Hiện nay, các cuộc tấn công mạng ngày càng gia tăng và hệ thống IT ngày càng trở nên phức tạp. Việc bảo vệ dữ liệu và tài nguyên của doanh nghiệp là một ưu tiên hàng đầu. Mô hình bảo mật Zero Trust đang nổi lên như một phương pháp tiếp cận hiệu quả giúp giảm thiểu rủi ro và bảo vệ hệ thống khỏi các mối đe dọa tiềm tàng. Vậy Zero Trust là gì? Nó hoạt động ra sao và có thể áp dụng như thế nào trong môi trường Cloud Server? Hãy cùng Gdata tìm hiểu chi tiết trong bài viết này nhé!
Mô hình bảo mật Zero Trust là gì?
Zero Trust là một mô hình bảo mật dựa trên nguyên tắc không bao giờ mặc định tin tưởng bất kỳ người dùng hoặc thiết bị nào, dù ở bên trong hay bên ngoài hệ thống. Thay vào đó, mọi truy cập đều phải được xác minh kỹ lưỡng trước khi cấp quyền.
Zero trust cũng giả định rằng mọi nỗ lực truy cập mạng hoặc ứng dụng đều là mối đe dọa. Những giả định này định hình tư duy của quản trị viên mạng, buộc họ phải thiết kế các biện pháp bảo mật nghiêm ngặt.
Bạn có thể quan tâm: Kiểm tra xem Cloud Server được bảo vệ đúng cách hay chưa?
Các nguyên tắc bảo mật tiên quyết của Zero Trust
Zero Trust hướng tới giải quyết các nguyên tắc chính sau đây dựa trên hướng dẫn của NIST:
– Xác minh liên tục. Luôn xác minh quyền truy cập, mọi lúc, cho tất cả các tài nguyên.
– Hạn chế “bán kính nổ”. Giảm thiểu tác động nếu xảy ra vi phạm từ bên ngoài hoặc bên trong.
– Tự động thu thập và phản hồi ngữ cảnh. Kết hợp dữ liệu hành vi và lấy ngữ cảnh từ toàn bộ ngăn xếp CNTT (nhận dạng, điểm cuối, khối lượng công việc, v.v.). Nhằm có phản hồi chính xác nhất.
Zero Trust hoạt động như thế nào?
Việc triển khai Zero Trust liên quan đến việc yêu cầu xác minh danh tính nghiêm ngặt đối với mọi cá nhân hoặc thiết bị cố gắng truy cập mạng hoặc ứng dụng. Xác minh này áp dụng cho dù thiết bị hoặc người dùng đã nằm trong phạm vi mạng hay chưa. Xác minh danh tính người dùng hoặc thiết bị có thể được kích hoạt bởi các sự kiện. Ví dụ như thay đổi trong thiết bị đang được sử dụng, vị trí; tần suất đăng nhập hoặc số lần đăng nhập không thành công.
1. Phạm vi bảo vệ
Bảo vệ bắt đầu bằng cách xác định phạm vi bảo vệ của bạn, dựa trên dữ liệu, ứng dụng, tài sản hoặc dịch vụ. Thường được gọi bằng từ viết tắt DAAS:
– Dữ liệu : Bạn phải bảo vệ dữ liệu nào?
– Ứng dụng : Ứng dụng nào có thông tin nhạy cảm?
– Tài sản : Tài sản nhạy cảm nhất của bạn là gì?
– Dịch vụ : Kẻ xấu có thể khai thác những dịch vụ nào để cố gắng làm gián đoạn hoạt động CNTT bình thường?
Thiết lập đối tượng bảo vệ này giúp bạn tập trung chính xác vào những gì cần được bảo vệ.
