Mô hình ZTNA: Hành trình an toàn cho trải nghiệm người dùng
An toàn thông tin - Ngày đăng : 07:35, 31/08/2021
Một trong những khái niệm được thảo luận nhiều hiện nay là kiến trúc mạng Zero Trust Access (ZTA) được xem là con đường dẫn đến một sự an toàn hơn và thân thiện với nhân viên trong sự tương tác với dữ liệu và các ứng dụng của công ty.
ZTNA (zero trust network access) là một phần trong ZTA. ZTA tập trung vào việc hiểu ai và cái gì đang truy cập mạng? ZTNA xoay quanh quyền truy cập ứng dụng và thường được thảo luận như một giải pháp thay thế cho việc sử dụng VPN.
Nhu cầu sử dụng ZTNA
Hãy nghĩ về cách bạn đi taxi. Khi bạn gọi một chiếc taxi, bạn sẽ kiểm tra nhanh (là tất cả những gì bạn có thể làm) trước khi lên xe. Nó có giống một chiếc taxi không? Nó có phải là hãng có tên tuổi không? Có biển số đăng ký không? Tên công ty có trên thành xe không? Sau đó bạn cần tin tưởng rằng lái xe sẽ đưa bạn đến đích an toàn. Bạn có đảm bảo được những thông tin này không? Nhưng Zeo Trust sẽ giải quyết vấn đề này.
Bây giờ, hãy nghĩ về một nhóm CNTT được giao nhiệm vụ bảo vệ mạng của công ty họ. Thiết bị điểm cuối là "phương tiện" mà nhân viên công ty sử dụng để điều hướng dữ liệu của công ty và hồ sơ người dùng cũng như mật khẩu truy cập được liên kết là "giấy phép taxi" của họ. Và khi các công ty sử dụng nội dung với việc kiểm tra nhanh (bạn có phải là nhân viên không? Bạn có giấy phép không? Bạn đang ở đâu?) các nhóm an ninh mạng và CNTT ngày nay không thể đơn giản cho rằng những "phương tiện" này đảm bảo, sẽ được điều khiển một cách an toàn và trách nhiệm - chúng phải chắc chắn.
Có hai trình điều khiển chính cho sự thay đổi này. Đầu tiên là trong thực tế, tất cả các quy trình kinh doanh đều phụ thuộc vào cơ sở hạ tầng CNTT an toàn, tin cậy. Nhóm bảo mật CNTT phải xem xét kỹ lưỡng xem ai đang sử dụng cơ sở hạ tầng này và sử dụng bằng cách nào? Thứ hai, cơ sở người dùng ngày nay thiếu sự đồng nhất so với trước đây. Trong khi 20 hoặc chỉ 10 năm trước, hầu hết người dùng có thể truy nhập các tài nguyên của công ty bằng cách sử dụng các thiết bị của công ty từ mạng nội bộ. Còn hiện nay thì tình hình đã khác và phức tạp hơn nhiều.
Ngay cả trước đại dịch Covid-19, việc giãn cách xã hội và sự bùng nổ các kịch bản làm việc từ xa khiến nhân viên ngày càng gia tăng việc truy nhập các ứng dụng và dữ liệu từ mọi nơi. Từ lâu, họ đã bắt đầu xu hướng BYOD, sử dụng các thiết bị thuộc sở hữu tư nhân thay vì thiết bị của công ty.
Ngoài ra, nhiều ứng dụng và dữ liệu mà họ đã truy nhập không chỉ trong trung tâm dữ liệu của công ty mà còn trên đám mây và thường là trong nhiều đám mây công cộng. Công việc số hóa hiện nay được định hình bằng cách tăng tính di động và tính linh hoạt. Các cuộc khảo sát của Citrix gần đây cho thấy, ngay cả sau khi cuộc khủng hoảng hiện tại lắng xuống, xu hướng làm việc từ xa vẫn sẽ linh hoạt được duy trì.
Cơ chế hoạt động
Thách thức là đảm bảo mức độ bảo mật cần thiết trong môi trường phức tạp đang gia tăng. Cách tiếp cận zero-trust (kiểm soát ai và nội dung nào trên mạng của mình) thay thế kiểm soát bảo mật "trong nháy mắt" với quy tắc hàng đầu là "luôn luôn xác minh, không bao giờ chủ quan".
Với ZTNA, phần mềm bảo mật dựa trên các thuật toán AI liên tục theo dõi người dùng (cụ thể hơn là tài khoản người dùng) và hành vi của thiết bị điểm cuối, kiểm tra những sai lệch so với các quy tắc đã xác định và các mẫu hành vi trước đó.
