Kiến trúc Zero Trust là gì?

Khi các mối đe dọa trên mạng ngày càng tinh vi và không ngừng gia tăng, các mô hình bảo mật truyền thống trở nên kém hiệu quả hơn. Tuy nhiên, doanh nghiệp có thể triển khai một phương pháp tiếp cận an ninh mạng mạnh mẽ và thích ứng bằng cách hoạt động dựa trên quan điểm rằng không tin cậy một thực thể nào theo mặc định.

Khám phá các nguyên tắc cốt lõi khiến kiến trúc Zero Trust trở thành một khung thiết yếu cho doanh nghiệp của bạn.

Xác minh rõ ràng
Zero Trust xử lý mọi nỗ lực truy nhập tài nguyên doanh nghiệp như thể yêu cầu đó bắt nguồn từ một mạng mở. Thay vì chỉ xác minh thông tin đăng nhập một lần tại điểm truy nhập, ZTA thường xuyên đánh giá toàn diện các điểm dữ liệu – chẳng hạn như danh tính người dùng, vị trí và thiết bị – trong thời gian thực để nhận diện các dấu hiệu cảnh báo và đảm bảo chỉ những người dùng và thiết bị được ủy quyền mới có thể truy nhập mạng của bạn.

Sử dụng quyền truy nhập đặc quyền thấp nhất
ZTA chỉ cấp cho mỗi người dùng mức truy nhập tối thiểu cần thiết để thực hiện nhiệm vụ của họ. Việc hạn chế quyền truy nhập theo cách này giúp doanh nghiệp của bạn giảm thiểu thiệt hại mà một tài khoản bị xâm phạm có thể gây ra.

Giả định vi phạm
Zero Trust hoạt động dựa trên tiền đề rằng các vụ vi phạm là không thể tránh khỏi. Thay vì chỉ tập trung ngăn chặn, phương pháp này còn chủ động lường trước các cuộc tấn công qua mạng bằng cách giả định rằng người dùng, thiết bị và hệ thống trong toàn bộ doanh nghiệp của bạn đều đã bị xâm phạm.

Về cơ bản, Zero Trust thay đổi cách các tổ chức tiếp cận an ninh mạng bằng cách đảm bảo mỗi yêu cầu truy nhập đều được xem xét kỹ lưỡng, bất kể nguồn gốc, đồng thời chủ động hạn chế rủi ro. Khám phá các thành phần chính khiến ZTA trở thành một khung quan trọng cho doanh nghiệp của bạn.

Quản lý truy nhập và danh tính (IAM)
Zero Trust luôn xác minh tính xác thực của người dùng và thiết bị trước khi cấp quyền truy nhập tài nguyên. Cụ thể, khung này sử dụng chiến lược IAM – chẳng hạn như xác thực đa yếu tố, đăng nhập một lần (SSO) và kiểm soát quyền truy nhập dựa trên vai trò – giúp ngăn chặn các vụ vi phạm liên quan đến danh tính. Những chức năng này cũng có thể cải thiện trải nghiệm người dùng cho nhân viên trong toàn doanh nghiệp bằng cách hợp lý hóa quy trình đăng nhập và giảm nhu cầu ghi nhớ nhiều mật khẩu.

Phân đoạn mạng
ZTA chia mạng của bạn thành các phân đoạn nhỏ hơn, biệt lập nhằm hạn chế chuyển động ngang của các cuộc tấn công qua mạng tiềm ẩn. Mỗi phân đoạn hoạt động như một vùng bảo mật, giúp doanh nghiệp kiểm soát vi phạm và không cho các mối đe dọa trên mạng lan sang các phần khác của hạ tầng. Nếu xảy ra vi phạm dữ liệu, doanh nghiệp của bạn có thể dễ dàng khoanh vùng trong một khu vực cụ thể và hạn chế đáng kể thiệt hại gây ra.

