Zero Trust là gì? Sự khác nhau giữa Zero Trust, ZTA, và ZTNA

Zero Trust là gì? Sự khác nhau giữa Zero Trust, ZTA, và ZTNA

April 20, 2021 | vietsunshine

Mặc dù nhiều nhà cung cấp mạng và bảo mật sử dụng các thuật ngữ bao gồm cụm từ zero trust, nhưng không phải ai cũng sử dụng nó với cùng ý nghĩa. Thêm vào khả năng gây nhầm lẫn là các thuật ngữ truy cập không tin cậy (zero trust access – ZTA) và truy cập mạng không tin cậy (zero trust network access – ZTNA), thường được sử dụng thay thế cho nhau. Với rất nhiều thuật ngữ và từ viết tắt tương tự, điều quan trọng là bạn phải đảm bảo rằng bạn hiểu nhà cung cấp thực sự đang nói gì khi bạn thảo luận về các giải pháp.

Tại Fortinet, chúng tôi thường nói chuyện với một số khách hàng mỗi tuần và tôi chắc chắn đã thấy xu hướng gia tăng các yêu cầu thảo luận về giải pháp zero-trust của chúng tôi. Hầu hết các trường hợp, khách hàng đang tìm kiếm một cái nhìn tổng quan rộng rãi để bắt đầu nghiên cứu về chủ đề này. Một tỷ lệ nhỏ muốn tìm hiểu chi tiết về giải pháp ZTNA của chúng tôi. Bằng cách lắng nghe câu hỏi của họ và đặt một vài câu hỏi xác nhận, bạn sẽ dễ dàng xác định được vị trí của họ trong quá trình khám phá.

Khái niệm zero trust xuất hiện vì mô hình an ninh mạng cũ “bên trong có nghĩa là đáng tin cậy” và “bên ngoài có nghĩa là không đáng tin cậy” không còn hoạt động nữa. Cách tiếp cận dựa trên chu vi này đã được điều chỉnh trong những năm qua bằng cách sử dụng mạng riêng ảo (VPN) và khu phi quân sự (DMZ) để đối phó với những thách thức mới như người dùng trở nên di động hơn và đối tác kinh doanh bên ngoài mạng cần quyền truy cập. Nhưng cách tiếp cận dựa trên chu vi này có một nhược điểm cố hữu đối với các mạng rất phức tạp ngày nay: nó tạo ra sự tin tưởng ngầm quá mức. Sau khi bạn được kết nối, dù trực tiếp hay sử dụng VPN, bạn sẽ được tin cậy cùng với phần còn lại của “mạng nội bộ”.

Zero Trust là gì?

Mô hình Zero Trust đưa bảo mật ra khỏi việc tin cậy dựa trên vị trí mạng. Thay vào đó, nó tập trung vào việc đánh giá sự tin cậy trên cơ sở mỗi thay đổi. Với zero trust vị trí mạng hoặc địa chỉ IP không còn bao hàm về độ tin cậy. Mô hình zero-trust quy định rằng sự tin tưởng phải được bắt nguồn một cách rõ ràng từ sự kết hợp của các khía cạnh nhận dạng và dựa trên ngữ cảnh.

Cái tên này xuất hiện bởi vì khi nói đến quyền truy cập mạng, sự tin cậy không bắt đầu với tư thế từ chối mặc định cho mọi người và mọi thứ. Khi sử dụng mô hình zero-trust, bất cứ khi nào người dùng hoặc thiết bị yêu cầu quyền truy cập vào tài nguyên, họ phải được xác minh trước khi cấp quyền truy cập. Việc xác minh đó dựa trên danh tính của người dùng và thiết bị, cộng với các thuộc tính và ngữ cảnh khác, chẳng hạn như thời gian và ngày tháng, vị trí địa lý và các khía cạnh của tư thế bảo mật thiết bị.

Sau khi thiết bị và người dùng được xác minh, chỉ sự tin cậy phù hợp mới được cấp quyền. Quyền truy cập được cấp dựa trên nguyên tắc ít đặc quyền nhất. Nếu người dùng yêu cầu quyền truy cập vào một ứng dụng nhân sự và đã được xác minh, quyền truy cập vào ứng dụng đó là quyền truy cập duy nhất mà người đó được cấp.

Chỉ vì người dùng đã được cấp quyền truy cập vào thứ gì đó không có nghĩa là bây giờ họ có thể nhìn thấy bất cứ thứ gì khác. Quyền truy cập có nghĩa là chỉ cấp quyền truy cập vào một tài nguyên cụ thể, không phải toàn bộ mạng. Yếu tố chính của mô hình zero-trust là độ tin cậy phải được đánh giá lại liên tục. Nếu các thuộc tính quan trọng của người dùng hoặc thiết bị thay đổi, xác minh có thể bị thu hồi và quyền truy cập bị xóa.

Zero Trust Access là gì?

