From “Trusted Network Access” to “Verified Every Request” For many enterprises, VPN has long been the default solution for remote access.Then, as organizations grew more distributed and cloud-centric, new problems emerged: This is when Zero Trust entered the conversation. But a common question remains: Is Zero Trust just a newer version of VPN?Do we still…
Blog
Zero Trust 與 VPN 的差異
從「連進內網就信任」到「每一次存取都要驗證」 在多數企業的資安演進歷程中,VPN 幾乎都是第一個被採用的「遠端存取解法」。直到某一天,企業開始面臨以下狀況: 於是,Zero Trust(零信任) 開始被頻繁提起。 但很多人心中仍然有一個疑問: Zero Trust 是不是只是「比較新的 VPN」?我們到底還需不需要 VPN? 這篇文章會用企業實務角度,清楚說明Zero Trust 與 VPN 的核心差異、適用場景與轉換思維。 一、先說結論(給很忙的人) VPN 解決的是「怎麼進內網」Zero Trust 解決的是「你能不能做這件事」 兩者解決的問題,從根本就不同。 二、VPN 的核心設計思維 VPN 的基本模型 VPN 的邏輯是: 只要你通過驗證,進入內網,就被當成可信任的一份子 VPN 真正信任的是什麼? 一旦連線成功: 三、VPN 在現代企業的結構性問題 1️⃣ 連線成功 = 信任過大 👉 信任是「一次給完」的 2️⃣ 橫向移動風險極高 👉 VPN 是橫向移動的最佳起點 3️⃣ 與雲端 / SaaS 架構不合拍 結果: 四、Zero Trust 的核心設計思維…
Internal CA and mTLS Architecture in Practice
From Verifiable Certificates to Unspoofable Service Identity After an enterprise has completed the following steps: The next inevitable question becomes: “How do we actually use our Internal CA in an mTLS architecture?” Many enterprises stall at this stage—not because the technology is unavailable, but because: This article provides a hands-on, enterprise-oriented guide to designing and…
Internal CA 與 mTLS 架構實戰
從「可驗證憑證」到「不可偽造的服務身分」 在企業內部完成以下事情之後: 接下來,真正會被問到的關鍵問題一定是: 「我們要怎麼把 Internal CA,真正用在 mTLS 架構裡?」 很多企業卡在這一步的原因不是技術做不到,而是: 這篇文章將用實戰導向的方式,完整說明Internal CA + mTLS 在企業內部如何「用得對、用得穩、用得久」。 一、先建立正確觀念:Internal CA 與 mTLS 各自負責什麼? Internal CA 的角色 👉 Internal CA 是信任基礎,不是安全策略本身 mTLS 的角色 👉 mTLS 是信任的使用方式 關鍵一句話 Internal CA 解決「誰能被信任」,mTLS 解決「連線雙方是不是那個人」。 二、Internal CA + mTLS 的典型企業架構 Internal CA├─ Server Certificates├─ Client Certificates└─ Trust Chain Service / Client│ (Client Cert)▼Reverse Proxy…
Practical Adoption of mTLS in Enterprise Environments
Moving from Encryption to Mutual Identity Verification After enterprises successfully deploy HTTPS and an Internal PKI, a critical question almost always follows: “Do we need mTLS?” Mutual TLS (mTLS) is often viewed with mixed feelings: The truth is: mTLS is not an all-or-nothing decision.It is an enterprise capability that can be adopted incrementally and safely….
mTLS 在企業內部的實際導入方式
從「只有加密」走向「雙向身分驗證」 在企業內部系統全面導入 HTTPS、Internal PKI 之後,下一個幾乎一定會被提出的問題是: 「我們需要 mTLS 嗎?」 很多人對 mTLS(Mutual TLS)既期待又害怕: 事實是: mTLS 不是一次性革命,而是一種「可以逐步導入」的企業安全能力。 這篇文章將從 企業實務角度,說明mTLS 在企業內部「實際可落地」的導入方式與路徑。 一、什麼是 mTLS?(企業白話版) 一般 TLS(HTTPS) mTLS(Mutual TLS) 👉 mTLS 本質是: 「用憑證當身分,而不是只靠 IP、帳密或網段」 二、為什麼企業內部真的需要 mTLS? 在企業實務中,以下問題非常常見: 這些做法在: 中 幾乎全部失效。 👉 mTLS 解決的是: 三、企業內部 mTLS 的典型架構 Service A (Client Cert)│ mTLS▼Service B (Server Cert) 或更常見的 Proxy 架構: 四、mTLS 在企業中「不該」一開始就做的事 先講結論: mTLS…
TLS Verification Details in Apache Reverse Proxy
From “It Connects” to “It Actually Verifies Identity” When Apache is used as a Reverse Proxy in enterprise environments, many teams assume: “HTTPS is enabled, backend services use certificates — so we must be secure.” In reality, Apache’s TLS verification behavior when proxying to HTTPS backends is one of the most common places where enterprises…
Apache Reverse Proxy 的 TLS 驗證細節
從「能連線」到「真正驗證身分」的關鍵設定 在企業環境中使用 Apache 作為 Reverse Proxy 時,很多人會覺得: 「HTTPS 已經開了、後端也用憑證了,應該就安全了吧?」 但實務上,Apache Reverse Proxy 的 TLS 驗證行為,正是多數企業「以為安全、實際卻沒有」的關鍵斷點。 這篇文章會聚焦在一件事: Apache 在 Reverse Proxy → HTTPS Backend 時,到底驗證了什麼?又有哪些設定,才算是真正的 TLS 驗證? 一、先釐清 Apache 在 Reverse Proxy 中的角色 在典型架構中: Apache 同時扮演兩個 TLS 角色: 👉 本文討論的 TLS 驗證,100% 指的是「Apache → Backend」這一段 二、Reverse Proxy + TLS 驗證架構示意 User│ HTTPS (Public Certificate)▼Apache Reverse Proxy│…
How Apache and Nginx Should Properly Trust an Internal PKI
Making HTTPS About Identity Verification — Not Just Encryption After an enterprise deploys an Internal PKI (Internal CA), a common but dangerous situation often appears: “We have certificates, HTTPS is enabled everywhere — so we’re secure.” In reality, many environments look like this: The result: HTTPS exists, but identity is never verified. This article explains…
Apache / Nginx 如何正確信任 Internal PKI
讓 HTTPS 不只加密,而是真正做到「身分驗證」 在企業內部導入 Internal PKI(自建 CA) 之後,很多團隊都會遇到同一個問題: 憑證都有了,HTTPS 也跑起來了,但這樣真的安全嗎? 實務上,常見的現況是: 結果是: 表面上是 HTTPS,實際上卻沒有任何身分保證。 這篇文章將從 企業實戰角度,說明Apache 與 Nginx 要如何「正確、可控、安全地」信任 Internal PKI。 一、先建立正確的觀念(非常重要) 在 Reverse Proxy 架構中: Proxy 同時扮演兩個角色: 👉 Internal PKI 真正發揮價值的地方,是「Proxy → Backend」這一段 如果 Proxy 沒有驗證 Backend 憑證: HTTPS 只剩加密,沒有身分驗證 二、典型企業 Internal PKI 架構 User│ HTTPS (Public Certificate)▼Apache / Nginx Reverse Proxy│ HTTPS (Internal…