Giảm thiểu rủi ro an ninh mạng với mô hình Zero Trust

Trong kiến trúc Zero Trust, các phần tử bổ sung mô phỏng phạm vi tấn công và phần tử xác nhận liên tục giúp giảm thiểu rủi ro, hỗ trợ các  tổ chức chuẩn bị sẵn sàng để ứng phó với các vi phạm an ninh bảo mật.

Zero Trust là gì?

Ông Greg Copeland, Giám đốc Liên minh kỹ thuật, Keysight Technologies vừa có bài phân tích về khả năng hiện thị theo mô hình Zero Trust.

Zero Trust (ZTA) là một thuật ngữ thời thượng do các nhà cung cấp an ninh bảo mật mạng sáng tạo ra. Tuy nhiên, không tồn tại một giải pháp ZTA duy nhất. Kiến trúc ZTA bao gồm nhiều phần tử, khi kết hợp với nhau tạo thành một mô hình mới về đảm bảo an ninh mạng.

Mô hình này đáp ứng được các nhu cầu của thế giới hiện đại, trong đó các hoạt động của các doanh nghiệp lớn không bị giới hạn trong những ranh giới được xác định rõ ràng và cần độ tin cậy cao như môi trường làm việc từ xa và đám mây điện toán.

Giảm thiểu rủi ro an ninh mạng với mô hình Zero Trust

Khái niệm ZTA bắt đầu được hình thành để đáp ứng các xu hướng như sử dụng thiết bị cá nhân tại nơi làm việc (BYOD) và sử dụng hạ tầng đám mây điện toán bên ngoài phạm vi của doanh nghiệp.

Trong kiến trúc ZTA, các biện pháp phòng vệ không chỉ giới hạn ở các vành đai mạng cố định mà tập trung bảo vệ người dùng, tài sản và tài nguyên. Vị trí hoặc tình trạng sở hữu không còn là những căn cứ duy nhất để có thể hoàn toàn tin tưởng các tài sản CNTT và tài khoản người dùng.

Hoạt động xác thực và phân quyền trong kiến trúc ZTA được thực hiện đối với mọi tài nguyên doanh nghiệp trước khi bắt đầu một phiên làm việc. Mục tiêu chính của các hoạt động này là bảo vệ tài nguyên (tài sản, dịch vụ, quy trình làm việc, tài khoản...), thay vì bảo vệ các phân đoạn mạng.

Xu hướng kiểm soát bảo mật mới

Theo phân tích của chuyên gia Keysight Technologies, trong hệ thống CNTT truyền thống của doanh nghiệp, vành đai mạng được bảo vệ tại một số vị trí bằng các công nghệ như công nghệ Tường lửa (Đôi khi còn được gọi là vành đai “Bắc-Nam”). 

 

Vành đai an ninh bảo mật truyền thống từng được xác định rõ ràng đang biến mất, do đại dịch đã khiến nhiều người lao động phải làm việc tại nhà, và đồng thời do tác động của các xu hướng đã xuất hiện từ trước về truy cập từ xa và truy cập đám mây.

“Mặc dù Tường lửa vẫn là công nghệ quan trọng, nhưng công nghệ này không thể đáp ứng toàn bộ nhu cầu an ninh bảo mật đối với cơ sở hạ tầng phân tán, linh động và được định nghĩa bằng phần mềm. Vị trí trên mạng không còn là yếu tố đảm bảo sự tin cậy của tài sản CNTT”, chuyên gia Keysight Technologies nhận định.

Trong bối cảnh nhiều doanh nghiệp, đơn vị đã chuyển hoạt động lên môi trường làm việc từ xa, trên đám mây, cần có xu hướng bảo mật mới. Với mô hình Zero Trust, các thiết bị sẽ tham gia vào nhiều vị trí trong hệ thống từ xa, cho phép các đơn vị theo dõi mạng liên tục, trực quan.

