Khi kinh doanh kỹ thuật số ngày càng phát triển và các cuộc tấn công mạng ngày càng tinh vi, công tác bảo mật phải đối mặt với nhiều thách thức mới. Các doanh nghiệp bắt buộc phải nâng cấp chiến lược bảo vệ an ninh mạng, và Zero Trust nhanh chóng trở thành một mô hình tiêu chuẩn được áp dụng rộng rãi trên toàn cầu.
1. Zero Trust là gì?
Trong bối cảnh chuyển đổi số hiện nay, việc xây dựng hệ thống phòng thủ an ninh mạng dựa trên mạng tĩnh đã lỗi thời và không còn hiệu quả. Với Zero Trust, thay vì tập trung vào bảo mật mạng vật lý, thì giờ đây bạn sẽ tập trung vào việc bảo mật tài nguyên (dữ liệu, danh tính và dịch vụ).
Zero Trust không phải là một sản phẩm hay dịch vụ. Mà là một chiến lược, một mô hình bảo mật yêu cầu toàn bộ người dùng mạng phải được xác thực, ủy quyền; đồng thời phải liên tục xác nhận cấu hình và trạng thái bảo mật trước khi được cấp hoặc giữ quyền truy cập vào các ứng dụng và dữ liệu của tổ chức.
Nguyên tắc hoạt động của Zero Trust là “Đặc quyền ít nhất” và “Không bao giờ tin tưởng” – Không có người dùng, thiết bị hoặc kết nối nào được tin cậy, kể cả những thiết bị cùng thuộc một mạng cục bộ.
Đối với mọi yêu cầu kết nối vào dữ liệu của một doanh nghiệp – cho dù đó là nhân viên trong nội bộ hay là khách truy cập bên ngoài, thì hệ thống này đều bắt buộc xác thực động liên tục và xem xét ủy quyền cho mọi truy cập.
Kiến trúc mới này ngày càng gây tiếng vang lớn trong lĩnh vực an ninh mạng. Vào tháng 5/2021, tại Mỹ, chính quyền Biden đã chính thức hóa tiêu chuẩn Zero Trust để đảm bảo chuyển đối số và đối phó với các mối đe dọa phức tạp. Theo đó, các cơ quan liên bang được yêu cầu phải tuân thủ tiêu chuẩn bảo mật Zero Trust NIST 800-207.
>> Xem thêm: Email doanh nghiệp tính năng và chi phí chi tiết, an toàn bảo mật email đám mây dung lượng lưu trữ lớn, bộ công cụ làm việc nhóm hiệu quả.
2. Nguyên tắc cốt lõi của Mô hình Zero Trust
Dù có nhiều nhà cung cấp công nghệ triển khai Zero Trust riêng, nhưng một mô hình Zero Trust toàn diện nhất thường bao gồm 3 nguyên tắc cốt lõi dưới đây.
2.1 Xác minh liên tục
- Luôn xác minh quyền truy cập mọi lúc cho mọi tài nguyên. Phân loại dữ liệu và các điểm bất thường.
- Truy cập có điều kiện dựa trên rủi ro. Quy trình làm việc chỉ bị gián đoạn khi mức độ rủi ro thay đổi, cho phép xác minh liên tục mà không ảnh hưởng trải nghiệm người dùng.
2.2 Giới hạn “bán kính vụ nổ”
Áp dụng phân khúc đối tượng xác định ranh giới tin cậy, và nguyên tắc “đặc quyền ít nhất”. Các thông tin xác thực đăng nhập chỉ được cung cấp trong phạm vi cần thiết, đủ để người dùng thực hiện nhiệm vụ của mình. Khi nhiệm vụ thay đổi thì phạm vi truy cập cũng thay đổi.
2.3 Tự động thu thập và phản hồi theo ngữ cảnh
Nhằm liên tục giám sát và xác nhận người dùng/thiết bị có các quyền truy cập phù hợp, đồng thời thực thi các chính sách về tuân thủ và kiểm soát rủi ro, Zero Trust sẽ tự động xử lý dữ liệu theo thời gian thực, dựa trên các nguồn thông tin như:
- Thông tin đăng nhập của người dùng: Con người, tài khoản dịch vụ, tài khoản quản trị…
- Khối lượng công việc thực hiện trên máy ảo, vùng chứa và những thứ được triển khai kết hợp
- Các thiết bị điểm cuối đang được sử dụng để truy cập dữ liệu
- Mạng
- Dữ liệu
- Các nguồn khác (thường thông qua API): SIEM, SSO, nhà cung cấp danh tính.
Trước đây, các phương pháp bảo mật truyền thống tự động tin cậy người dùng và thiết bị đầu cuối trong phạm vi một mạng cục bộ. Điều này khiến doanh nghiệp dễ gặp rủi ro từ các tác nhân nội bộ độc hại. Theo thống kê, có hơn 80% số lượng cuộc tấn công mạng liên quan đến việc sử dụng thông tin xác thực hoặc sử dụng sai mục đích trong mạng.
Ngày nay, với 3 nguyên tắc cốt lõi của mô hình Zero Trust, những mối hiểm họa trên sẽ không thể dễ dàng đe dọa và gây ra sự cố cho doanh nghiệp.
>> Xem thêm: Tính năng Google Workspace an toàn và bảo mật cao.
3. Zero Trust được ứng dụng trong trường hợp nào?
Mọi tổ chức đều có thể hưởng lợi và giảm thiểu rủi ro nhờ Zero Trust, đặc biệt là trong những trường hợp dưới đây:
3.1 Có nhân viên làm việc từ xa
Các nhóm làm việc và nhân viên “remote working” thường được kết nối với công ty bằng các ứng dụng đám mây, VPN (mạng riêng ảo), hoặc cơ sở hạ tầng máy tính để bàn ảo.
