這不僅犧牲了原生視窗的高效操作體驗,也衍生出許多新的 Web 資安風險。
為了解決這個兩難,我們透過 SDP、SPA、gRPC、mTLS 與 TOTP 五項技術的整合,實作了一套「去邊界網路安全架構」。在這個架構下,傳統的 Client/Server 系統在不需要改寫 Web 介面的情況下,依然可以安全地跨越網際網路運行。
為了驗證這套架構的可行性,我們在新一代 QBoss Studio 中完整實作了這套設計,並在 Azure 雲端環境進行實際盲測。除了登入時的 MFA 驗證之外,使用者在操作過程中幾乎感受不到與區域網路環境的延遲差異。
以下是完整的技術說明與實作驗證。
傳統的 ERP 系統大多採用 Client/Server (C/S) 區域網路(LAN)架構設計,提供使用者極佳的視窗互動性與操作效率。然而,隨著遠距辦公、廠辦分離、多點營運與跨區銷售等需求日益增加,受限於地理位置的傳統區域網路架構早已不敷使用。
為了解決跨網際網路連線的問題,近年來許多系統紛紛改為 Web 架構,但這往往也意味著必須犧牲原生視窗介面的高效互動性,同時也衍生出許多新型態的 Web 資安風險。
這篇文章將切入一個不同的視角,說明如何透過「五項關鍵技術」,讓 ERP 系統在無須採用 Web 介面的情況下,依然能安全地跨越網際網路運行。既保留 Client/Server 架構專屬的流暢互動性,又具備頂級的安全防護。接下來,我們將為您逐一解析這套架構。
實作去邊界網路安全架構的五項技術
以下這五項技術並不是按照通訊協定的技術流程排列,而是按照是系統管理者的安全視角,由內而外逐層建立信任。1. SDP (軟體定義邊界):動態開啟的安全通道
一聽到要將系統開放跨網際網路使用,企業主最擔心的莫過於伺服器直接暴露在公共網路上的安全風險。透過引入 SDP(Software-Defined Perimeter)軟體定義邊界,可以徹底改變傳統防火牆的運作邏輯。伺服器的通訊埠在平時處於「完全關閉」的狀態,只有在前端設備認證成功後,系統才會針對該次連線動態開啟專屬通訊埠。
這真正落實了「先驗證,後連線」的安全原則,確保沒有任何閒置的開放通道可供駭客利用。
2. SPA (單封包授權):讓伺服器在網際網路上「隱形」
即使通訊埠是動態開啟的,伺服器 IP 一旦存在於公共網路,就可能引來駭客持續進行 Port 掃描、暴力登入或 DDoS 攻擊。為此,我們必須實作 SPA(Single Packet Authorization)敲門機制。在客戶端發送正確的加密敲門封包並驗證成功之前,伺服器會自動丟棄所有未經授權的網路請求。
對網際網路上的攻擊者而言,這台伺服器就像徹底消失了一樣。 連門都找不到,自然無從攻擊。
3. gRPC:克服網際網路延遲的高效能通訊
網際網路的實體路由複雜,連線品質與延遲時間(Latency)遠不如區域網路穩定。若直接將傳統 C/S 架構搬上公網,往往會出現嚴重的卡頓與效能瓶頸。為了解決這個問題,必須揚棄老舊的傳輸方式,採用更現代化、更輕量的高效能通訊協定。
gRPC 採用二進制傳輸與 HTTP/2 標準,能大幅壓縮資料體積並提升雙向傳輸效率,是克服跨網延遲、確保操作流暢度的重要技術。
4. mTLS (雙向安全連線):嚴格把關連線裝置
系統對網際網路開放,意味著企業無法像在辦公室內一樣,輕易確認連線設備是否為可信任的資產。因此必須導入 mTLS(Mutual TLS)雙向傳輸層安全機制。不同於一般網站只有單向驗證(Client 驗證 Server),mTLS 要求 Client 與 Server 必須事先交換並信任彼此的數位憑證。
只有事先登錄並安裝合法憑證的「受信任裝置」,才能建立連線,從設備層面直接阻擋未授權的存取。
5. TOTP (動態密碼):零費用的多因子身分驗證
確認了「網路通道」與「硬體裝置」的安全後,最後一步是確認螢幕前「操作者」的真實身分。透過整合 Google Authenticator 或 Microsoft Authenticator 等免費的 APP,即可輕鬆實作 TOTP (Time-Based One-Time Password) 作為多因子驗證 (MFA)。
使用者在登入時,除了輸入帳號密碼外,還必須輸入手機上即時生成的 6 位數動態密碼,為帳號安全加上最後一道防線。
實作驗證
剛開始提出這套架構時,客戶的接受度其實並不高。當時許多人誤以為我想「不要防火牆」,但事實上,我只是希望防火牆回歸它原本的角色:負責 NAT、流量節制與基本封包過濾,而不是讓防火牆成為整個安全架構的核心。這樣的觀念在當時並不容易被接受。為了驗證這套架構的可行性,我們決定直接將其應用在弈飛資訊新一代的 QBoss Studio 多點銷售營運系統 上,嘗試把原本只存在於區域網路中的 Client/Server 架構,移植到網際網路環境中。
在測試過程中,研發團隊刻意將伺服器部署在 Microsoft Azure 的虛擬機器 上,而使用者則以一般筆記型電腦進行操作,並記錄使用者的實際反應。
我們先讓使用者操作原本運行於區域網路環境下的 QBoss 4.0 會計系統,接著再讓他們操作採用去邊界網路安全架構的 QBoss Studio。
除了功能介面不同,使用者唯一明顯感受到的差異,只有登入時多因子驗證所增加的幾秒鐘時間。在實際操作過程中,大多數使用者完全沒有察覺到, 其中一套系統的主機位於公司內部區域網路,而另一套主機則部署在遠端的 Microsoft Azure 雲端虛擬機器 上。
這正是 gRPC 高效通訊機制 所帶來的效果,也證明了這套架構在跨網際網路環境下的實際可行性。
總結:將網際網路當作區域網路來用
透過 SPA 的隱身機制、SDP 的動態邊界、mTLS 的裝置認證、TOTP 的人員驗證,以及 gRPC 的高效傳輸能力,這五項技術的整合,使 ERP 系統能夠安全地運行於網際網路環境中。這不僅是現代 去邊界網路安全架構(De-perimeterization) 的具體展現,也體現了 零信任架構(Zero Trust) 的核心價值所在。
根據目前在弈飛資訊 QBoss Studio 系統上的實際部署與運行結果,也進一步驗證了這套架構在真實營運環境中的可行性。
