資安網路 — 設定提案書
系統對外連線架構與資安白名單設定提案書
為配合貴單位嚴格的資安網路管控規範,本團隊針對系統對外連線架構,提出以下四種可行方案。綜合考量資安防護層級與實務維運成本,強烈建議採用「方案一」或「方案二」。
方案一:專屬實體位址直連 搭配 國際標準加密
本團隊推薦【技術架構】Let's Encrypt 獨立發證 + Cloudflare 僅作域名解析(DNS Only)
- 原理解析
- 系統部署於固定公網 IP,由 origin 主機自行以 Let's Encrypt 簽發的憑證終結 TLS,HTTPS 在用戶端與 origin 之間端對端加密。Cloudflare 僅作為權威 DNS(DNS Only,灰雲模式),解析時直接回傳 origin 的真實固定 IP,流量不經其代理、直連 origin;Cloudflare 全程不接觸傳輸明文,只負責網域名稱解析。
- 資安優勢
- 完美契合傳統防火牆的運作機制。貴單位只需放行單一固定目標,不需開放大範圍網段,且資料傳輸全程加密,無外洩疑慮。
- 需要貴單位協助之事項
- 請貴單位網路管理部門,於防火牆對外白名單中開通此單一 IP 位址:
220.128.158.152(通訊埠:TCP Port 443)。
方案二:網域識別放行
業界最高資安標準【技術架構】FQDN(完整網域名稱)白名單
- 原理解析
- 防火牆以網域名稱(FQDN)而非 IP 作為出向放行條件。設備在 TLS 交握階段讀取 ClientHello 中明文的 SNI 欄位(或搭配 DNS 解析側錄)判定連線目的網域,僅放行目標為指定網域的連線,其餘一律阻擋。此機制需具備應用層/FQDN 識別能力的次世代防火牆方能支援。
- 資安優勢
- 這是目前金融業與大型企業最通用的標準做法,能精準阻擋惡意連線,防護力極高。
- 需要貴單位協助之事項
- 需請貴單位網路管理人員,將我們的專屬網域名稱(Domain)納入防火牆白名單。此方案需貴單位的網路防護設備支援「應用層/FQDN 識別」功能方能執行。
方案三:使用雲端代理服務網段
管理風險偏高【技術架構】啟用 Cloudflare 代理防護(Proxy)
- 原理解析
- 啟用 Cloudflare Proxy(橘雲模式)後,網域解析指向 Cloudflare 的 anycast IP 網段;連線先終結於 Cloudflare 邊緣節點,再由邊緣節點回源至 origin,用戶端不直接連線 origin IP。防火牆若要放行,須開放 Cloudflare 對外公告的整段 IP 範圍,而該網段為所有使用 Cloudflare 的網站所共用、且會定期變動。
- 資安風險評估
- 放行對象為 Cloudflare 共用的對外網段,而非單一目的位址。放行整段範圍後,內部主機即可連線至任何經該網段代理、且 DNS 能解析的網站,白名單的管控粒度相對較粗,建議納入考量。
- 需要貴單位協助之事項
- 貴單位需在防火牆中,開放所有 Cloudflare 對外的官方 IP 網段。且因為這些 IP 是浮動的,貴單位的網管人員必須定期或透過自動化腳本,即時更新這些浮動 IP 的白名單。
方案四:無加密原始通訊
不建議:資料暴露風險極高【技術架構】使用純 HTTP 明文傳輸
- 原理解析
- 未啟用 TLS 的純 HTTP 直連。匯入 VM 的資料以明文傳輸至固定 origin IP,全程不加密,任何位於傳輸路徑上的中繼節點皆可讀取或竄改內容。
- 資安風險評估
- 雖然這個方案非常簡單,可以直接綁定單一 IP 位址,且不需要經過任何第三方服務商,但資料暴露風險極高。任何在網路上傳遞的節點,都能輕易看見或竄改傳輸內容。
- 需要貴單位協助之事項
- 請貴單位網路管理部門,於防火牆對外白名單中開通此單一 IP 位址:
220.128.158.152(通訊埠:TCP Port 443)。