Triển khai kiến trúc Zero Trust để bảo mật mạnh mẽ hơn

Triển khai kiến trúc Zero Trust để bảo mật mạnh mẽ hơn

August 30, 2021 | vietsunshine

Zero Trust Security hoạt động như thế nào?

Zero Trust hoạt động dựa trên tiền đề rằng có các mối đe dọa liên tục cả bên ngoài và bên trong mạng. Zero Trust cũng giả định rằng mọi nỗ lực truy cập vào mạng hoặc một ứng dụng đều là một mối đe dọa. Đó là một triết lý an ninh mạng nêu rõ rằng không ai trong hoặc ngoài mạng được tin cậy cho đến khi danh tính của họ đã được xác minh kỹ lưỡng. Những giả định này nằm trong chiến lược của các nhà quản trị mạng, buộc họ phải thiết kế các biện pháp bảo mật nghiêm ngặt.

Có một khái niệm quá phổ biến rằng việc triển khai cấu trúc zero trust yêu cầu phải đại tu toàn bộ mạng của bạn. Chắc chắn sẽ có một số công việc nặng nhọc cần thiết, nhưng việc triển khai thành công là việc có đúng framework được kết hợp với các công cụ phù hợp để thực thi. Mọi môi trường đều cần zero trust nhất quán. Đó là một sự thay đổi văn hóa, thường là một sự thay đổi lớn hơn sự thay đổi công nghệ. Nó liên quan đến tư duy và cam kết thay đổi cách cấp quyền truy cập và cách duy trì bảo mật trong toàn tổ chức.

Chiến lược bảo mật Zero Trust xác định quyền truy cập đúng và nhu cầu phù hợp

Bước đầu tiên trong việc thiết kế kiến trúc zero trust là quyết định ai được phép làm những gì – và đó có lẽ là bước khó khăn nhất. Bạn cần xác định xem ai có quyền truy cập vào tài nguyên nào và dựa trên tài nguyên đó là gì để mỗi cá nhân có thể thực hiện công việc của mình. Và sau đó bạn cần đảm bảo rằng các thiết bị mà mọi người đang sử dụng được bảo mật đúng cách.

Thiết lập Zero Trust Access (ZTA) liên quan đến kiểm soát truy cập ứng dụng phổ biến, công nghệ kiểm soát truy cập mạng mạnh mẽ và khả năng xác thực mạnh mẽ. Một khía cạnh của Zero Trust Access tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng là Zero Trust Network Access (ZTNA). ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng để xác nhận rằng họ tuân thủ chính sách của tổ chức để truy cập ứng dụng đó. ZTNA hỗ trợ xác thực đa yếu tố để duy trì mức độ xác minh cao nhất.

Việc sử dụng mô hình zero trust để truy cập ứng dụng hoặc ZTNA giúp các tổ chức có thể ít dựa vào các đường hầm mạng riêng ảo (VPN) truyền thống để đảm bảo các tài sản được truy cập từ xa. VPN thường cung cấp quyền truy cập không hạn chế vào mạng, có thể cho phép người dùng bị xâm nhập hoặc phần mềm độc hại di chuyển ngang qua mạng tìm kiếm tài nguyên để khai thác. Tuy nhiên, ZTNA áp dụng các chính sách như nhau, cho dù người dùng đang ở trong hay ngoài mạng. Vì vậy, một tổ chức có các biện pháp bảo vệ giống nhau, bất kể người dùng đang kết nối từ đâu.

Việc thực hiện chính sách bảo mật ZTA hiệu quả phải bao gồm xác thực an toàn. Nhiều vi phạm đến từ tài khoản và mật khẩu của người dùng bị xâm phạm, vì vậy việc sử dụng xác thực đa yếu tố là chìa khóa. Việc yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực để truy cập vào một ứng dụng hoặc các tài sản mạng khác sẽ tăng thêm tính bảo mật sau này để chống lại các mối đe dọa an ninh mạng.

Nó cũng cần thiết để đảm bảo người dùng không có cấp độ truy cập không phù hợp hoặc quá mức. Việc áp dụng thông lệ ZTA về việc áp dụng các đặc quyền “ít truy cập nhất” như một phần của quản lý truy cập có nghĩa là nếu tài khoản người dùng bị xâm phạm, kẻ thù không gian mạng chỉ có quyền truy cập vào một tập hợp con tài sản doanh nghiệp bị hạn chế. Nó tương tự như phân đoạn mạng nhưng trên cơ sở mỗi người. Người dùng chỉ được phép truy cập những tài sản mà họ cần cho vai trò công việc cụ thể của họ.

Đảm bảo tất cả các thiết bị đều được bảo mật bằng Zero Trust

Bảo mật của thiết bị cũng đóng một vai trò quan trọng trong việc thực hiện chính sách bảo mật zero trust hiệu quả. Điều tối quan trọng là đảm bảo rằng các thiết bị mọi người đang sử dụng đã được bảo mật đúng cách. Điều này đặc biệt quan trọng khi các thiết bị IoT ngày càng phát triển và trở thành mục tiêu lớn hơn cho các cuộc tấn công mạng.

Vì các thiết bị IoT không có khả năng cài đặt phần mềm và không có các tính năng bảo mật tích hợp nên chúng về cơ bản là “headless”. Khi công nghệ ngày càng phát triển, tính liên kết của các hệ sinh thái IoT với mạng doanh nghiệp và toàn bộ internet cũng vậy.

