Zero Trust là gì?

Ông Greg Copeland, Giám đốc Liên minh kỹ thuật, Keysight Technologies vừa có bài phân tích về khả năng hiện thị theo mô hình Zero Trust.

Zero Trust (ZTA) là một thuật ngữ thời thượng do các nhà cung cấp an ninh bảo mật mạng sáng tạo ra. Tuy nhiên, không tồn tại một giải pháp ZTA duy nhất. Kiến trúc ZTA bao gồm nhiều phần tử, khi kết hợp với nhau tạo thành một mô hình mới về đảm bảo an ninh mạng.

Mô hình này đáp ứng được các nhu cầu của thế giới hiện đại, trong đó các hoạt động của các doanh nghiệp lớn không bị giới hạn trong những ranh giới được xác định rõ ràng và cần độ tin cậy cao như môi trường làm việc từ xa và đám mây điện toán.

{keywords}

Khái niệm ZTA bắt đầu được hình thành để đáp ứng các xu hướng như sử dụng thiết bị cá nhân tại nơi làm việc (BYOD) và sử dụng hạ tầng đám mây điện toán bên ngoài phạm vi của doanh nghiệp.

Trong kiến trúc ZTA, các biện pháp phòng vệ không chỉ giới hạn ở các vành đai mạng cố định mà tập trung bảo vệ người dùng, tài sản và tài nguyên. Vị trí hoặc tình trạng sở hữu không còn là những căn cứ duy nhất để có thể hoàn toàn tin tưởng các tài sản CNTT và tài khoản người dùng.

Hoạt động xác thực và phân quyền trong kiến trúc ZTA được thực hiện đối với mọi tài nguyên doanh nghiệp trước khi bắt đầu một phiên làm việc. Mục tiêu chính của các hoạt động này là bảo vệ tài nguyên (tài sản, dịch vụ, quy trình làm việc, tài khoản...), thay vì bảo vệ các phân đoạn mạng.

Xu hướng kiểm soát bảo mật mới

Theo phân tích của chuyên gia Keysight Technologies, trong hệ thống CNTT truyền thống của doanh nghiệp, vành đai mạng được bảo vệ tại một số vị trí bằng các công nghệ như công nghệ Tường lửa (Đôi khi còn được gọi là vành đai “Bắc-Nam”). 

Vành đai an ninh bảo mật truyền thống từng được xác định rõ ràng đang biến mất, do đại dịch đã khiến nhiều người lao động phải làm việc tại nhà, và đồng thời do tác động của các xu hướng đã xuất hiện từ trước về truy cập từ xa và truy cập đám mây.

“Mặc dù Tường lửa vẫn là công nghệ quan trọng, nhưng công nghệ này không thể đáp ứng toàn bộ nhu cầu an ninh bảo mật đối với cơ sở hạ tầng phân tán, linh động và được định nghĩa bằng phần mềm. Vị trí trên mạng không còn là yếu tố đảm bảo sự tin cậy của tài sản CNTT”, chuyên gia Keysight Technologies nhận định.

Trong bối cảnh nhiều doanh nghiệp, đơn vị đã chuyển hoạt động lên môi trường làm việc từ xa, trên đám mây, cần có xu hướng bảo mật mới. Với mô hình Zero Trust, các thiết bị sẽ tham gia vào nhiều vị trí trong hệ thống từ xa, cho phép các đơn vị theo dõi mạng liên tục, trực quan.

Cụ thể, kiến trúc ZTA được bổ sung thêm các phần tử để bảo mật bên trong vành đai mạng (đôi khi miền bên trong này được gọi là hành lang “Đông-Tây”, hoặc Nội bộ), hoặc bảo mật tại những nơi có tài nguyên cần cho ứng dụng như đám mây điện toán. Các phần tử này kiểm soát quyền truy cập vào tài nguyên và bao gồm: quản lý định danh, xác thực, phân quyền các đặc quyền, các điểm thực thi chính sách (PEP), phân đoạn vi mô và vùng tin cậy ngầm định, vành đai bảo vệ được định nghĩa bằng phần mềm và tuân thủ quy định.

Các phần tử kiểm soát như phân đoạn vi mô có thể được thực hiện bằng cách đặt các điểm PEP chuyên dụng, hoặc phần cứng hoặc phần mềm được cấu hình đặc biệt như Tường lửa thế hệ mới (NGFW), để bảo vệ thông tin liên lạc giữa các tài nguyên nội bộ. Để đơn giản hóa, các phần tử kiểm soát của kiến trúc ZTA có trách nhiệm kiểm soát quyền truy cập của người dùng tới tài nguyên, bất kể tài nguyên đó nằm ở vị trí nào.

Ngoài kiểm soát quyền truy cập, kiến trúc ZTA còn có các phần tử bổ sung liên quan đến xác nhận bảo mật như kiểm kê thiết bị, giám sát lưu lượng mạng, nguồn cấp dữ liệu về các mối đe dọa cũng như chẩn đoán và khôi phục liên tục. “Công việc của các phần tử đảm bảo khả năng hiển thị này là xác nhận rằng ZTA kiểm soát quyền truy cập an toàn như mong đợi. Tôi gọi các khía cạnh này của kiến trúc ZTA là Khả năng hiển thị theo mô hình Zero Trust. Các phần tử hiển thị này thường ít được chú ý hơn so với các phần tử kiểm soát, nhưng không vì thế mà kém quan trọng hơn”, ông Greg Copeland cho hay.

Ví dụ như, biết rõ cần kiểm soát những nguồn lực nào là cơ sở của việc thực thi chính sách. Sẽ thường xuyên xuất hiện những thiết bị CNTT mới và chưa được nhận dạng, chưa xác định rõ là độc hại hay không độc hại. Do đó, cần có cơ chế kiểm tra để xác định rõ các thiết bị  cần ưu tiên bảo mật. Phát hiện và ứng phó với các mối đe dọa trên tất cả các thiết bị đã biết và trước đây chưa biết có vai trò thiết yếu - các kỹ thuật quan trọng bao gồm giám sát lưu lượng mạng, nguồn cấp dữ liệu về mối đe dọa, ghi nhật ký và phân tích siêu dữ liệu (metadata). Giải mã cũng là một trong những tính năng quan trọng.

Một ví dụ khác là nhu cầu liên tục xác nhận các kiểm soát bảo mật giữa các thiết bị điểm cuối để đảm bảo phát hiện các trường hợp vi phạm có thể xảy ra. Các kỹ thuật mới như mô phỏng vi phạm và tấn công giúp mô phỏng một cách an toàn các cuộc tấn công giữa các thiết bị điểm cuối và báo cáo về kết quả của các cuộc tấn công mô phỏng này. Kết quả của các báo cáo này có thể được sử dụng để điều chỉnh các phần tử kiểm soát của kiến trúc ZTA (ví dụ: các quy tắc về phân đoạn vi mô được định nghĩa bằng phần mềm, cấu hình thực thi chính sách, định danh và cấp đặc quyền).

Tựu chung, kiến trúc ZTA là một mô hình phong phú, trong đó không có duy nhất một giải pháp chung cho mọi vấn đề. Kiến trúc này cần cách tiếp cận đa dạng, bao gồm cả các phần tử kiểm soát an ninh và phần tử hiển thị để vận hành thành công. Các phần tử bổ sung như mô phỏng vi phạm và tấn công và phần tử xác nhận liên tục giúp giảm thiểu rủi ro và giúp các tổ chức chuẩn bị sẵn sàng để ứng phó với các vi phạm an ninh bảo mật.

An Nhiên