Phân đoạn mạng cũng cho phép doanh nghiệp của bạn áp dụng các chính sách bảo mật tùy chỉnh cho từng khu vực trong mạng. Ví dụ: các biện pháp kiểm soát nghiêm ngặt hơn có thể được áp dụng cho các phân đoạn chứa dữ liệu nhạy cảm, trong khi các phân đoạn ít quan trọng hơn có thể có các chính sách thoải mái hơn. Tính linh hoạt này cho phép doanh nghiệp của bạn tối ưu hóa vị thế bảo mật mà không ảnh hưởng đến hiệu quả hoạt động.

Bảo mật điểm cuối
Kiến trúc Zero Trust bảo vệ các thiết bị điểm cuối – chẳng hạn như máy tính xách tay, điện thoại thông minh và máy tính bảng – trong toàn bộ doanh nghiệp để ngăn chặn các mối đe dọa trên mạng như phần mềm gây hại xâm nhập vào mạng của bạn. Bảo mật điểm cuối là điều cần thiết vì các thiết bị này thường bị nhắm làm cổng để các cuộc tấn công qua mạng lớn hơn xâm nhập và gây gián đoạn. ZTA cung cấp khả năng phát hiện và phản hồi mối đe dọa tiên tiến, mã hóa toàn diện và cập nhật thiết bị thường xuyên để giúp duy trì tính toàn vẹn của hoạt động kinh doanh.

Bảo mật dữ liệu
Các khung Zero Trust cung cấp các biện pháp kiểm soát truy nhập mạnh mẽ, mã hóa đầu cuối và chức năng ẩn giấu dữ liệu giúp ngăn chặn hành vi vi phạm dữ liệu và truy nhập trái phép vào thông tin nhạy cảm. Bằng cách sử dụng các biện pháp bảo mật dữ liệu hiệu quả như vậy, doanh nghiệp của bạn có thể luôn tuân thủ các quy định và duy trì lòng tin của khách hàng. ZTA cũng bao gồm các chiến lược ngăn mất dữ liệu (DLP) để không cho dữ liệu doanh nghiệp bị rò rỉ hoặc đánh cắp.

Quản lý sự kiện và thông tin bảo mật (SIEM)
ZTA sử dụng hệ thống SIEM để cung cấp dữ liệu phân tích theo thời gian thực các cảnh báo bảo mật được tạo ra từ ứng dụng nghiệp vụ và phần cứng mạng. Điều này cho phép doanh nghiệp của bạn nhanh chóng phát hiện và ứng phó với các mối đe dọa tiềm ẩn trên mạng trước khi chúng có thể gây hại.

Các hệ thống SIEM trong kiến trúc Zero Trust cũng giúp bạn hiểu rõ hơn về bối cảnh mối đe dọa bằng cách cung cấp những thông tin chuyên sâu giá trị về các xu hướng và quy luật bảo mật. Bằng cách phân tích dữ liệu lịch sử, các tổ chức có thể xác định các vấn đề tái diễn và thực hiện các bước để chủ động giải quyết. Việc tiếp nhận một quy trình không ngừng cải tiến là điều cần thiết để doanh nghiệp luôn đón đầu các mối đe dọa mới nổi trên mạng và duy trì vị thế bảo mật vững chắc.

Chức năng AI
Zero Trust sử dụng AI cho an ninh mạng để phát hiện chính xác các mối đe dọa trên mạng và ứng phó hiệu quả với các mối đe dọa đó. Các mô hình AI có thể nhanh chóng phân tích lượng lớn dữ liệu, cho phép doanh nghiệp của bạn xác định các quy luật phức tạp và điểm bất thường có thể biểu thị một vụ vi phạm hoặc tấn công qua mạng. Zero Trust cũng cung cấp cho doanh nghiệp của bạn khả năng tự động hóa giúp nhóm bảo mật tiết kiệm thời gian và ưu tiên các mối đe dọa phức tạp trên mạng. Hãy cân nhắc triển khai ZTA để hiện đại hóa khung bảo mật, giảm thời gian phản hồi và luôn đón đầu các mối đe dọa trên mạng đang không ngừng phát triển.