Cách bảo vệ dữ liệu
Chính sách Zero Trust bao gồm việc điều chỉnh lưu lượng xung quanh dữ liệu và thành phần quan trọng bằng cách hình thành các microperimeter. Ở rìa của microperimeter, mạng zero trust sử dụng một cổng phân đoạn. Cổng này giám sát việc nhập dữ liệu và người dùng. Nó áp dụng các biện pháp bảo mật được thiết kế để kiểm tra kỹ lưỡng người dùng và dữ liệu trước khi cấp quyền truy cập bằng tường lửa Lớp 7 và phương pháp Kipling.
Quy tắc Lớp 7 liên quan đến việc kiểm tra tải trọng của các gói tin để xem chúng có khớp với các loại lưu lượng đã biết hay không. Nếu một gói tin chứa dữ liệu không đáp ứng các tham số của quy tắc Lớp 7, quyền truy cập sẽ bị chặn.
Phương pháp Kipling thách thức tính hợp lệ của nỗ lực nhập cảnh bằng cách đặt sáu câu hỏi về mục nhập và ai đang cố gắng nhập cảnh: Ai? Cái gì? Khi nào? Ở đâu? Tại sao? Bằng cách nào? Nếu câu trả lời cho bất kỳ truy vấn nào nêu ra một lá cờ, quyền truy cập sẽ không được cấp.
2. Xác thực đa yếu tố
Xác thực đa yếu tố (MFA) xác minh danh tính của người dùng bằng cách yêu cầu họ cung cấp nhiều thông tin xác thực. Với các phương pháp nhập mật khẩu truyền thống, kẻ xấu chỉ cần tìm ra tên người dùng và mật khẩu, thường dễ bị tin tặc lấy được.
Với MFA, người dùng phải cung cấp nhiều phương pháp xác thực. Ví dụ, người dùng có thể cần cả ổ USB và mật khẩu. Nếu không có bất kỳ yếu tố nào, người đó sẽ không thể truy cập được. Sử dụng MFA có thể tăng độ khó cho tin tặc lên gấp hai, ba, bốn lần hoặc hơn.
3. Xác minh điểm cuối
Các điểm cuối cần được xác minh để đảm bảo mỗi điểm cuối được kiểm soát bởi đúng người. Xác minh điểm cuối củng cố phương pháp tiếp cận Zero Trust vì nó yêu cầu cả người dùng và chính điểm cuối phải trình bày thông tin xác thực cho mạng. Mỗi điểm cuối có lớp xác thực riêng. Nó yêu cầu người dùng phải chứng minh thông tin xác thực của mình trước khi được truy cập.
Để một thành phần hoặc chương trình trên mạng cho phép điểm cuối truy cập, nó sẽ gửi xác minh ra điểm cuối. Sau đó, người dùng phản hồi trên thiết bị. Dữ liệu được gửi từ điểm cuối được sử dụng để kiểm tra tính hợp lệ của nó. Khi quá trình nhận và truyền thành công sẽ giúp thiết bị đạt được trạng thái “đáng tin cậy”.
Quản lý điểm cuối hợp nhất (UEM)
UEM cho phép quản trị viên tập trung cách họ quản lý cơ sở hạ tầng CNTT bằng cách cung cấp cho họ một bộ công cụ duy nhất mà họ có thể sử dụng để xác minh nhiều điểm cuối. Phát hiện và phản hồi điểm cuối (EDR) xác minh tính an toàn và bảo mật của điểm cuối. EDR hoạt động giống như một phần mềm diệt vi-rút đa năng. Nó quét điểm cuối, xác định các mối đe dọa và sau đó thực hiện các bước để bảo vệ điểm cuối và mở rộng ra là phần còn lại của mạng.
4. Phân đoạn vi mô
Phân đoạn vi mô liên quan đến việc tạo các vùng trong mạng để cô lập và bảo mật các thành phần của mạng. Phương pháp bảo mật Zero Trust được hưởng lợi từ phân đoạn vi mô. Bởi vì sau khi khu vực được bảo mật đã được phân đoạn vi mô, nó sẽ được bảo vệ khỏi các mối đe dọa. Tường lửa tạo thành rào cản xung quanh vùng cũng có thể chặn các mối đe dọa thoát khỏi vùng, và bảo vệ phần còn lại của mạng.
