Quá trình hoàn thành dự án Zero Trust trong Trung tâm dữ liệu của VMware IT

Ngày nay, sự bảo mật đang ngày càng trở nên phức tạp hơn. Mặc dù có vô số sản phẩm, công cụ và quy trình, các tổ chức nhận thấy rằng việc ngăn chặn 100% những vi phạm hoặc lỗi truy cập không mong muốn luôn là một thách thức. Phần mềm bảo mật Zero Trust hứa hẹn sẽ mang lại bảo mật chặt chẽ hơn bằng cách chỉ tin tưởng vào lưu lượng mạng được chính sách bảo mật cho phép cụ thể. Mặc dù nhiệm vụ có vẻ khó khăn nhưng những tổ chức thực hiện theo cách tiếp cận từng bước vẫn có thể đạt được thành công.

Quy trình được thực hiện bởi VMware IT (VMIT) có thể đóng vai trò như một bản thiết kế cho các tổ chức khác, loại bỏ một số phức tạp. VMIT đã bắt tay vào dự án Zero Trust về bảo mật trung tâm dữ liệu để ngăn chặn những chuyển động bên không mong muốn, hạn chế truyền thông tin giữa các khối lượng công việc ở mức tối thiểu cần thiết để hoàn thành công việc của họ. Mục tiêu chính đó là biến Zero Trust trở thành ứng dụng bình thường mới trong tất cả các ứng dụng của trung tâm dữ liệu. Để làm được như vậy, đội ngũ cần hiểu biết đầy đủ về tất cả các ứng dụng, cho đến mức khối lượng công việc. Sau khi hiểu rõ, các chính sách hiệu quả mới có thể được tạo ra để cho phép các hành vi tiếp theo được thực hiện.

Bước 1: Phân đoạn macro

Hãy bắt đầu bằng việc phân đoạn macro mạng, quan trọng nhất là phân đoạn vi mô tất cả các ứng dụng then chốt trong trung tâm dữ liệu. Tại bước này, VMIT đã bỏ qua và coi phân đoạn vi mô là phương tiện để đạt được Zero Trust vì đã có kinh nghiệm về phân đoạn vĩ mô.

Bước 2: Tìm hiểu lưu lượng mạng và ứng dụng

Bước thứ hai sẽ giúp người dùng hiểu rõ hơn về lưu lượng mạng và hành vi của ứng dụng. Đây được xem  là phần khó nhất của dự án Zero Trust vì các ứng dụng phức tạp khá khó để tìm và hiểu hết tất cả các mẫu giao tiếp. Tuy nhiên, bước này là thiết yếu để thiết lập các chính sách về lưu lượng truy cập hợp lệ và từ chối bất kỳ giao tiếp hoặc hành vi không mong muốn nào. Các ứng dụng đầu tiên thực hiện bước thứ hai này là các ứng dụng “brownfield”.

Bước 3: Phân đoạn vi mô

Sau khi chuẩn bị thông tin về kiểu giao tiếp và hành vi của các ứng dụng, VMIT nhanh chóng chuyển sang bước thứ ba. Đó là phân đoạn vi mô các ứng dụng này. Quá trình lặp lại giữa bước thứ hai và thứ ba này đã được thực hiện đầy đủ vào năm 2017, với việc vạch ra các luồng lưu lượng truy cập hợp lệ tới các chính sách phân đoạn vi mô dựa trên các mẫu giao tiếp. Các chính sách được kiểm tra kỹ lưỡng để đảm bảo rằng chúng ngăn chặn chuyển động ngang đi vào và ra khỏi phân khúc nơi ứng dụng đang chạy. Chúng không ảnh hưởng đến tính khả dụng hoặc hiệu suất của ứng dụng.