Cụ thể, kiến trúc ZTA được bổ sung thêm các phần tử để bảo mật bên trong vành đai mạng (đôi khi miền bên trong này được gọi là hành lang “Đông-Tây”, hoặc Nội bộ), hoặc bảo mật tại những nơi có tài nguyên cần cho ứng dụng như đám mây điện toán. Các phần tử này kiểm soát quyền truy cập vào tài nguyên và bao gồm: quản lý định danh, xác thực, phân quyền các đặc quyền, các điểm thực thi chính sách (PEP), phân đoạn vi mô và vùng tin cậy ngầm định, vành đai bảo vệ được định nghĩa bằng phần mềm và tuân thủ quy định.

Các phần tử kiểm soát như phân đoạn vi mô có thể được thực hiện bằng cách đặt các điểm PEP chuyên dụng, hoặc phần cứng hoặc phần mềm được cấu hình đặc biệt như Tường lửa thế hệ mới (NGFW), để bảo vệ thông tin liên lạc giữa các tài nguyên nội bộ. Để đơn giản hóa, các phần tử kiểm soát của kiến trúc ZTA có trách nhiệm kiểm soát quyền truy cập của người dùng tới tài nguyên, bất kể tài nguyên đó nằm ở vị trí nào.

Ngoài kiểm soát quyền truy cập, kiến trúc ZTA còn có các phần tử bổ sung liên quan đến xác nhận bảo mật như kiểm kê thiết bị, giám sát lưu lượng mạng, nguồn cấp dữ liệu về các mối đe dọa cũng như chẩn đoán và khôi phục liên tục. “Công việc của các phần tử đảm bảo khả năng hiển thị này là xác nhận rằng ZTA kiểm soát quyền truy cập an toàn như mong đợi. Tôi gọi các khía cạnh này của kiến trúc ZTA là Khả năng hiển thị theo mô hình Zero Trust. Các phần tử hiển thị này thường ít được chú ý hơn so với các phần tử kiểm soát, nhưng không vì thế mà kém quan trọng hơn”, ông Greg Copeland cho hay.

Ví dụ như, biết rõ cần kiểm soát những nguồn lực nào là cơ sở của việc thực thi chính sách. Sẽ thường xuyên xuất hiện những thiết bị CNTT mới và chưa được nhận dạng, chưa xác định rõ là độc hại hay không độc hại. Do đó, cần có cơ chế kiểm tra để xác định rõ các thiết bị  cần ưu tiên bảo mật. Phát hiện và ứng phó với các mối đe dọa trên tất cả các thiết bị đã biết và trước đây chưa biết có vai trò thiết yếu - các kỹ thuật quan trọng bao gồm giám sát lưu lượng mạng, nguồn cấp dữ liệu về mối đe dọa, ghi nhật ký và phân tích siêu dữ liệu (metadata). Giải mã cũng là một trong những tính năng quan trọng.

Một ví dụ khác là nhu cầu liên tục xác nhận các kiểm soát bảo mật giữa các thiết bị điểm cuối để đảm bảo phát hiện các trường hợp vi phạm có thể xảy ra. Các kỹ thuật mới như mô phỏng vi phạm và tấn công giúp mô phỏng một cách an toàn các cuộc tấn công giữa các thiết bị điểm cuối và báo cáo về kết quả của các cuộc tấn công mô phỏng này. Kết quả của các báo cáo này có thể được sử dụng để điều chỉnh các phần tử kiểm soát của kiến trúc ZTA (ví dụ: các quy tắc về phân đoạn vi mô được định nghĩa bằng phần mềm, cấu hình thực thi chính sách, định danh và cấp đặc quyền).

