Mô hình bảo mật Zero trust là gì?

06:56 PM 18/05/2019 In bài viết

Kết quả hình ảnh cho Zero trust security: What is it?

Lịch sử về bảo mật và kiểm soát truy cập

Sự phát triển của điện toán đám mây đã đặt nhiều ứng dụng vào một bước ngoặt.

Hãy bắt đầu với một ví dụ. Giữa những năm 2000, phần mềm Quản lý quyền doanh nghiệp (ERM) bắt đầu gặp khó khăn. ERM được phát triển để giải quyết các vấn đề kiểm soát nội dung doanh nghiệp, chẳng hạn như trong tài liệu Word. Khi mạng ngoại vi (perimeter network) không còn nữa, việc kiểm soát nội dung trở nên khó khăn hơn.

Một trong những vấn đề này xảy ra trong các biện pháp kiểm soát truy cập được cung cấp để quản lý truy cập nội dung. Nếu  không có mạng ngoại vi, thì cần có các cơ chế khác ngoài thư mục nhân viên, để kiểm soát truy cập nội dung. Do đó, ERM đã thay đổi và mở rộng phạm vi phương thức nhận dạng, kiểm soát truy cập nội dung phù hợp với các chức năng điện toán đám mây.

Việc huỷ bỏ mạng ngoại vi đã gây ra nhiều thay đổi, đặc biệt là cách tiếp cận với an ninh mạng của các doanh nghiệp và kiểm soát truy cập chỉ là một trong số đó. Doanh nghiệp không thể dựa vào các công cụ nâng cao tính bảo mật mạng ngoại vi như tường lửa truyền thống. Các chuyên gia CNTT đã phải mở rộng các kết nối khi làm như vậy, đồng nghĩa với việc bảo mật sẽ có nhiều mối nguy hại hơn. Những cái nhìn mới về an ninh mạng đã được nhìn nhận một cách tốt hơn. Mô hình bảo mật Zero trust (tạm dịch: “Không tin bất kỳ ai”) là một mô hình như vậy, nhưng chính xác thì nó là gì?

Bảo mật Zero trust có ý nghĩa gì?

Những năm 2010, nhà phân tích John Kindervag của Forrester đã phát triển các nguyên tắc cho mô hình bảo mật Zero trust. Đặc điểm chính của nguyên tắc này là sử dụng mô hình thu thập dữ liệu tại nguồn lưu trữ nghĩa là biết dữ liệu của khách hàng ở đâu tại bất kỳ điểm nối nào, ánh xạ luồng dữ liệu qua mạng và hơn thế nữa. Ý tưởng đã thay đổi cái nhìn tích cực của các nhà phân tích về các giao dịch trên cùng một mạng.

Năm 2018, mô hình bảo mật Zero trust ban đầu đã được Forrester cập nhật. Mô hình mới này được gọi là hệ sinh thái mở rộng của Zero trust. Trong phiên bản mới này, được xây dựng dựa trên khái niệm bảo mật trung tâm người dân.

Mô hình bảo mật Zero trust là tất cả việc xác minh quyền truy cập thông qua ủy thác được áp dụng. Trong hệ sinh thái mở rộng của Zero Trust, dữ liệu là trục trung tâm mà con người, thiết bị, mạng và khối lượng công việc chuyển sang. Truy cập vào các dữ liệu bất kỳ trong số này đều phải được xác minh tại bất kỳ thời điểm nào và bất cứ lúc nào.

Quan điểm này có ý nghĩa rất lớn đối với con người và thiết bị trong một thế giới nơi mà các chuyên gia CNTT mang theo công nghệ của họ. Khi làm như vậy, các mạng được mở rộng đến điểm đột phá và khối lượng công việc sẽ phản ánh điều này. Cách nhìn về bảo mật Zero trust được áp dụng khái niệm xác định niềm tin như một cách để xác minh người và thiết bị mọi lúc mọi nơi.

