五、企業導入 ZTNA 五步驟
Step 1:盤點應用程式清單
建立完整的應用程式資產清單,分類哪些是地端應用、哪些是 SaaS,以及每個應用程式的使用者群體與業務重要性。這是定義存取政策的基礎。
Step 2:定義存取政策
針對每個應用程式,定義「誰(使用者/群組)」在「什麼條件下(裝置合規、地理位置、時間)」可以存取「哪些功能」。遵循最小權限原則,從最嚴格的政策開始,再視需要放寬。
Step 3:整合 MFA 與 IdP
ZTNA 的身份驗證品質直接決定安全效果。整合企業現有的 IdP(如 Azure AD、Okta)並強制啟用 MFA。建議採用免密碼(Passwordless)驗證方式,如 FIDO2 硬體金鑰或生物辨識。
Step 4:試行部署(Pilot)
選擇 1-2 個非關鍵應用程式與小規模使用者群體進行試行部署。收集效能數據與使用者反饋,優化政策設定後再擴大範圍。
Step 5:全面切換與 VPN 退場
逐步將所有應用程式遷移至 ZTNA 架構。完成後規劃 VPN 退場時程,避免兩套系統長期並行維護的複雜度。舊 VPN 設備的退場也能節省授權與維護費用。
六、中小企業適用方案與凱茂資訊服務
許多中小企業認為 ZTNA 是大企業的專利,但現在市場上已有多個適合中小企業的解決方案:
- Cloudflare Zero Trust:免費方案支援最多 50 名使用者,入門門檻極低
- Tailscale:基於 WireGuard 的簡易 ZTNA,個人與小型團隊免費,設定極為簡便
- Microsoft Entra Private Access:已使用 Microsoft 365 的企業可直接啟用,整合 Azure AD
- Cisco Duo + ZTNA:適合已有 Cisco 網路設備的企業,可逐步升級
凱茂資訊可協助企業評估現有 VPN 架構的安全風險,規劃 ZTNA 導入路線,並提供部署、整合與後續維運支援,協助企業在不影響日常業務的前提下完成零信任轉型。
重點摘要
- VPN = 連上就信任整個網路;ZTNA = 每次只授權特定應用
- ZTNA 不暴露內部 IP,橫向移動風險大幅降低
- 過渡期建議 VPN + ZTNA 並行,新應用優先用 ZTNA
- Fortinet ZTNA、Palo Alto Prisma Access 是台灣主流方案
有任何問題,歡迎與我們討論。
預約免費架構盤點 →