5. Giới hạn quyền truy cập
Có nghĩa là cho phép người dùng và thiết bị chỉ truy cập vào những tài nguyên cần thiết để thực hiện nhiệm vụ của họ. Nó giới hạn số điểm truy cập vào dữ liệu hoặc cơ sở hạ tầng nhạy cảm. Việc giới hạn quyền truy cập cũng có thể tiết kiệm thời gian và tài nguyên vì phải sử dụng ít biện pháp MFA hơn. Điều này giúp hạn chế khối lượng thông tin xác thực nhận dạng phải được cấp và quản lý.
6. Truy cập mạng Zero Trust
Truy cập mạng Zero Trust (ZTNA) là một thành phần của truy cập Zero Trust. Nó tập trung vào việc kiểm soát quyền truy cập vào các ứng dụng. ZTNA mở rộng các nguyên tắc của ZTA để xác minh người dùng và thiết bị trước mỗi phiên ứng dụng. Việc này nhằm xác nhận rằng họ đáp ứng chính sách của tổ chức để truy cập ứng dụng đó. ZTNA hỗ trợ xác thực đa yếu tố để duy trì mức độ xác minh cao nhất.
Quy trình xác minh
Quy trình xác minh là như nhau cho dù người dùng có trong mạng hay ngoài mạng.
Đối với người dùng ngoài mạng, ZTNA bao gồm một đường hầm được mã hóa an toàn để kết nối từ thiết bị người dùng đến điểm proxy ứng dụng ZTNA. Bản chất tự động của đường hầm này giúp sử dụng dễ dàng hơn so với các đường hầm VPN truyền thống. Trải nghiệm được cải thiện cho người dùng đang khiến nhiều tổ chức chuyển sang ZTNA để thay thế quyền truy cập VPN.
Điểm proxy ứng dụng ZTNA cung cấp lợi ích vượt xa khả năng truy cập từ xa an toàn, minh bạch. Bằng cách đặt các ứng dụng sau điểm proxy, ZTNA ẩn các ứng dụng đó khỏi Internet. Chỉ những người dùng đã xác minh mới có thể truy cập vào các ứng dụng đó.
Lợi ích của mô hình bảo mật Zero Trust
Dưới đây là những lý do mà nhiều doanh nghiệp đã áp dụng Zero Trust Architecture:
– Bảo vệ dữ liệu khách hàng
– Giảm sự dư thừa và phức tạp: Khi hệ thống zero trust xử lý tất cả các chức năng bảo mật, bạn có thể loại bỏ các ngăn xếp tường lửa, cổng web và các thiết bị bảo mật phần cứng và ảo khác.
– Giảm nhu cầu thuê và đào tạo: Hệ thống zero trust tập trung có nghĩa là bạn không phải thuê nhiều người để quản lý; giám sát, bảo mật, tinh chỉnh và cập nhật các biện pháp kiểm soát bảo mật.
Zero Trust thực sự có hiệu quả trong việc bảo mật?
Ví dụ, vào tháng 5 năm 2014, tin tặc đã truy cập được vào địa chỉ, tên, ngày sinh và mật khẩu của 145 triệu người dùng eBay. Để xâm nhập, chúng chỉ cần sử dụng thông tin đăng nhập của ba nhân viên eBay. Giả sử eBay sử dụng mô hình zero trust được trang bị ít nhất hai cấp độ MFA. Thì tin tặc sẽ cần nhiều thông tin hơn là chỉ tên người dùng và mật khẩu để có thể truy cập. Chẳng hạn, yêu cầu một thiết bị USB được cắm vào một máy tính cụ thể có thể giúp eBay tránh khỏi việc mất lòng tin của công chúng.
Cách triển khai mô hình bảo mật Zero Trust?
Bước 1. Đánh giá hệ thống hiện tại
– Xác định các tài nguyên cần bảo vệ.
