Cách tiếp cận Zero Trust cho (Cloud) và lợi ích cho tổ chức

Cách tiếp cận Zero Trust cho (Cloud) và lợi ích cho tổ chức của bạn

September 10, 2019 | vietsunshine

Thuật ngữ “Zero Trust” đã tồn đã tồn tại gần 10 năm, nhưng gần đây nó đã được nhắc đến nhiều khi các doanh nghiệp tìm cách chủ động bảo vệ dữ liệu và cơ sở hạ tầng của họ. Với việc chuyển sang đám mây, Zero Trust hiện là triết lý lựa chọn của CIO và CISO, những người được giao nhiệm vụ bảo vệ hệ thống của họ khỏi các cuộc tấn công bên ngoài cũng như từ bên trong tổ chức.

Zero Trust là gì?

Theo truyền thống, quản trị viên mạng chỉ cần lo lắng về việc bảo vệ các tổ chức của họ khỏi các mối đe dọa bên ngoài. Nhưng cảnh quan đe dọa đã phát triển. Từ phần mềm độc hại zero-day đến các mối đe dọa trong nội bộ, quản trị viên mạng hiện phải chủ động bảo vệ mạng và dữ liệu để tránh vi phạm. Với sự phát triển này, triết lý Zero Trust đã ra đời.

Zero Trust dựa trên niềm tin rằng không nên trao sự tin tưởng cho bất kỳ ai hay bất cứ điều gì, bất kể họ ở trong mạng hay bên ngoài. Cách tiếp cận “không bao giờ tin tưởng, luôn luôn xác minh” (never trust, always verify) là phương pháp thi hành ít đặc quyền truy cập nhất (least-privileged access), khi người dùng được xác thực và xác định, việc kiểm tra liên tục được thực hiện trên lưu lượng trong khi người dùng được kết nối với mạng. Trên thực tế, một phần đáng kể các vi phạm liên quan đến hack vẫn liên quan đến thông tin bị xâm phạm và yếu kém – 29% theo Báo cáo Điều tra Vi phạm Dữ liệu của Verizon năm 2019.

Để thực hiện đầy đủ cách tiếp cận Zero Trust, phải xem xét các điều sau:

  • Sự phân đoạn (Segmentation): Đảm bảo lưu lượng được phép hoặc giao tiếp ứng dụng hợp pháp được cho phép bằng cách phân đoạn và kích hoạt chính sách Layer 7.
  • Kiểm soát truy cập (Access Control): Áp dụng chiến lược truy cập ít đặc quyền nhất và thực thi nghiêm ngặt kiểm soát truy cập.
  • Phòng chống, điều tra, ứng phó các mối đe doạ (Threat Prevention, Investigation and Response): Kiểm tra và ghi nhật ký tất cả lưu lượng để nhanh chóng xác định, ngăn chặn và đối phó với các mối đe dọa.

Điều quan trọng cần nhớ là truy cập an toàn là không đủ; kiểm tra và phòng ngừa liên tục phải được đưa vào để thực thi thành công Zero Trust trong toàn tổ chức của bạn.

Mở rộng Zero Trust vào môi trường đám mây

Với sự phổ biến của các ứng dụng phần mềm dạng dịch vụ (SaaS Apps) và các dịch vụ đám mây công cộng, dẫn tới sự phức tạp của việc duy trì bảo mật và kiểm soát dữ liệu, lưu lượng truy cập và người dùng truy cập vào đám mây. Zero Trust cho cloud đòi hỏi khả năng hiển thị đầy đủ vào các ứng dụng đám mây, dữ liệu được lưu trữ và ai đang truy cập dữ liệu. Mặc dù việc bảo mật đám mây có thể trở nên phức tạp hơn, nhưng điều quan trọng là người dùng không bị ảnh hưởng khi truy cập vào đám mây, bất kể vị trí của họ. Nếu có quá nhiều bước để người dùng có quyền truy cập vào ứng dụng hoặc dữ liệu trên đám mây, họ sẽ bỏ qua cách an toàn để truy cập và tìm giải pháp thay thế. Truy cập an toàn là rất quan trọng để Zero Trust hoạt động và nó phải có tác động tối thiểu đến người dùng, đặc biệt là những người ở các địa điểm xa hoặc các văn phòng khác nhau.

Để mở rộng Zero Trust cho đám mây yêu cầu bảo mật được phân phối từ đám mây. Bảo mật từ đám mây cho phép thực thi chính sách, bảo vệ tốt hơn và khả năng hiển thị trong tất cả lưu lượng truy cập internet. Bằng cách người dùng và văn phòng kết nối trực tiếp với đám mây, thay vì lần đầu tiên đi qua trụ sở chính hoặc tường lửa, mạng và kiến trúc đám mây của bạn được đơn giản hóa và vectơ tấn công tổng thể của bạn được giảm thiểu.