Kiến trúc Zero Trust đã phát triển qua nhiều thập kỷ để đối phó với những hạn chế của các mô hình bảo mật truyền thống và sự tinh vi ngày càng tăng của các mối đe dọa trên mạng. Vào đầu những năm 2000, một nhóm chuyên gia bảo mật – được biết đến với tên gọi Diễn đàn Jericho – bắt đầu ủng hộ việc xóa bỏ ranh giới, hay sử dụng nhiều mức độ bảo mật bất kể vị trí. Khái niệm vượt ra ngoài các biện pháp kiểm soát bảo mật dựa trên ranh giới này đã giúp đặt nền móng cho các mô hình Zero Trust như chúng ta biết ngày nay.

Khám phá các cột mốc quan trọng trong quá trình phát triển của bảo mật Zero Trust.
 

• 2010: Phân tích viên John Kindervag chính thức đặt ra thuật ngữ "Zero Trust" trong một bài viết cho Forrester Research Group, nhấn mạnh sự cần thiết phải xác minh mọi yêu cầu truy nhập, bất kể yêu cầu đó bắt nguồn từ đâu.
• 2017: Gartner giới thiệu khung Đánh giá rủi ro và tin cậy thích ứng liên tục (CARTA), một phương pháp tiếp cận bảo mật tập trung vào việc liên tục đánh giá và thích ứng với rủi ro.
• 2020: Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) ban hành Ấn phẩm đặc biệt 800-207, xác định một bộ tài liệu toàn diện gồm hướng dẫn và biện pháp thực hành tốt nhất về thiết lập ZTA.
• 2022: Chính phủ Hoa Kỳ yêu cầu tất cả các cơ quan liên bang tiếp nhận các nguyên tắc Zero Trust vào năm 2024, nhấn mạnh tầm quan trọng của Zero Trust trong an ninh mạng hiện đại.

 

Kiến trúc bảo mật truyền thống cho phép người dùng truy nhập toàn bộ mạng doanh nghiệp sau khi họ đăng nhập tại nơi làm việc. Mặc dù phương pháp này bảo vệ ranh giới của tổ chức, nhưng lại gắn liền với cơ sở văn phòng vật lý và không hỗ trợ phương thức làm việc từ xa hoặc kết hợp. Thêm vào đó, các khung bảo mật truyền thống khiến doanh nghiệp gặp rủi ro bởi vì nếu có kẻ đánh cắp mật khẩu, kẻ đó có thể truy nhập mọi thứ.

Thay vì chỉ bảo vệ ranh giới của tổ chức, kiến trúc mạng Zero Trust bảo vệ tất cả các tệp, email và dữ liệu bằng cách thường xuyên xác thực từng người dùng và thiết bị. ZTA cũng giúp bảo mật hoạt động truy nhập từ xa, thiết bị cá nhân và ứng dụng của bên thứ ba để tăng cường tính linh hoạt, tạo điều kiện làm việc từ xa và hỗ trợ các mô hình kinh doanh mang thiết bị của riêng bạn (BYOD).

Zero Trust kết hợp nhiều kỹ thuật xác thực, giám sát mạng, mã hóa và kiểm soát truy nhập khác nhau để củng cố toàn diện vị thế bảo mật của bạn.

Xác thực và ủy quyền
Tất cả người dùng và thiết bị đều được xác thực và ủy quyền trước khi truy nhập tài nguyên. Phương pháp truy nhập mạng Zero Trust (ZTNA) thường bao gồm hoạt động xác thực đa yếu tố và kiểm soát quyền truy nhập dựa trên vai trò.