– Đánh giá rủi ro và các lỗ hổng bảo mật hiện có.
– Xác định luồng dữ liệu và quyền truy cập của người dùng.
Bước 3. Xây dựng chính sách bảo mật
– Xác định các quy tắc truy cập dựa trên danh tính, vị trí, thiết bị và hành vi.
– Thực thi chính sách Least Privilege để đảm bảo người dùng chỉ có quyền tối thiểu cần thiết.
– Áp dụng nguyên tắc Just-in-Time Access (quyền truy cập chỉ trong thời gian cần thiết).
Bước 4. Áp dụng công nghệ hỗ trợ
– Sử dụng xác thực đa yếu tố (MFA) để tăng cường bảo mật danh tính.
– Áp dụng các công nghệ giám sát như SIEM (Security Information and Event Management) để theo dõi hoạt động bất thường.
– Triển khai các giải pháp mã hóa dữ liệu để bảo vệ thông tin trong quá trình truyền tải và lưu trữ.
Bước 5. Phân đoạn hệ thống và kiểm soát quyền truy cập
– Chia hệ thống thành các vùng bảo mật riêng biệt để hạn chế sự lây lan của các cuộc tấn công.
– Áp dụng kiểm soát truy cập dựa trên vai trò (RBAC – Role-Based Access Control) và dựa trên thuộc tính (ABAC – Attribute-Based Access Control).
Bước 6. Theo dõi, kiểm tra và cải tiến liên tục
– Sử dụng AI và Machine Learning để phát hiện hành vi bất thường và đưa ra cảnh báo sớm.
– Liên tục cập nhật chính sách bảo mật và kiểm tra tuân thủ.
– Đánh giá và tối ưu hóa hệ thống bảo mật định kỳ để đối phó với các mối đe dọa mới.
Ai cần sử dụng Zero Trust Architecture?
Zero Trust thực sự có hiệu quả nếu bạn phải bảo vệ mô hình triển khai cơ sở hạ tầng bao gồm:
– Đa đám mây, đa danh tính
– Thiết bị không được quản lý
– Hệ thống cũ
– Ứng dụng SaaS
Hay là khi bạn cần giải quyết các trường hợp sử dụng mối đe dọa chính bao gồm:
– Ransomware: một vấn đề gồm hai phần liên quan đến thực thi mã và xâm phạm danh tính
– Tấn công chuỗi cung ứng: thường liên quan đến các thiết bị không được quản lý và người dùng có đặc quyền làm việc từ xa
– Các mối đe dọa nội gián: đặc biệt khó khăn khi phân tích dữ liệu phân tích hành vi cho người dùng từ xa
Mỗi doanh nghiệp đều có những thách thức riêng do hoạt động kinh doanh; mức độ trưởng thành trong quá trình chuyển đổi số và chiến lược bảo mật hiện tại của họ. Zero Trust nếu được triển khai đúng cách, có thể điều chỉnh để đáp ứng các nhu cầu cụ thể. Bên cạnh đó vẫn đảm bảo ROI cho chiến lược bảo mật của doanh nghiệp.
Lời kết
Bài viết trên của Gdata đã giúp bạn hiểu hơn về mô hình bảo mật Zero Trust cho Cloud Server. Hi vọng bài viết đã mang lại thông tin hữu ích cho doanh nghiệp của bạn. Đừng quên theo dõi các kênh social của Gdata để cập nhật thông tin – kiến thức công nghệ mới nhất nhé!
Vậy bạn có nên thuê Cloud Server GDATA hay không?
Thông tin liên hệ GDATA
Hotline: 0904 299 668
Tổng đài: 1800 4814 – Phím 2
Email: lienhe@gdata.com.vn
Website: www.gdata.com.vn
Facebook:https://www.facebook.com/gdata.com.vn
CÔNG TY CP DỮ LIỆU TOÀN CẦU
Địa chỉ: Tầng 03 Tòa Lạc Hồng/ 27 Lê Văn Lương, Thanh Xuân, Hà Nội
