Làm thế nào để triển khai chiến lược Zero Trust security?

Iworld.com.vn – Cách để triển khai chiến lược Zero Trust security.

Zero trust security (bảo mật không tin tưởng) hoạt động như thế nào?

Zero trust (tạm dịch: không tin tưởng) là hoạt động dựa trên nền tảng các mối đe dọa liên tục, cả bên trong và bên ngoài network. Zero trust cũng giả định rằng mọi nỗ lực truy cập vào mạng hay một ứng dụng đều là một mối đe dọa. Triết lý về an ninh mạng của Zero trust nêu rõ, không ai trong hoặc ngoài mạng đáng tin cậy, chỉ đến khi danh tính của họ được xác minh kỹ lưỡng. Những giả định này đều nằm trong chiến lược của các nhà quản trị mạng (administrators), buộc họ phải thiết kế các biện pháp bảo mật nghiêm ngặt. 

Có một quan điểm phổ biến thế này: việc triển khai zero trust yêu cầu bạn phải bắt buộc kiểm tra kỹ lưỡng, đại tu lại toàn bộ mạng của bạn. Chắc chắn sẽ có một số việc nặng nhọc cần làm, nhưng việc triển khai thành công là có đúng framework (tạm dịch: khuôn khổ) được kết hợp với các công cụ phù hợp để thực thi hay không. Mọi môi trường đều cần có zero trust phù hợp. Đó là một sự thay đổi văn hóa, thường là sự thay đổi lớn hơn sự thay đổi công nghệ. Nó liên quan đến tư duy và việc cam kết thay đổi cách cấp quyền truy cập và cách duy trì bảo mật trong toàn tổ chức. 

Một chiến lược Zero Trust Security cần xác định đúng quyền truy cập (right access) và đúng nhu cầu (right needs)

Bước đầu tiên trong việc thiết kế kiến trúc zero trust là việc quyết định ai được phép làm những gì. Bạn cần xác định xem ai có quyền truy cập vào tài nguyên nào, và dựa trên việc tài nguyên đó là gì, để mỗi cá nhân có thể thực hiện công việc của mình. Và sau đó, bạn cần đảm bảo rằng các thiết bị mà mọi người đang sử dụng được bảo mật đúng cách.

Thiết lập Zero Trust Access – ZTA (tạm dịch: truy cập không tin tưởng) liên quan đến việc kiểm soát truy cập ứng dụng phổ biến (pervasive application access controls), công nghệ kiểm soát truy cập mạng mạnh mẽ (powerful network access control technologies) và khả năng xác thực mạnh (strong authentication capabilities). Một khía cạnh của Zero Trust Access sẽ tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng, đó là Zero Trust Network Access – ZTNA (tạm dịch: truy cập mạng không tin tưởng). ZTNA mở rộng các nguyên tắc của ZTA nhằm xác minh người dùng và thiết bị trước mỗi phiên ứng dụng, để xác nhận rằng họ tuân thủ chính sách của tổ chức để được phép truy cập vào ứng dụng đó. ZTNA hỗ trợ xác thực đa yếu tố để duy trì mức độ xác minh cao nhất.

Việc sử dụng mô hình zero trust để truy cập ứng dụng hoặc ZTNA giúp các tổ chức ít dựa vào mạng riêng ảo (virtual private network – VPN) truyền thống để đảm bảo các tài sản được truy cập từ xa. VPN thường cung cấp quyền truy cập không hạn chế vào mạng, cho phép người dùng bị xâm nhập (compromised users) hoặc phần mềm độc hại (malware) di chuyển qua mạng tìm kiếm tài nguyên để khai thác. Tuy nhiên, ZTNA áp dụng các chính sách như nhau, dù người dùng đang ở trong hay ngoài mạng. Vì vậy, một tổ chức có các biện pháp bảo vệ giống nhau, bất kể người dùng đang kết nối từ đâu.