Việc áp dụng những công cụ và quy trình bảo mật truyền thống sẽ không cho nhiều hiệu quả. Đây cũng là những lựa chọn cài đặt khá nặng nề.
Trong khi đó Zero Trust không yêu cầu người dùng phải kết nối mạng công ty trước khi truy cập tài nguyên trên đám mây. Chỉ cần xác thực danh tính người dùng và thiết bị để đảm bảo có quyền truy cập an toàn và phù hợp.
3.2 Môi trường làm việc đa đám mây và kết nối đám mây – đám mây
Trong trường hợp này, thông tin sẽ không đi qua mạng chính mà sẽ ở trên đám mây, người dùng thường dễ bị kẻ xấu chiếm đoạt danh tính và lợi dụng để truy cập các tài nguyên đám mây khác.
Để đối phó với thách thức này, các nhà cung cấp dịch vụ đám mây thường triển khai nhiều cách khác nhau, đa số là kiểm soát các thiết bị IoT truy cập, chẳng hạn như dịch vụ Intune của Microsoft.. Tuy nhiên, phương pháp Zero Trust không nhất thiết phải kiểm soát quản trị thiết bị, mà tập trung vào danh tính quyền truy cập.
3.3 Có người truy cập thuộc bên thứ ba mà không phải nhân viên
Khi đưa những người thuộc bên thứ ba vào mạng công ty (nhà thầu, nhân viên thử việc, nhà cung cấp…), nếu tổ chức chỉ bảo mật ở tầng mạng, việc cấp quyền truy cập cho nhóm người này sẽ tạo ra rủi ro khổng lồ.
Với Zero Trust, người dùng bên trong hoặc bên ngoài mạng chỉ có quyền truy cập tài nguyên họ cần, và chỉ thực hiện những hành động trong giới hạn cho phép sẵn. Những tài nguyên khác của doanh nghiệp vẫn được bảo vệ an toàn.
3.4 Doanh nghiệp cần giải quyết các thách thức về bảo mật
Ngoài 3 trường hợp cụ thể trên, bất kỳ một thách thức mời nào về bảo mật cũng có thể được giải quyết bằng việc triển khai Zero Trust.
Hỗ trợ bảo vệ mô hình triển khai cơ sở hạ tầng gồm:
- Đa đám mây, đa danh tính
- Thiết bị không được quản lý
- Hệ thống kế thừa
- Ứng dụng SaaS
Giải quyết các mối đe dọa chính:
- Ransomware – Mã độc và xâm phạm danh tính
- Các cuộc tấn công chuỗi cung ứng
- Các mối đe dọa nội gián từ bên trong nội bộ
Cải thiện các vấn đề liên quan tới:
- Thách thức về chuyên môn của SOC (trung tâm điều hành an ninh)
- Trải nghiệm người dùng mạng (đặc biệt là khi sử dụng MFA xác thực đa yếu tố)
Ngày nay, mọi doanh nghiệp đều phải giải quyết những thách thức kinh doanh của riêng mình. Nếu họ triển khai Zero Trust đúng cách, điều này sẽ giúp đáp ứng các nhu cầu cụ thể về chuyển đổi số và bảo mật, đồng thời vẫn đảm bảo các mục tiêu về lợi nhuận.
4. Cách chuyển đổi sang mô hình Zero Trust
Mặc dù mỗi doanh nghiệp có một nhu cầu riêng, nhưng thông thường một mô hình Zero Trust hoàn thiện sẽ triển khai theo 3 giai đoạn.
Giai đoạn 1 – Hình dung. Nhận biết và hiểu tất cả tài nguyên, các điểm truy cập và các rủi ro liên quan. Sau đó mới tiến hành kiến trúc mạng Zero Trust bằng tường lửa và tạo các chính sách xác định quyền truy cập.
Giai đoạn 2 – Giảm thiểu. Phát hiện và ngăn chặn các mối đe dọa; hoặc nếu không thể ngăn chặn mối đe dọa ngay lập tức thì phải giảm thiểu tác động của các hành vi vi phạm.
Giai đoạn 3 – Tối ưu hóa. Bảo vệ cơ sở hạ tầng CNTT và mọi tài nguyên ở mọi vị trí, đồng thời đảm bảo trải nghiệm người dùng hài lòng, không gây cản trở hiệu suất.
Để chuyển đổi cách thức bảo mật mạng sang mô hình Zero Trust một cách nhanh nhất, các doanh nghiệp có thể sử dụng công nghệ từ các nhà cung cấp phần mềm/giải pháp CNTT. Nổi bật nhất có thể kể đến Microsoft, CrowdStrike, McAfee…
Xem thêm: Giới thiệu về CrowdStrike Falcon – Giải pháp bảo mật hàng đầu thế giới.
Zero Trust vừa làm giảm các quy trình bảo mật truyền thống phức tạp, vừa tăng cường và củng cố an ninh mạng cho doanh nghiệp, đồng thời khắc phục tối đa thiệt hại do các hành vi vi phạm gây nên. Không những vậy, mô hình này còn giúp tiết kiệm chi phí vận hành và tăng tỷ lệ lợi nhuận lên đáng kể. Nhìn chung đây là giải pháp vô cùng hiệu quả để doanh nghiệp thích ứng an toàn với công cuộc chuyển đổi số mạnh mẽ, cũng như xu hướng làm việc tại nhà vì ảnh hưởng của đại dịch COVID-19.