為什麼零信任不再是選項,而是必要?
傳統的邊界安全模型(Perimeter-based Security)假設「內網是安全的」——一旦通過防火牆進入企業網路,就能自由存取內部資源。但在雲端原生、遠端工作和微服務架構的時代,這個假設已經徹底崩塌。VPN 被入侵、內部員工帳號被盜、橫向移動攻擊層出不窮——傳統城堡護城河模型再也擋不住現代威脅。
零信任的核心原則只有一句話:“Never trust, always verify”。不論請求來自公司辦公室還是咖啡廳 Wi-Fi,每一次存取都必須經過身分驗證、裝置信任檢查和情境評估。信任不再是二元的「內部 vs 外部」,而是基於多維度訊號的動態決策。
這不是理論——Google 自己就是零信任的先驅。2009 年「極光行動(Operation Aurora)」攻擊事件後,Google 啟動了 BeyondCorp 計畫,將整個企業網路從邊界模型遷移至零信任架構。十多年後,這套實踐成為 GCP 上所有企業客戶可用的服務。
💡 考試小提示:PCA 題目問到「如何讓遠端員工安全存取內部應用」或「取代 VPN 的方案」,答案幾乎都指向 Chrome Enterprise Premium 搭配 Identity-Aware Proxy(IAP)。
Chrome Enterprise Premium
Chrome Enterprise Premium 是 Google 零信任方案的商業化產品,讓企業不需要 VPN 就能安全存取內部應用程式。它的架構建立在三根支柱上:
三大支柱
- 使用者身分(User Identity) — 透過 Cloud Identity 或 Google Workspace 驗證使用者,支援多因素驗證(MFA)和 SSO 整合
- 裝置信任(Device Trust) — 透過 Endpoint Verification 評估裝置狀態:是否加密、是否安裝最新安全更新、是否為公司管理的裝置
- 情境感知存取(Context-Aware Access) — 綜合使用者身分、裝置狀態、IP 位址、時間等多維度訊號,動態決定是否授權存取
與 IAP 的整合
Identity-Aware Proxy(IAP) 是 BeyondCorp 的執行引擎。它作為反向代理攔截所有對受保護應用的請求,根據 Access Level 判斷是否放行:
- 應用程式無需修改程式碼——IAP 在 Load Balancer 層級執行驗證
- 支援 Web 應用(HTTP/HTTPS)和 TCP 轉發(SSH、RDP)
- 每次請求都重新評估存取權限,不存在「登入後就永遠信任」的問題
💡 考試小提示:IAP 是應用層級(Layer 7)的存取控制,它保護的是「誰能存取哪個應用」,而非網路層級的連線。題目若提到「不修改應用程式碼就實現零信任」,答案就是 IAP。
Cloud Armor 進階防護
在 VPC 網路課程中我們介紹了 Cloud Armor 的基礎功能。作為零信任架構的應用層防線,以下是架構師需要深入掌握的進階能力:
預設 WAF 規則與 OWASP 防護
Cloud Armor 提供預設規則集,可一鍵啟用 OWASP Top 10 防護:
| 規則集 | 防護目標 | 使用場景 |
|---|---|---|
| SQL Injection | SQL 注入攻擊 | 任何使用資料庫的 Web 應用 |
| XSS | 跨站腳本攻擊 | 有使用者輸入的前端應用 |
| LFI / RFI | 本地/遠端檔案包含 | PHP 或動態檔案處理的應用 |
| RCE | 遠端程式碼執行 | 所有公開的 Web 服務 |
| Scanner Detection | 自動化掃描工具 | 生產環境基本防護 |
Adaptive Protection
Adaptive Protection 是 Cloud Armor 的智慧層——它使用機器學習模型分析流量基線,自動偵測 Layer 7 DDoS 攻擊模式,並產生建議的防護規則。當流量模式偏離正常基線時,系統會發出警報並建議特定的過濾規則,管理員可以一鍵套用。
Rate Limiting 與地理篩選
- Rate Limiting — 依 IP 位址、HTTP Header 或 Cookie 限制請求速率,防止暴力破解和 API 濫用
- Geo-based Filtering — 依來源國家/地區允許或封鎖流量,滿足資料主權合規需求
- Bot Management — 整合 reCAPTCHA Enterprise,透過風險分數區分真人、好的機器人和惡意機器人