Năm bước cơ bản để đạt được bảo mật Zero Trust

Phiên bản gốc của mô hình từ Forrester đặt ra năm bước cơ bản để đạt được bảo mật Zero trust. Tiền đề cơ bản là xác định và khoanh vùng được dữ liệu. Các công việc sau đó sẽ được áp dụng trong và giữa các khu vực đó. Các bước này vẫn có giá trị trong phiên bản cập nhật:

  1. Xác định dữ liệu nhạy cảm của khách hàng: Đây là một bước cơ bản. Nếu khách hàng biết dữ liệu nhạy cảm của mình là gì, thì họ có thể bảo mật đúng cách. Forrester đề nghị sử dụng mô hình phân loại dữ liệu đơn giản hóa của riêng họ. Mô hình này có ba lớp cơ bản là: công khai, nội bộ và bảo mật. Bước này là nơi đưa ra ý tưởng vi mô . Họ đề nghị khách hàng tạo ra các khối dữ liệu, dữ liệu đại diện cho mỗi vùng và được kết nối qua hệ sinh thái mạng mở rộng.
  2. Ánh xạ các luồng dữ liệu nhạy cảm của khách hàng: Bước này là xem xét các luồng dữ liệu trên mạng của khách hàng. Điều này bao gồm các luồng giao dịch có thể là đa hướng. Các bước này giúp tối ưu hóa các luồng dữ liệu và tạo ra các mạng lưới vi mô.
  3. Hệ thống bảo mật Zero trust vi mô của khách hàng: Một khi khách hàng biết dữ liệu của họ và dòng chảy của nó, hãy tạo các mạng lưới vi mô tối ưu xung quanh nó. Thiết kế chúng sao cho bảo mật được sử dụng phù hợp trong những trường hợp cụ thể. Bước này cũng xem xét việc sử dụng các điều khiển bảo mật vật lý hay bảo mật ảo.
  4. Liên tục theo dõi hệ sinh thái không tin cậy của khách hàng bằng các phân tích bảo mật: Sử dụng nhật ký để phân tích và tìm kiếm dữ liệu độc hại trên toàn bộ hệ sinh thái vi mô.
  5. Nắm bắt tự động hóa an ninh và điều phối: Xây dựng chính sách tự động hóa với sự giúp đỡ của quản lý. Áp dụng các công cụ tự động hóa và điều phối (SAO) để đạt được mục tiêu này.

Các ứng dụng của mô hình bảo mật Zero Trust

  1. Một trong những ứng dụng nổi tiếng nhất của mô hình Zero Trust  là sáng kiến BeyondCorp của Google. Google đã chuyển hệ thống phân cấp kiểm soát truy cập của họ từ ngoại vi sang các cá nhân và thiết bị. Google cho rằng phương pháp này cho phép làm việc từ xa một cách an toàn mà không cần sử dụng VPN.
  2. Mô hình BeyondCorp được triển khai như một phản ứng chống lại mô hình bảo mật đa lớp. Các lựa chọn thay thế  Zero trust bằng việc sử dụng các lớp VPN, tường lửa và các ràng buộc chính sách để kiểm soát truy cập. Trong mô hình BeyondCorp , họ áp dụng nhận dạng người dùng dựa trên ngữ cảnh làm thước đo kiểm soát truy cập. Bằng cách này, họ kiểm tra:
  1. Ủy quyền người dùng cuối (người)
  2. Ủy quyền thiết bị (thiết bị)
  3. Yêu cầu chính sách truy cập (quy tắc khối lượng công việc)

Ngoài ra, mã hóa đầu cuối được sử dụng để tránh mọi hành vi trộm cắp dữ liệu trong quá trình vận chuyển.

Vì quyền truy cập dựa trên quy tắc và mã thông báo, nó chỉ cho phép kiểm soát truy cập dựa trên nhiều ngữ cảnh.