Kết nối mới này và sự mở rộng của các thiết bị hỗ trợ IP có nghĩa là các thiết bị IoT đã trở thành mục tiêu chính của tội phạm mạng. Phần lớn các thiết bị IoT không được thiết kế với tính bảo mật và nhiều thiết bị không có hệ điều hành truyền thống hoặc thậm chí không đủ sức mạnh xử lý hoặc bộ nhớ để kết hợp các tính năng bảo mật.

Một lợi ích của ZTA là nó có thể xác thực thiết bị điểm cuối và IoT để thiết lập và duy trì kiểm soát quản lý toàn diện và đảm bảo khả năng hiển thị của mọi thành phần được gắn vào mạng. Đối với thiết bị headless IoT, các giải pháp kiểm soát truy cập mạng (NAC) có thể thực hiện khám phá và kiểm soát truy cập. Sử dụng các chính sách NAC, các tổ chức có thể áp dụng các nguyên tắc không tin cậy về khả năng truy cập ít nhất vào các thiết bị IoT, chỉ cấp đủ quyền truy cập mạng để thực hiện vai trò của họ.

Phát triển chính sách bảo mật Zero Trust mạnh mẽ

Khi nói đến bảo mật zero trust, bạn cần phát triển và thực hiện một kế hoạch đảm bảo các giao thức và chính sách nhất quán được triển khai trên toàn bộ mạng. Cho dù họ muốn truy cập vào ai, ở đâu hay cái gì, các quy tắc phải nhất quán. Điều đó có nghĩa là bạn cần tìm các công cụ bảo mật không có độ tin cậy không chỉ dành cho đám mây, chẳng hạn như vì nếu bạn chạy một mạng kết hợp, bạn cần có cùng độ tin cậy trong khuôn viên thực của mình như đối với nhân viên/tài sản từ xa của bạn.

Trong năm qua, các tổ chức đã bắt đầu phụ thuộc nhiều hơn vào các môi trường kết hợp và đa đám mây để giúp hỗ trợ các yêu cầu chuyển đổi kỹ thuật số đang diễn ra của họ. Theo một báo cáo gần đây từ Fortinet, 76% các tổ chức phản hồi cho biết đã sử dụng ít nhất hai nhà cung cấp dịch vụ đám mây.

Một khía cạnh quan trọng cần xem xét là sự khác biệt trong mỗi nền tảng đám mây. Mỗi loại đều có các công cụ và chức năng bảo mật được tích hợp sẵn khác nhau với các khả năng, cấu trúc lệnh, cú pháp và logic khác nhau. Trung tâm dữ liệu vẫn là một môi trường khác. Ngoài ra, các tổ chức có thể đang di chuyển vào và ra khỏi các đám mây. Mỗi đám mây cung cấp những lợi thế riêng biệt và điều cần thiết là tổ chức có thể sử dụng bất kỳ đám mây nào hỗ trợ nhu cầu kinh doanh của họ; an ninh mạng không được cản trở điều đó. Tuy nhiên, với việc mỗi nhà cung cấp đám mây cung cấp các dịch vụ bảo mật khác nhau bằng cách sử dụng các công cụ và cách tiếp cận khác nhau, mỗi đám mây của bạn sẽ trở thành một silo độc lập trong cơ sở hạ tầng an ninh mạng bị phân mảnh.

Tuy nhiên, nếu bạn có lớp phủ bảo mật chung trên tất cả các trung tâm dữ liệu và đám mây này, bạn cung cấp một lớp phía trên các công cụ riêng lẻ giúp bạn hiển thị trên các đám mây, quyền kiểm soát chúng và khả năng thiết lập một tư thế bảo mật chung bất kể nơi ứng dụng có thể ở hoặc nơi nó có thể chuyển đến.

Do đó, các ứng dụng có thể cư trú ở bất cứ đâu – từ trong khuôn viên trường đến chi nhánh đến trung tâm dữ liệu đến đám mây. Đây là lý do tại sao điều quan trọng là phải đảm bảo phương pháp không tin cậy của bạn có thể cung cấp các giao thức giống nhau, bất kể nhân viên đang sống ở đâu và họ đang truy cập tài nguyên của công ty như thế nào.

Triển khai kiến trúc Zero Trust để bảo mật mạnh mẽ hơn

Khi chu vi mạng tiếp tục tan biến, một phần do các công nghệ điện toán tiên tiến và sự chuyển dịch toàn cầu sang làm việc từ xa, các tổ chức phải tận dụng mọi lợi thế bảo mật hiện có. Điều đó bao gồm việc biết cách triển khai chiến lược bảo mật Zero Trust.

Bởi vì có rất nhiều mối đe dọa từ bên ngoài và bên trong, nên coi mọi người và mọi vật đang cố gắng truy cập vào mạng và các ứng dụng của nó là một mối đe dọa. Trustless security không yêu cầu đại tu toàn bộ mạng nhưng sẽ giúp lá chắn mạng mạnh mẽ hơn. Bằng cách thực hiện công việc khó khăn ban đầu là thiết lập Zero Trust Access và nhánh của nó, Zero Trust Network Access, bạn sẽ giảm bớt công việc bổ sung cho nhóm bảo mật CNTT của mình và nâng cao đáng kể chỉ số bảo mật của mình.

Nguồn: How to Implement a Zero Trust Security Strategy

Xem thêm:

Tags: , , , ,