Trong khi phân khúc vi mô của các ứng dụng brownfield đang được tiếp tục với tốc độ nhanh chóng, họ đã nghiên cứu nhận thấy rằng mục tiêu 100% Zero Trust tiếp tục nằm ngoài tầm với vì các ứng dụng mới liên tục xuất hiện trực tuyến. VMIT biết rằng để đạt được mục tiêu của mình, nhóm cần giải quyết các ứng dụng mới (greenfield) đang được triển khai bên ngoài khuôn khổ Zero Trust. Nhóm đã nắm bắt cơ hội để phân khúc vi mô một ứng dụng thay thế cho ứng dụng chuỗi cung ứng và hoạch định nguồn lực doanh nghiệp (ERP) đã cũ. Thành công với một ứng dụng phức tạp như thế này sẽ chứng minh tính khả thi của việc phân đoạn vi mô tất cả các ứng dụng trong trung tâm dữ liệu.

Một trong những thách thức khi lựa chọn một ứng dụng phức tạp như vậy là do nó liên quan đến một chu kỳ thử nghiệm và phát triển kéo dài hơn 12 tháng. Tuy nhiên, đến thời điểm này, chỉ còn ba tháng nữa là đến ngày ra mắt. Thêm vào đó, đã có  nhiều nhóm đã tham gia vào dự án này: An toàn thông tin, Kỹ thuật giải pháp CNTT, An ninh mạng và nhóm Vận hành ứng dụng. May mắn thay, dựa trên kinh nghiệm thu được từ việc phân đoạn vi mô các ứng dụng khác và tinh thần đồng đội chặt chẽ, thời hạn đã được đáp ứng.

Như ở bước hai, phần khó nhất là xác định các kiểu truyền thông của ứng dụng, đặc biệt là với số lượng lớn và nhiều luồng lưu lượng. VMIT đã phát hiện ra một số lượng lớn khối lượng công việc (khoảng 300) giữa logic nghiệp vụ và các thành phần cơ sở dữ liệu. Các mẫu giao tiếp giữa tất cả các khối lượng công việc này cần được hiểu đầy đủ để xác định lưu lượng nào sẽ được chấp nhận. Sau khi được xác định, các chính sách bảo mật cho lưu lượng truy cập hợp lệ đã được tạo và kiểm tra kỹ lưỡng đảm bảo rằng tính khả dụng và hiệu suất không bị ảnh hưởng.

Bước 4: Thực hiện các biện pháp kiểm soát mối đe dọa bổ sung

Đến năm 2020, nhóm nghiên cứu đang ở bước thứ tư trong việc triển khai các khả năng kiểm soát mối đe dọa bổ sung. Bằng cách sử dụng VMware NSX® Service-defined Firewall™, nhóm có thể chỉ cần bật chức năng IDS / IPS tích hợp sẵn. Điều này cho phép VMIT giám sát các mẫu giao tiếp, phát hiện các mẫu lưu lượng đáng ngờ, tối ưu hóa các chính sách bảo mật và giúp đảm bảo tuân thủ. Nó cũng cung cấp một tấm kính duy nhất (single-pane-of-glass) để quản lý an ninh tổng thể.

Bước 5: Hoàn thành dự án Zero Trust

VMIT hiện đang ở bước thứ năm trong việc phân đoạn vi mô tất cả các ứng dụng và như vậy, nhóm đang trên đường hoàn thành dự án Zero Trust trong trung tâm dữ liệu. Việc khởi chạy thành công ứng dụng ERP trong điều kiện thời gian hạn hẹp đã chứng minh rằng ngay cả những ứng dụng phức tạp nhất cũng có thể được đưa vào dưới sự bảo trợ của Zero Trust bằng cách sử dụng phân đoạn vi mô. Trên thực tế, tất cả các ứng dụng VMware mới phải có chính sách phân đoạn vi mô trước khi hoạt động, điều này cung cấp cho các ứng dụng nội bộ tuyến phòng thủ thứ hai dựa trên Zero Trust và được thực hiện bằng cách sử dụng khả năng phân đoạn vi mô của tường lửa do NSX Service xác định.

Biên dịch bởi Tuyết Hiền – Iworld.com.vn