Mặc dù các sáng kiến như BeyondCorp đã chứng minh thành công lớn, nhưng mô hình bảo mật Zero Trust vẫn không được áp dụng rộng rãi. Các nhà phân tích IDG nhận thấy rằng 71% những người ra quyết định chuyên nghiệp về bảo mật không biết về mô hình bảo mật Zero Trust.

Các mối đe doạ trong nội bộ

Các mối đe dọa trong nội bộ là một trong những khó khăn nhất để phát hiện và ngăn chặn. Một khảo sát của Computer Associates cho thấy một trong những yếu tố chính đằng sau các mối đe dọa trong nội bộ là có quá nhiều người dùng có quyền truy cập quá mức.

Bảo mật Zero Trust được áp dụng để giảm thiểu các mối đe dọa nội bộ hoạt động bằng cách:

●     Phân đoạn vi mô: Xây dựng bối cảnh dựa trên danh tính. Đây là bước đầu tiên của mô hình và tạo ra các vi mô dựa trên việc xác định người dùng. Đây còn được gọi là khoanh vùng và quản lý dữ liệu giữa các khu vực. Xác thực và ủy quyền có thể quản lý các tương tác dữ liệu trong các khu vực này. Điều này xây dựng một kế hoạch chi tiết hơn và loại bỏ chuyển động tự do có được bởi các đặc quyền vượt quá.

●     Xác định người dùng: Điểm đáng tin cậy là khách hàng biết đang trao quyền truy cập cho ai. Bảo mật Zero Trust được xây dựng dựa trên tiền đề rằng người dùng không tin cậy. Do đó, khách hàng cần kiểm tra ủy quyền và xác thực tại mỗi yêu cầu truy cập. Quyền truy cập này được kiểm soát thông qua mã thông báo yêu cầu và phản hồi thuộc tính người dùng.

●     Kiểm soát truy cập: Quyền truy cập đặc quyền tối thiểu là một nguyên tắc cơ bản của bảo mật Zero Trust. Truy cập quá mức là một trong những vấn đề chính khiến các mối đe dọa trong nội bộ trở thành sự cố nội bộ. Mạng Zero Trust chỉ cho phép quyền truy  khi thực sự cần thiết.

Những chỉ trích về mô hình bảo mật Zero Trust

Mô hình bảo mật Zero Trust có những lời chỉ trích  như các tổ chức BeyondTrust và 451 Research đã thực hiện các phân tích quan trọng về mô hình bảo mật Zero Trust.

IDG Research, ủng hộ bảo mật Zero Trust nhưng cũng thừa nhận khó có thể khó đạt được nó. IDG hướng tới việc tăng cường độ tin cậy bằng 0 với việc kiểm soát truy cập hợp nhất (UAC). Đây là một phương pháp sử dụng các chính sách và quy tắc để kiểm soát việc truy cập bằng các yếu tố rủi ro, như định vị địa lý. Kiểm soát truy cập hợp nhất có thể có những lợi thế về đăng nhập một lần (SSO) với các lợi ích xác thực và ủy quyền bổ sung.

Hãy tin tưởng vào mô hình bảo mật Zero Trust

Theo các nhà phân tích tại IDG, bảo mật Zero Trust là một trong những công nghệ bảo mật được nghiên cứu nhiều nhất và có sự quan tâm ngày càng tăng trong ngành bảo mật. Việc sử dụng các thuộc tính, danh tính để quản lý và kiểm soát truy cập dữ liệu và giao dịch cũng có ý nghĩa rất lớn.

Bảo mật Zero Trust tin tưởng sẽ cung cấp những phương pháp thiết kế bảo mật các quy trình kinh doanh, phù hợp với con người và với công nghệ. Sử dụng mô hình bảo mật Zero Trust tạo ra một cơ sở, các dịch vụ và hệ thống vững chắc.

Ngọc Phượng