Việc thực hiện chính sách bảo mật ZTA hiệu quả phải bao gồm việc xác thực an toàn. Nhiều vi phạm đến từ tài khoản và mật khẩu của người dùng bị xâm phạm, vì vậy sử dụng xác thực đa yếu tố (multifactor authentication) chính là chìa khóa. Việc yêu cầu người dùng cung cấp hai hoặc nhiều yếu tố xác thực để truy cập vào một ứng dụng hoặc các tài sản mạng khác sẽ tăng thêm tính bảo mật sau này, nhằm chống lại các mối đe dọa an ninh mạng.

Đảm bảo người dùng không có cấp độ truy cập không phù hợp hoặc quá mức cũng là điều cần thiết. Áp dụng ZTA vào việc áp dụng các đặc quyền “ít truy cập nhất” như một phần của việc quản lý truy cập, nghĩa là nếu tài khoản người dùng bị xâm phạm, đối thủ không gian mạng chỉ có quyền truy cập vào một tập hợp con tài sản doanh nghiệp bị hạn chế. Nó tương tự như việc phân đoạn mạng ( network segmentation) nhưng trên cơ sở mỗi người. Người dùng chỉ được phép truy cập những tài sản mà họ cần cho công việc cụ thể của họ.

Đảm bảo tất cả thiết bị đều được bảo mật bằng Zero Trust

Bảo mật của thiết bị cũng đóng một vai trò quan trọng trong việc thực hiện chính sách zero trust security hiệu quả. Vấn đề quan trọng là phải đảm bảo rằng các thiết bị mà mọi người đang sử dụng đã được bảo mật đúng cách. Điều này đặc biệt quan trọng khi ngày nay các thiết bị IoT ngày càng phát triển và trở thành mục tiêu lớn cho các cuộc tấn công mạng (cyberattackers).

Vì các thiết bị IoT không có khả năng cài đặt phần mềm và không có các tính năng bảo mật tích hợp, nên về cơ bản, chúng “headless” (tạm dịch: không đầu). Khi công nghệ ngày càng phát triển, tính liên kết của các hệ sinh thái IoT (IoT ecosystems) với mạng doanh nghiệp (enterprise network) và toàn bộ internet (the entirety of the internet) cũng vậy.

Kết nối mới này và sự mở rộng của các thiết bị hỗ trợ IP đã khiến các thiết bị IoT đã trở thành mục tiêu chính của các tội phạm mạng (cybercriminals). Phần lớn các thiết bị IoT không có tính bảo mật cao, và nhiều thiết bị cũng không có hệ điều hành truyền thống, hoặc thậm chí là không đủ sức mạnh xử lý hoặc bộ nhớ để kết hợp các tính năng bảo mật.

Một lợi ích của ZTA là nó có thể xác thực thiết bị endpoint (tạm dịch: điểm cuối) và IoT để thiết lập và duy trì kiểm soát việc quản lý toàn diện, đảm bảo khả năng hiển thị của mọi thành phần được gắn vào mạng. Đối với các thiết bị headless IoT (tạm dịch: IoT không đầu), các giải pháp kiểm soát truy cập mạng (network access control – NAC) có thể khám phá và kiểm soát truy cập. Bằng việc sử dụng các chính sách NAC, các tổ chức có thể áp dụng các nguyên tắc zero-trust về khả năng truy cập ít nhất vào các thiết bị IoT, chỉ cấp đủ quyền truy cập mạng để thực hiện vai trò của họ.

Phát triển một chính sách Zero Trust Security đủ mạnh

Khi nói đến zero trust security, bạn cần phát triển và thực hiện một kế hoạch đảm bảo các giao thức (protocols) và chính sách nhất quán đều được triển khai trên toàn bộ mạng. Dù họ muốn truy cập vào ai, ở đâu hay cái gì, các quy tắc đều phải được nhất quán. Điều đó có nghĩa là bạn cần tìm các công cụ zero trust security không chỉ dành cho đám mây (cloud-only), chẳng hạn như, nếu bạn chạy một hybrid network (tạm dịch: mạng kết hợp), bạn cần có cùng zero trust trong khuôn viên thực của mình như đối với nhân viên/tài sản từ xa của bạn. Tương tự vậy, rất ít công ty chỉ chạy trên nền tảng đám mây; mà hầu hết đều sử dụng phương pháp kết hợp, nhưng nhiều nhà cung cấp giải pháp zero trust đang phát triển các giải pháp chỉ dành cho đám mây (cloud-only solutions).