Giám sát và phân tích mạng
Lưu lượng truy nhập mạng và hành vi người dùng được giám sát liên tục để phát hiện các điểm bất thường, hoạt động đáng ngờ và các mối đe dọa tiềm ẩn.

Mã hóa đầu cuối
Dữ liệu kinh doanh trong toàn bộ doanh nghiệp của bạn được bảo vệ để đảm bảo rằng ngay cả khi dữ liệu bị chặn, các bên không được ủy quyền cũng không thể đọc được.

Cơ chế kiểm soát truy nhập
Quyền truy nhập tài nguyên được xác định bởi danh tính của người dùng và thiết bị, cùng với các yếu tố ngữ cảnh khác như vị trí và hành vi.

Việc chuyển đổi sang mô hình Zero Trust có thể là một quá trình đầy thách thức do sự phức tạp của các môi trường CNTT hiện có. Ví dụ: việc tích hợp các công nghệ hiện có của bạn vào một khung Zero Trust mới sẽ gặp khó khăn khi các hệ thống cũ không tương thích với các biện pháp bảo mật hiện đại. Hãy cân nhắc đầu tư vào các giải pháp có khả năng liên tác hoặc lên kế hoạch triển khai theo từng giai đoạn để vượt qua những thách thức liên quan đến CNTT này.

Thực hiện theo các bước và biện pháp thực hành tốt nhất sau đây để áp dụng kiến trúc Zero Trust cho doanh nghiệp của bạn:

1. Tạo tính năng xác minh danh tính mạnh mẽ

Bắt đầu xác thực quyền truy nhập vào mọi ứng dụng, dịch vụ và tài nguyên mà tổ chức của bạn sử dụng, bắt đầu với thông tin nhạy cảm nhất. Cung cấp cho người quản trị các công cụ để đánh giá rủi ro và ứng phó trong thời gian thực nếu danh tính có dấu hiệu cảnh báo, chẳng hạn như quá nhiều lần đăng nhập không thành công.

2. Quản lý quyền truy nhập vào các thiết bị và mạng

Đảm bảo tất cả các điểm cuối, dù là cá nhân hay doanh nghiệp, đều tuân thủ các yêu cầu bảo mật của tổ chức bạn. Mã hóa mạng và đảm bảo mọi kết nối đều an toàn, gồm cả từ xa và tại chỗ. Phân đoạn mạng để hạn chế tình trạng truy nhập trái phép.

3. Tăng cường khả năng giám sát đối với các ứng dụng

"CNTT ngoài luồng" là mọi ứng dụng hoặc hệ thống không được ủy quyền mà nhân viên sử dụng, có thể đem lại mối đe dọa trên mạng. Điều tra xem mọi người đã cài đặt những ứng dụng nào để bạn có thể thiết lập quyền, giám sát để phát hiện bất kỳ dấu hiệu cảnh báo nào và đảm bảo những ứng dụng đó tuân thủ quy định.

4. Đặt quyền dữ liệu

Gán cấp độ phân loại cho dữ liệu của tổ chức bạn, từ tài liệu đến email. Mã hóa dữ liệu nhạy cảm và cấp quyền truy nhập đặc quyền thấp nhất.

5. Giám sát hạ tầng của bạn

Đánh giá, cập nhật và đặt cấu hình mọi phần của hạ tầng, như máy chủ và máy ảo, để hạn chế truy nhập không cần thiết. Theo dõi số liệu để dễ dàng xác định hành vi đáng ngờ.