💡 考試小提示:Cloud Armor 主要搭配 External Application Load Balancer(含 Global),透過 regional security policies 也支援附加到 Regional External Application Load Balancer(2023 年底 GA)與 Regional Internal Application Load Balancer 的 backend service。要注意的是它不適用於 passthrough Network Load Balancer 這類非 proxy 的 LB——這才是常見的陷阱點。
縱深防禦架構
零信任不是單一產品,而是多層防線的協同運作。縱深防禦(Defense in Depth) 確保即使某一層被突破,攻擊者仍然面對下一道屏障:
| 防禦層級 | 核心服務 | 防護目標 |
|---|---|---|
| 網路層 | Hierarchical Firewall、VPC Firewall | 控制網路流量進出,阻擋未授權連線 |
| 身分層 | Cloud IAM、BeyondCorp、IAP | 驗證「誰」能存取「什麼」,最小權限原則 |
| 應用層 | Cloud Armor、reCAPTCHA Enterprise | 過濾惡意請求,防禦 DDoS 和應用層攻擊 |
| 資料層 | VPC Service Controls、CMEK、DLP | 防止資料外洩,加密敏感資料,限制 API 存取範圍 |
每一層都獨立運作,但彼此互補。例如:Hierarchical Firewall 阻擋了大部分惡意 IP,但漏過的流量會被 Cloud Armor 的 WAF 規則攔截;即使攻擊者繞過了 WAF,IAP 的身分驗證仍然要求有效的憑證;就算憑證被盜,VPC Service Controls 的存取邊界仍然阻止資料被複製到不受信任的專案中。
Hierarchical Firewall 實務
Hierarchical Firewall Policies 讓安全團隊在組織(Organization)和資料夾(Folder)層級定義防火牆規則,強制所有下層專案遵守:
優先順序與評估流程
規則評估遵循嚴格的層級順序:
- 組織層級策略 — 最高優先,適用於全組織
- 資料夾層級策略 — 次高,適用於特定業務單元
- VPC 防火牆規則 — 專案層級,各團隊自行管理
goto_next 委派機制
這是 Hierarchical Firewall 最精妙的設計——goto_next 動作允許上層策略將特定流量的決定權委派給下一層級:
- 組織層級:封鎖所有已知惡意 IP(
DENY),允許常見服務端口(ALLOW),其餘流量goto_next交給資料夾層級處理 - 資料夾層級:針對業務單元特殊需求添加規則,其餘
goto_next交給 VPC 層級 - VPC 層級:各團隊根據應用需求管理細粒度規則
這種模式既維護了全組織的安全基線,又給予各團隊足夠的彈性。
💡 考試小提示:題目描述「安全團隊需要全組織統一的防火牆基線,同時允許各團隊管理自己的規則」,答案就是 Hierarchical Firewall Policies 搭配
goto_next。
Certificate Authority Service
Certificate Authority Service(CAS) 是 GCP 的全代管私有憑證授權機構(Private CA),為零信任架構的 mTLS 提供憑證基礎設施:
核心能力
- 私有 CA 階層 — 支援 Root CA 和 Subordinate CA 的多層架構,Root CA 可以選擇離線儲存提高安全性
- 憑證生命週期管理 — 自動簽發、續約和撤銷(Revocation),搭配 CRL 和 OCSP 回應器
- 與 GKE/Cloud Service Mesh 整合 — 自動為 Service Mesh 中的每個工作負載簽發短期憑證,實現服務間的 mTLS(Mutual TLS)
mTLS 在零信任中的角色
傳統 TLS 只驗證伺服器身分(單向),mTLS 則雙向驗證——客戶端和伺服器都必須出示有效憑證。在微服務架構中,這意味著每個服務都有加密身分,服務間通訊不僅加密,還能基於憑證身分做授權決策。
搭配 Cloud Service Mesh,CAS 可以:
- 自動為每個 Pod 注入 sidecar proxy 處理 mTLS
- 頻繁輪換短期憑證(預設 24 小時),降低憑證洩漏的影響範圍
- 以服務身分(Service Identity)而非網路位址做存取控制
零信任實施路線圖
零信任不是一夜之間的改造,而是分階段的旅程。以下是 GCP 上的建議實施路徑:
Phase 1:身分基礎(1-2 個月)
- 導入 Cloud Identity 統一使用者目錄
- 啟用所有帳號的 多因素驗證(MFA)
- 實施 最小權限 IAM 策略,清除過度授權的角色
Phase 2:裝置信任(2-3 個月)
- 部署 Endpoint Verification 到所有公司裝置
- 定義裝置合規標準(加密、OS 版本、安全更新)
- 建立 Access Levels 整合裝置狀態
Phase 3:情境感知存取(3-4 個月)
- 啟用 Chrome Enterprise Premium 和 IAP
- 為關鍵應用設定情境感知存取政策(身分 + 裝置 + 位置)
- 開始逐步淘汰 VPN,優先遷移低風險應用
Phase 4:持續驗證(持續進行)
- 部署 VPC Service Controls 建立資料安全邊界
- 啟用 Security Command Center Premium 做持續威脅偵測
- 實施 mTLS(搭配 CAS + Service Mesh)確保服務間零信任
- 建立自動化回應機制:異常行為 → 自動降級存取權限
實戰情境
情境一:遠端工作者的零信任存取
背景:一家金融科技公司有 500 名員工分佈全球,需要安全存取部署在 GCP 上的內部管理系統和客戶資料庫,同時滿足金融監管的稽核要求。
架構決策:
- 使用 Chrome Enterprise Premium + IAP 取代傳統 VPN,員工透過瀏覽器直接存取應用
- Endpoint Verification 確認裝置加密狀態和安全更新,不合規裝置只能存取低敏感度應用
- Access Level 設定:公司管理裝置 + MFA → 完整存取;個人裝置 + MFA → 唯讀存取;未知裝置 → 拒絕
- Cloud Armor 搭配 Global HTTP(S) LB 防禦 DDoS 和 Web 攻擊,啟用 Adaptive Protection
- Hierarchical Firewall 在組織層級封鎖高風險國家 IP 範圍
- 所有存取紀錄匯入 Cloud Logging → BigQuery,供合規團隊稽核
情境二:微服務架構的 mTLS 零信任
背景:一個電商平台在 GKE 上運行 30+ 微服務,需要確保服務間通訊安全,防止被入侵的單一服務橫向擴散攻擊。
架構決策:
- 部署 Cloud Service Mesh 搭配 Certificate Authority Service 作為私有 CA
- 啟用 Strict mTLS Mode——所有服務間通訊強制雙向 TLS,無憑證的請求直接拒絕
- 透過 Cloud Service Mesh AuthorizationPolicy 定義服務間的存取矩陣:例如只有
order-service能呼叫payment-service - 憑證自動輪換,生命週期設定為 12 小時,即使憑證洩漏影響範圍也極為有限
- VPC Service Controls 建立安全邊界,確保 GKE 叢集中的服務只能存取同一邊界內的 BigQuery 和 Cloud Storage,資料無法被複製到邊界外
重點整理
- 零信任的核心是「Never trust, always verify」——從邊界安全轉向身分安全,每次存取都需驗證
- Chrome Enterprise Premium + IAP 是 GCP 的零信任存取方案,無需 VPN 即可安全存取內部應用
- Cloud Armor 提供應用層防護——WAF、Adaptive Protection、Rate Limiting 和 Bot Management,主要搭配 External Application Load Balancer(含 Global),亦支援 regional security policies 用於 Regional External/Internal ALB
- 縱深防禦四層架構:網路(Firewall)→ 身分(IAM/IAP)→ 應用(Cloud Armor)→ 資料(VPC SC/加密)
- Hierarchical Firewall 搭配
goto_next實現「全組織基線 + 團隊彈性」的防火牆治理 - Certificate Authority Service 為 mTLS 提供私有 CA,搭配 Service Mesh 實現服務間零信任
- 零信任是分階段旅程——從身分基礎開始,逐步推進至裝置信任、情境感知和持續驗證
下一步
在下一課中,我們將進入技術與業務流程優化,探討 CI/CD 與軟體開發流程,包括 Cloud Build、Cloud Deploy 與安全軟體供應鏈的架構設計。