Zero trust access (ZTA) là về việc biết và kiểm soát ai và nội dung nào trên mạng của bạn. Kiểm soát truy cập dựa trên vai trò là một thành phần quan trọng của quản lý truy cập. Chỉ khi biết rõ người dùng là ai thì mới có thể cấp quyền truy cập phù hợp dựa trên vai trò của họ. Người dùng là nhân viên, khách hay nhà thầu? Vai trò của họ là gì và vai trò đó mang lại cho họ những quyền truy cập mạng nào?

ZTA bao gồm các điểm cuối của người dùng, nơi yêu cầu kiểm soát quản lý và khả năng hiển thị. Phù hợp với mô hình zero-trust có nghĩa là thực hiện chính sách ít truy cập nhất để cấp cho người dùng mức truy cập mạng tối thiểu cần thiết cho vai trò của họ và loại bỏ mọi khả năng truy cập hoặc xem các phần khác của mạng.

Nhưng ZTA không chỉ tập trung vào ai đang ở trên mạng; nó cũng kết hợp bảo mật cho những gì trên mạng. Sự gia tăng ngày càng nhiều của các thiết bị được kết nối mạng có thể bao gồm một loạt các thiết bị IoT có thể bao gồm từ máy in đến thiết bị sưởi và thông gió và hệ thống ra vào cửa. Các thiết bị này không có tên người dùng và mật khẩu để xác định bản thân và vai trò. Đối với các thiết bị “không đầu” này, các giải pháp kiểm soát truy cập mạng (NAC) có thể được sử dụng để khám phá và kiểm soát quyền truy cập. Bằng cách sử dụng các chính sách NAC, các nguyên tắc zero trust về quyền truy cập ít nhất có thể được áp dụng cho các thiết bị IoT này, cấp đủ quyền truy cập mạng để thực hiện vai trò của chúng và không có gì khác.

Zero Trust Network Access là gì?

Zero trust network access hoặc ZTNA đang trở thành một thuật ngữ tiêu chuẩn trong ngành, nhờ Gartner và các nhà phân tích khác. Thật không may, ZTNA không phải là quy ước đặt tên rõ ràng nhất, bởi vì mặc dù nó được gọi là zero trust network acces, nhưng nó thực sự là tất cả về quyền truy cập cho người dùng vào các ứng dụng. Vì vậy, có thể rõ ràng hơn nếu gọi nó là zero trust application access, nhưng có thể tốt hơn hay tệ hơn, nó vẫn là ZTNA. Một điều quan trọng nữa là ZTNA là một phần của ZTA lớn hơn.

Do sự gia tăng của làm việc từ xa, ZTNA gần đây đã được chú ý nhiều hơn vì đây là cách kiểm soát quyền truy cập vào các ứng dụng bất kể người dùng hoặc ứng dụng đó cư trú ở đâu. Người dùng có thể đang ở trên mạng công ty, đang làm việc tại nhà hoặc ở một nơi nào đó khác. Ứng dụng có thể nằm trong trung tâm dữ liệu của công ty, trong đám mây riêng hoặc trên internet công cộng.

Mặc dù VPN truyền thống đã là trụ cột chính trong nhiều thập kỷ, ZTNA là sự phát triển tự nhiên của VPN và cung cấp bảo mật tốt hơn, kiểm soát chi tiết hơn và trải nghiệm người dùng tốt hơn do sự phức tạp của các mạng ngày nay, vì vậy nó có thể là một lựa chọn thông minh hơn để kết nối an toàn một lực lượng lao động từ xa.

Với VPN truyền thống, giả định là bất kỳ ai hoặc bất kỳ thứ gì vượt qua các kiểm soát chu vi mạng đều có thể được tin cậy. Nhưng ZTNA có cách tiếp cận ngược lại: không người dùng hoặc thiết bị nào có thể được tin cậy để truy cập bất cứ thứ gì cho đến khi được chứng minh ngược lại. Không giống như VPN, ZTNA mở rộng mô hình không tin cậy ra ngoài mạng và giảm bề mặt tấn công bằng cách ẩn các ứng dụng khỏi internet.

Phân biệt Zero Trust, ZTA, và ZTNA

Bởi vì mọi người truy cập tài nguyên bên ngoài mạng truyền thống, chu vi đang tan biến và không thể cấp sự tin cậy dựa trên vị trí nữa. Vì vậy, khi bạn đang đọc về các giải pháp zero-trust, điều quan trọng là không ai được tự động tin cậy; khi đã được xác minh, chỉ nên cấp quyền truy cập hạn chế; và xác minh lại. Dựa trên khái niệm đó, ZTA tập trung vào việc hiểu ai và cái gì đang truy cập mạng, ZTNA xoay quanh quyền truy cập ứng dụng và thường được thảo luận như một giải pháp thay thế cho việc sử dụng VPN.

Nguồn: What’s the Difference Between Zero Trust, ZTA, and ZTNA

Xem thêm: FortiGate: Network Firewall cho mạng doanh nghiệp mở rộng

Tags: , , ,