Trong năm qua, các tổ chức đã bắt đầu phụ thuộc nhiều hơn vào các môi trường kết hợp và đa đám mây (hybrid and multi-cloud) để hỗ trợ các yêu cầu chuyển đổi kỹ thuật số đang diễn ra của họ. Theo một báo cáo gần đây từ Fortinet, có 76% các tổ chức cho biết đã sử dụng ít nhất hai nhà cung cấp dịch vụ đám mây (cloud providers).

Một khía cạnh quan trọng cần xem xét là sự khác biệt trong mỗi nền tảng đám mây (cloud platforms). Mỗi loại đều có các công cụ và chức năng bảo mật được tích hợp sẵn khác nhau với các khả năng (capabilities), cấu trúc lệnh (command structures), cú pháp (syntax) và logic khác nhau. Trung tâm dữ liệu (data center) vẫn là một môi trường khác. Ngoài ra, các tổ chức có thể đang di chuyển vào và ra khỏi các đám mây. Mỗi đám mây (cloud) cung cấp những lợi thế riêng biệt, và điều cần thiết là tổ chức có thể sử dụng bất kỳ đám mây nào có thể hỗ trợ nhu cầu kinh doanh của họ; an ninh mạng (cybersecurity) không được phép cản trở điều đó. Tuy nhiên, với việc mỗi nhà cung cấp đám mây cung cấp các dịch vụ bảo mật khác nhau bằng cách sử dụng các công cụ và cách tiếp cận khác nhau, mỗi đám mây của bạn sẽ trở thành một silo độc lập trong phân đoạn cơ sở hạ tầng an ninh mạng – đây không phải là một thiết lập lý tưởng.

Tuy nhiên, nếu bạn có overlay (tạm dịch: lớp phủ) bảo mật chung trên tất cả các trung tâm dữ liệu và đám mây này, bạn có thể cung cấp một abstraction layer (tạm dịch: lớp trừu tượng hóa) phía trên các công cụ riêng lẻ giúp bạn hiển thị trên các đám mây, kiểm soát chúng và khả năng thiết lập một cấu trúc bảo mật chung, bất kể nơi ứng dụng có thể ở, hoặc nơi nó có thể chuyển đến.

Do đó, các ứng dụng có thể cư trú ở bất cứ đâu – từ trong khuôn viên cho đến branch (tạm dịch: chi nhánh) đến trung tâm dữ liệu đến đám mây. Đây là lý do tại sao điều quan trọng là phải đảm bảo phương pháp zero trust của bạn có thể cung cấp các giao thức giống nhau, bất kể nhân viên đang sống ở đâu và họ đang truy cập tài nguyên của công ty như thế nào.

Triển khai Zero Trust Architecture để bảo mật mạnh mẽ hơn

Khi vành đai mạng (network perimeter) tiếp tục tan biến, một phần do các công nghệ điện toán tiên tiến và sự chuyển dịch toàn cầu sang làm việc từ xa, các tổ chức phải tận dụng mọi lợi thế bảo mật hiện có. Điều đó bao gồm việc biết cách triển khai chiến lược zero trust security. Bởi vì có rất nhiều mối đe dọa từ bên ngoài lẫn bên trong, nên nó xem mọi người và mọi thứ đang cố gắng truy cập vào mạng và các ứng dụng của nó đều là một mối đe dọa. Các biện pháp bảo mật đáng tin cậy không yêu cầu phải điều chỉnh hay đại tu toàn bộ mạng, nhưng đều dẫn đến network shield (tạm dịch: lá chắn mạng) mạnh mẽ hơn. Bằng cách thực hiện công việc khó khăn ban đầu là thiết lập Zero Trust Access và nhánh con của nó – Zero Trust Network Access, bạn sẽ giảm bớt công việc bổ sung cho IT security team (tạm dịch: nhóm bảo mật CNTT) của mình và nâng cao đáng kể chỉ số bảo mật của mình.

Biên dịch bởi Thy Thy – Iworld.com.vn