Trong nhiều ngành, các doanh nghiệp đang triển khai kiến trúc Zero Trust để đáp ứng hiệu quả hơn các nhu cầu bảo mật riêng biệt và không ngừng phát triển. Ví dụ: tập đoàn công nghệ đa quốc gia Siemens đã triển khai kiến trúc Zero Trust để nâng cao vị thế bảo mật của mình bằng cách sử dụng nguyên tắc "không tin cậy, luôn xác minh". Bất kể ngành nào, các tổ chức đều có thể triển khai ZTA để phục vụ nhiều trường hợp sử dụng khác nhau, chẳng hạn như:
 

• Hỗ trợ nhiều môi trường đám mây.
• Ứng phó với lừa đảo qua mạng, thông tin xác thực bị đánh cắp hoặc mã độc tống tiền.
• Cấp quyền truy nhập bảo mật, có giới hạn thời gian cho nhân viên tạm thời.
• Bảo vệ và giám sát quyền truy nhập vào các ứng dụng của bên thứ ba.
• Hỗ trợ nhân viên làm việc trực tiếp với khách hàng sử dụng nhiều thiết bị khác nhau.
• Luôn tuân thủ các yêu cầu theo quy định.
  
  

Tuy nhiên, Zero Trust cũng có thể mang lại cho doanh nghiệp của bạn những lợi ích phù hợp với từng ngành cụ thể, bao gồm:
 

• Tài chính. Nâng cao vị thế bảo mật bằng cách sử dụng quyền truy nhập đặc quyền thấp nhất, liên tục giám sát hành vi trên toàn mạng lưới để nhanh chóng xác định và ứng phó với hoạt động độc hại.
• Chăm sóc sức khỏe. Bảo vệ hệ thống hồ sơ sức khỏe điện tử của bạn bằng cách triển khai phương thức xác thực đa yếu tố (MFA) – và giảm nguy cơ vi phạm dữ liệu bằng cách phân đoạn mạng.
• Chính phủ. Ngăn chặn truy nhập trái phép vào thông tin được phân loại bằng cách mã hóa dữ liệu của bạn và triển khai các biện pháp kiểm soát truy nhập nghiêm ngặt. 
• Bán lẻ. Bảo vệ dữ liệu khách hàng và đảm bảo an toàn cho nền tảng thương mại điện tử của bạn bằng cách sử dụng phương thức xác minh liên tục và các chính sách nhận biết ngữ cảnh.
• Giáo dục. Bảo mật thiết bị cá nhân, ứng dụng của bên thứ ba và quyền truy nhập từ xa vào môi trường học tập kỹ thuật số của bạn để hỗ trợ học tập từ xa và cải thiện tính linh hoạt.

 

Việc áp dụng Zero Trust trong doanh nghiệp của bạn ngày càng trở nên quan trọng hơn. Khi môi trường làm việc trở nên năng động hơn và các mối đe dọa trên mạng tiếp tục phát triển, các tổ chức phải xác minh mọi yêu cầu truy nhập và triển khai các biện pháp kiểm soát bảo mật toàn diện để đảm bảo toàn bộ mạng của họ được bảo vệ. Các giải pháp Zero Trust rất đa dạng về phạm vi và quy mô – sau đây là một vài ví dụ:

Cá nhân có thể bật xác thực đa yếu tố (MFA) để nhận mã một lần trước khi truy nhập vào ứng dụng hoặc website. Bạn cũng có thể bắt đầu đăng nhập bằng sinh trắc học như dấu vân tay hoặc khuôn mặt của mình.

Trường học và cộng đồng có thể không cần mật khẩu bằng cách dùng mã khóa, vì rất dễ mất mật khẩu. Các tính năng này cũng giúp cải thiện bảo mật điểm cuối nhằm hỗ trợ trường học và phương thức làm việc từ xa, cũng như phân đoạn quyền truy nhập trong trường hợp thiết bị bị mất hoặc đánh cắp.

Tổ chức có thể áp dụng kiến trúc Zero Trust bằng cách xác định tất cả các điểm truy nhập và triển khai chính sách để truy nhập an toàn hơn. Vì Zero Trust là một phương pháp tiếp cận lâu dài nên các tổ chức cần cam kết giám sát liên tục để phát hiện các mối đe dọa mới.

Hãy cân nhắc triển khai giải pháp Zero Trust dành cho doanh nghiệp của bạn.