Một số trường hợp khác nhau có thể áp dụng Zero Trust trong đám mây:

  • Zero Trust cho Private Apps trong đám mây công cộng (Public Cloud): Khi các ứng dụng chuyển từ trung tâm dữ liệu tại chỗ sang đám mây, truy cập an toàn là rất quan trọng. Các thiết bị được quản lý hoặc không được quản lý cần phải thực thi chính sách nghiêm ngặt, cho phép truy cập vào các ứng dụng cần thiết theo vai trò của người dùng, đồng thời duy trì bảo mật và bảo vệ. Bạn cũng cần duy trì khả năng hiển thị liên tục vào dữ liệu nào đang được truy cập và bởi ai.
  • Zero Trust cho SaaS Apps: Với sự phát triển của các ứng dụng SaaS phổ biến như G Suite, Box và Office 365, việc cộng tác trở nên dễ dàng hơn với các nhân viên ở bất cứ đâu, cùng với các nhà thầu và nhà cung cấp bên thứ ba; nhưng điều này có thể dẫn đến người dùng trái phép có quyền truy cập vào dữ liệu hoặc ứng dụng không liên quan đến yêu cầu công việc của họ. Bảo mật các ứng dụng SaaS yêu cầu các giao thức phòng ngừa và thực thi chính sách. Cung cấp cho nhân viên và nhà thầu mức độ truy cập khác nhau là rất quan trọng để giữ cho người dùng hài lòng và bảo mật dữ liệu.
  • Zero Trust cho DevOps trên đám mây: Quyền truy cập ít đặc quyền nhất là một phần quan trọng của Zero Trust. Nhóm DevOps đang liên tục xây dựng và xé nát (tearing down) các ứng dụng đám mây bằng các API. Tuy nhiên, đảm bảo các API đó được truy cập bởi các cá nhân phù hợp và thông tin được chia sẻ được bảo vệ là cần thiết – với mức độ hiển thị chi tiết. Bằng cách thực thi xác thực ở lớp dịch vụ bảo mật, người dùng trái phép không bao giờ có cơ hội thực hiện xác thực đối với API, giảm nguy cơ bị tấn công.

Zero Trust là một chiến lược không phải là một sản phẩm

Không có một sản phẩm nào mà bạn có thể sử dụng trên các công cụ bảo mật hiện có của mình để thực thi phương pháp Zero Trust. Zero Trust là một triết lý phải được suy nghĩ thấu đáo và thực hiện trên toàn bộ tổ chức, bao gồm cả tại các trang web và người dùng từ xa cũng như trên đám mây. Truy cập an toàn là một thành phần trong triết lý của Zero Trust. Kiểm tra lưu lượng đđang diễn ra là cần thiết để nhanh chóng xác định và khắc phục các mối đe dọa. Với việc kiếm tra liên tục lưu lượng, hành vi và hoạt động bất thường của người dùng có thể cảnh báo các quản trị viên mạng về hành vi mạo danh hoặc vi phạm. Xây dựng chiến lược Zero Trust của bạn có thể mang lại lợi ích cho tổ chức của bạn với:

  • Tầm nhìn tốt hơn vào dữ liệu, tài sản và rủi ro.
  • An ninh nhất quán và toàn diện.
  • Tốc độ và sự nhanh nhẹn để đi trước một bước về công nghệ phát triển.
  • Giảm chi phí hoạt động và sự phức tạp.
  • Hỗ trợ đánh giá và tuân thủ.

Palo Alto Networks đang cách mạng hóa cách các công ty chuyển đổi cơ sở hạ tầng bảo mật đám mây của họ. Prisma của Palo Alto Networks – bộ bảo mật đám mây hoàn chỉnh nhất trong ngành – cung cấp khả năng hiển thị và truy cập an toàn vào dữ liệu, tài sản, ứng dụng, người dùng và rủi ro trong khi cho phép tốc độ và hiệu suất. Prisma luôn chi phối quyền truy cập, bảo vệ dữ liệu và bảo mật các ứng dụng khi các tổ chức di chuyển lên đám mây. Với Prisma, các tổ chức có thể áp dụng cách tiếp cận Zero Trust để kết nối an toàn các văn phòng chi nhánh và người dùng di động với đám mây, tự tin nắm lấy việc sử dụng các ứng dụng SaaS, và nhanh chóng phát triển và triển khai các ứng dụng đám mây.

Nguồn: The Zero Trust Approach for the Cloud

Xem thêm: Zero Trust là gì? Vì sao mô hình này an toàn hơn bảo mật truyền thống?

Tags: ,