前面談過 Zero Trust 的身分、裝置、資料，今天來到第四根柱子：網路（Network）。
老實說，這一塊其實跟傳統 IT 網路很像，像 CCNA 的考題一堆都在講 VLAN、防火牆、ACL。
但差別是：在 Zero Trust 的世界裡，這些技術不是「堆設備」，而是「切碎、限制、再加監控」。

傳統內網的問題

過去的企業網路設計常見這樣的邏輯：

• 只要連上 VPN → 等於進入「安全區域」。
• 內部網段都是平的 → 伺服器、用戶端、產線設備全混在一起。

結果就是：
駭客只要攻下其中一台機器，就能透過 橫向移動（Lateral Movement），一路掃描、嘗試弱密碼、利用共享資源，最終取得 AD 控制權。
這就是為什麼常見的資安事件，都是「一台失守，整網淪陷」。

Zero Trust 網路哲學：分段與限制

Zero Trust 的第四柱強調：網路必須被切分，並且每個區塊都要最小化權限。

1. 網段分離（Segmentation）

• 依部門區分 VLAN：研發、財務、產線、訪客 → 各自獨立。
• 伺服器區域隔離：AD、ERP、檔案伺服器不要跟用戶端在同一個平面。
• OT 與 IT 網段分開：產線機器與公司內部電腦必須斷開，只透過受控的閘道溝通。

2. 最小必要通道（Least Privilege Networking）

• ACL 與防火牆規則 → 只允許必須的應用連線。

  • 產線電腦只需要連 MES，就封掉其他不相關的通道。
  • 財務電腦只要連 ERP，不該能掃整個 192.168.0.0/16。

• 採 白名單模式，而不是「預設放行、遇事再擋」。

3. 流量檢測（Traffic Monitoring）

• 東西向流量（East-West）監控：
  內部主機互相溝通的流量，比進出口流量更容易藏駭客活動。

• IDS/IPS、NDR、甚至 EDR 日誌，都要整合起來，才能偵測「異常的橫向移動」。

• 此時就需要 SIEM：
  把防火牆 Log、EDR Event、NDR Flow 全部集中，做關聯分析。

  • 例如：員工 PC 同時對多個伺服器發起 SMB 掃描 → 高風險。
  • ERP 帳號在半夜從產線 VLAN 登入 → 立即告警。

實務案例

想像一個沒有分段的環境：

1. 一台員工筆電中標 → 駭客拿到 VPN 帳號。
2. 進內網後馬上橫掃，找到一台老舊伺服器弱密碼。
3. 取得更高權限後，成功跳到 AD Domain Controller。
4. 之後整個公司所有電腦都被勒索。

如果採用 Zero Trust：

• VPN 帳號只能進特定 VLAN。
• 產線 VLAN 與 AD VLAN 完全隔離。
• ERP 僅開放特定帳號、特定網段能連。
• 橫向掃描異常流量會被 SIEM 偵測到。

結果就是：駭客被困在一小塊網段，無法橫向擴散。

「沒有一張萬用通行證，每一步都要驗證。」
這樣才能避免駭客利用一個破口就跑遍全公司。