Tựu chung, kiến trúc ZTA là một mô hình phong phú, trong đó không có duy nhất một giải pháp chung cho mọi vấn đề. Kiến trúc này cần cách tiếp cận đa dạng, bao gồm cả các phần tử kiểm soát an ninh và phần tử hiển thị để vận hành thành công. Các phần tử bổ sung như mô phỏng vi phạm và tấn công và phần tử xác nhận liên tục giúp giảm thiểu rủi ro và giúp các tổ chức chuẩn bị sẵn sàng để ứng phó với các vi phạm an ninh bảo mật.

An Nhiên 

Chủ đề : an ninh mạng
 
List comment
 
Đồng Tháp sẽ đảm bảo kinh phí cho ATTT đạt tối thiểu 10% tổng chi CNTT
icon

Trong giai đoạn 2021 - 2025, Đồng Tháp sẽ đảm bảo tỷ lệ kinh phí chi cho các sản phẩm, dịch vụ an toàn thông tin (ATTT) mạng đạt tối thiểu 10% tổng chi cho CNTT. Tỷ lệ này của Đồng Tháp trong giai đoạn 2016 - 2020 là 7,72%.

 
Nhà Trắng cảnh báo lỗ hổng Microsoft Exchange
icon

Hôm 7/3, Nhà Trắng thúc giục các tổ chức xem xét hệ thống của họ có phải là mục tiêu sau vụ tấn công máy chủ Microsoft Exchange hay không.  

 
Trung Quốc thông báo tin tặc tấn công các cơ sở nghiên cứu vắcxin
icon

Theo ông Xiao Xinguang, trong quãng thời gian xảy ra đại dịch, ngành y tế công hay các cơ sở nghiên cứu vắcxin và khoa học của Trung Quốc đã trở thành mục tiêu cho những vụ tấn công mạng.

 
Cách bảo vệ hệ thống trước 4 lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange
icon

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam vừa được đề nghị kiểm tra, rà soát, xác minh hệ thống thông tin có khả năng bị ảnh hưởng bởi 4 lỗ hổng bảo mật mới trong Microsoft Exchange Server để có phương án xử lý, khắc phục.

 
Microsoft cảnh báo hacker khai thác lỗ hổng Exchange Server
icon

Microsoft vừa đưa ra cảnh báo về một nhóm tin tặc ‘cướp’ hộp thư đến từ xa thông qua khai thác lỗ hổng mới được phát hiện trong phần mềm máy chủ thư Exchange Server của hãng.  

 
 
Long An phổ biến cho người dân, doanh nghiệp các kỹ năng đảm bảo an toàn thông tin
icon

Một nội dung được tỉnh Long An tập trung tuyên truyền, phổ biến cho người dân, doanh nghiệp tại địa phương trong năm nay là các nguy cơ mất an toàn thông tin và những kỹ năng cơ bản bảo đảm an toàn thông tin trên không gian mạng.

Facebook thỏa thuận dàn xếp 650 triệu USD vì vi phạm quyền riêng tư
icon

Vụ kiện tập thể của người dùng từ năm 2015 đến nay đã có kết quả, Facebook cuối cùng cũng phải thỏa hiệp dù vẫn phủ nhận mọi cáo buộc về hành vi sai trái.  

Erick Chan - tin tặc đứng sau vụ tống tiền hàng loạt website Việt Nam
icon

Hàng loạt nhà cung cấp dịch vụ tại Việt Nam đã trở thành đối tượng bị tin tặc tấn công qua hình thức DDoS.

Phát hiện Trojan phần cứng bằng công nghệ máy học
icon

Các chuyên gia của Keysight Technologies khẳng định, cho đến nay, tổ hợp giữa khả năng đo dòng điện động độ phân giải cao băng thông rộng của CX3300 và thuật toán phân cụm cực nhanh của Keysight là phương tiện hiệu quả để xác định Trojan.

'Phần mềm diệt virus đã chết'
icon

Theo các chuyên gia bảo mật, phần mềm diệt virus hiện nay không thể bảo vệ máy tính hoàn toàn khỏi những cuộc tấn công mạng. Doanh nghiệp vẫn phải chịu nhiều tổn thất.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123