Kiến trúc Intro to Zero Trust

Nhờ việc xuất bản báo cáo Hướng dẫn Bảo mật Cơ sở Hạ tầng Mạng của Cơ quan An ninh Quốc gia (NSA) gần đây, việc loại bỏ các điểm yếu và lỗ hổng mạng phổ biến đã được đưa lên hàng đầu trong chương trình nghị sự của nhiều nhà ra quyết định kinh doanh.

Rốt cuộc, thiệt hại tài chính trung bình của một vụ vi phạm dữ liệu đã lên tới 4,24 triệu USD - mức cao nhất trong 17 năm. Các tổ chức ngày nay phải ưu tiên bảo mật dữ liệu và lợi ích của Kiến trúc Zero Trust (ZTA), nhưng trước khi đi xa hơn, chúng ta hãy xem xét kỹ hơn ZTA là gì và khái niệm này xuất phát từ đâu.

Zero Trust là gì?

Còn được gọi là bảo mật không chu vi, Zero Trust là một mô hình bảo mật dựa trên một khuôn khổ các nguyên tắc để thiết kế và triển khai các hệ thống CNTT nhằm giải quyết các mối đe dọa mạng trong các môi trường ngày càng phi tập trung. Người dùng phải được xác thực, ủy quyền và xác thực liên tục trước khi được cấp quyền truy cập vào hệ thống và dữ liệu. Nói tóm lại, Zero Trust vốn dĩ chẳng tin ai cả.

Điểm xâm nhập của tin tặc thường không phải là vị trí mục tiêu của chúng trong mạng. Thay vào đó, họ xác định lỗ hổng trong một khu vực và di chuyển theo chiều ngang cho đến khi đạt được mục tiêu. ZTA ngăn điều này xảy ra bằng cách buộc người dùng xác định chính họ ở nhiều điểm – hạn chế về mặt cơ bản thiệt hại mà một kẻ xấu có thể gây ra.

Zero Trust không phải là một khái niệm mới. Nó được trình bày lần đầu tiên vào năm 2009 bởi John Kindervag , cựu nhà phân tích chính tại Forrester Research. Tuy nhiên, sự phổ biến của nó đã bùng nổ trong hai năm qua. Trên thực tế, một báo cáo năm 2021 của Microsoft cho thấy 90% những người ra quyết định bảo mật đã quen thuộc với khái niệm này, tăng từ 20% chỉ một năm trước. Xu hướng này chắc chắn được xúc tác bởi sự phát triển của làm việc từ xa và việc tăng cường áp dụng đám mây. Đó là chưa kể đến số lượng các cuộc tấn công mạng đang tăng vọt - có vẻ sẽ phát triển hơn nữa dựa trên những cảnh báo gần đây từ Nhà Trắng về các cuộc tấn công mạng sắp xảy ra của Nga nhằm vào các doanh nghiệp Mỹ.

“Được, nhưng làm cách nào để tôi có thể triển khai Zero Trust trên thực tế?”

Không có một mô hình phù hợp với tất cả để triển khai ZTA. Tuy nhiên, các tổ chức thường nên xem xét những điều sau:

• Quản lý danh tính: Đảm bảo rằng bạn đang quản lý và bảo mật tất cả danh tính người dùng thông qua các chính sách mạnh mẽ và quyền truy cập. Kiểm soát truy cập dựa trên vai trò có thể giúp bạn thực thi các chính sách này bằng cách tận dụng vai trò của người dùng để cấp quyền truy cập vào các hệ thống và ứng dụng mà họ cần để thực hiện công việc của mình và không cần làm gì hơn.
• Quản lý quyền truy cập đặc quyền: Tài khoản đặc quyền là những tài khoản có mức truy cập cao nhất và có nguy cơ bảo mật cao hơn người dùng bình thường do mức độ thông tin nhạy cảm có thể bị lộ. Tuân thủ nguyên tắc ít đặc quyền nhất bằng cách cung cấp vừa đủ quyền truy cập cho các bên thứ ba hoặc quản trị viên để hoàn thành nhiệm vụ thông qua kiểm soát chính sách chi tiết ở cấp hệ thống.
• Xác thực đa yếu tố (MFA): Một trong những vectơ tấn công ban đầu phổ biến nhất là thông tin xác thực của người dùng bị xâm phạm, đây là điều mà MFA nhằm mục đích ngăn chặn. Lớp bảo mật này yêu cầu hai phương pháp xác thực trước khi cấp quyền truy cập vào hệ thống hoặc ứng dụng: thông tin bạn biết (mật khẩu hoặc mã PIN), thông tin bạn có (điện thoại thông minh hoặc mã thông báo) và thông tin bạn đang có (dữ liệu sinh trắc học).
• Đăng nhập một lần (SSO): Bảo mật chỉ tốt khi những người sử dụng nó và khi người dùng chú ý đến bảo mật, nó thường bị bỏ qua. Trên thực tế, 57% thừa nhận đã viết ra mật khẩu trên giấy ghi chú trong khi nhiều người dùng khác chia sẻ thông tin đăng nhập với đồng nghiệp. SSO cho phép các tổ chức triển khai bảo mật mạnh mẽ hơn bằng cách loại bỏ nhu cầu ghi nhớ và nhập liên tục tên người dùng và mật khẩu để truy cập hệ thống.
• Công cụ chính sách Zero Trust: Như các tài liệu của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) mô tả, đây là “bộ não” của ZTA của bạn. Mỗi khi một danh tính kỹ thuật số, cho dù đó là người hay máy, cố gắng truy cập vào tài nguyên doanh nghiệp, bộ máy chính sách ZTA sẽ được hỏi liệu nó có nên truy cập vào tài nguyên đó hay không. Tất nhiên, bạn đặt các thông số cho công cụ chính sách của mình. Một cách hiệu quả, nếu việc quản lý danh tính kỹ thuật số của bạn chặt chẽ, bạn cũng có thể sử dụng công cụ chính sách ZTA để xóa một số yêu cầu về tên người dùng hoặc mật khẩu, cũng như các yêu cầu MFA. Về cơ bản, bạn có thể cải thiện bảo mật trong khi cung cấp khả năng truy cập dễ dàng hơn - điều đó nghe quen thuộc phải không?

Quản lý danh tính và quyền truy cập - đã đến lúc bạn sắp xếp ngôi nhà của mình

Quản lý hiệu quả và bảo mật danh tính kỹ thuật số được cho là thành phần quan trọng nhất của ZTA. Nói một cách đơn giản, nếu không có chiến lược quản lý danh tính và truy cập (IAM) - bạn có thể quên mất Zero Trust. Hoặc, ít nhất hãy quên bất kỳ lợi ích nào đến từ nó.

Có rất nhiều công cụ mà các tổ chức có thể sử dụng khi thực hiện chiến lược IAM của họ nhưng việc có các giải pháp trên chỉ là một phần của câu đố. Nhờ có một loạt các hệ thống kế thừa mà hầu hết các tổ chức vẫn có, người ta thường thấy một công cụ để cấp phép và hủy cấp phép, một công cụ khác cho MFA, một công cụ thứ ba cho SSO, v.v. Nếu không có ý định làm như vậy, các tổ chức có kiểu tiếp cận phân mảnh này thường đưa ra những rủi ro mà họ đang cố gắng tránh.

Thay vào đó, các tổ chức có tư duy tương lai nên tìm cách hợp nhất các công cụ này với một chiến lược thống nhất để loại bỏ các lỗ hổng và cho phép một điểm kiểm soát duy nhất.

Nhìn chung, thật khó để phóng đại số lượng tuyệt đối các thách thức liên quan đến an ninh mạng mà các tổ chức hiện đang phải đối mặt. Phải thừa nhận rằng đối với nhiều người, đó là trường hợp của việc tìm ra cách bảo mật hệ thống, dữ liệu và người dùng trước mắt. Nhưng một khi họ đã chữa cháy xong, việc triển khai ZTA - dựa trên chiến lược quản lý danh tính và truy cập hiệu quả - là điều không cần bàn cãi.