ZTNA hoạt động dựa trên nguyên tắc "không tin tưởng" và tất cả đều nhằm xác minh người dùng. ZTNA thường tận dụng xác thực đa yếu tố để tăng khả năng bảo mật và xác nhận người dùng, sau đó sẽ xác thực tình trạng và sự tuân thủ của thiết bị để đảm bảo thiết bị được đăng ký, cập nhật và được bảo vệ đúng cách. Sau đó, ZTNA sử dụng thông tin đó để đưa ra các quyết định dựa trên chính sách nhằm xác định quyền truy cập và đặc quyền đối với các ứng dụng quan trọng được nối mạng
Bước đầu tiên trong truy nhập mạng không tin cậy là liên tục xác minh danh tính của người dùng, lý tưởng là bằng việc áp dụng xác thực đa yếu tố thông qua các mã token phần cứng hoặc ứng dụng mã thông báo mềm. Bước thứ hai là giám sát thiết bị điểm cuối, từ trạng thái sở hữu thiết bị đến mức vá của chúng.
Những sự cảnh giác thường xuyên này cho phép cơ sở hạ tầng ZTNA phản ứng ngay lập tức với các hoạt động đáng ngờ. Ví dụ, nếu một yêu cầu đăng nhập đến từ London, nhưng một phút sau, yêu cầu tiếp theo từ cùng một tài khoản người dùng đến từ Singapore thì đó là một dấu hiệu rõ ràng của việc chiếm đoạt tài khoản người dùng. Trong trường hợp này, phần mềm ZTNA có thể cảnh báo nhóm bảo mật hoặc thậm chí nếu được phép sẽ tự động chặn quyền truy nhập của người dùng. Trong trường hợp không hoàn toàn rõ ràng, phần mềm có thể yêu cầu người dùng cung cấp thêm bằng chứng về danh tính của họ, có thể bằng cách sử dụng yếu tố xác thực thứ hai.
Để bảo mật thông tin, quyền truy nhập của người dùng tới các tài nguyên cũng có thể bị giới hạn ở những gì họ cần truy nhập tương với chức năng của họ. Điều này được bổ sung bởi các quy tắc có thể tùy chỉnh hạn chế quyền truy nhập của người dùng dựa trên ngữ cảnh hiện tại của họ: Người dùng X được phép truy nhập vào bất kỳ loại ứng dụng hoặc dữ liệu nào, từ mọi nơi, với mọi thiết bị; người dùng Y có thể sử dụng email và truy nhập từ xa; người dùng Z chỉ có thể truy nhập dữ liệu thông minh của doanh nghiệp nhạy cảm bằng cách sử dụng xác thực hai yếu tố và sử dụng thiết bị của công ty.
Điều quan trọng cần lưu ý là khi thực thi ZTNA, các tổ chức cần tập trung vào kinh nghiệm của nhân viên. Các chính sách truy nhập phải cung cấp cho người dùng tất cả sự linh hoạt mà họ cần trong ngày làm việc bình thường của họ. Khi bộ chính sách này được thiết lập, phần mềm sử dụng AI để xác định đường cơ sở của hành vi mang tính thường xuyên và sẽ chỉ can thiệp nếu có lý do đáng ngờ.
Điều này có nghĩa là người dùng thường sẽ không nhận thấy được các thuật toán AI đang hoạt động ngầm phía sau. Do đó, mạng zero-trust kết nối thân thiện với nhân viên hơn các giải pháp bảo mật truyền thống. Nó tạo ra sự cân bằng hoản hảo giữa bảo mật linh hoạt và khả năng sử dụng không rắc rối. Vì vậy, các nhân viên có thể làm việc mà không bị phân tâm hoặc gián đoạn nhưng không gian làm việc kỹ thuật số của họ vẫn được an toàn.
Nói cách khác, kiến trúc mạng zero-trust - như một thành phần tích hợp của môi trường không gian làm việc kỹ thuật số hoặc như một giải pháp độc lập - sẽ luôn theo dõi sát sao tài xế taxi trong suốt toàn bộ chuyến đi. Zero Trust mang đến cho nhân viên một hành trình an toàn thông qua thế giới đa đám mây lai phức tạp ngày nay và liên tục thiết lập sự tin tưởng cần thiết cho một môi trường làm việc hiệu quả, an toàn cho trải nghiệm của nhân viên.
Kiến trúc Zero Trust là một cách tiếp cận hiện đại đối với an ninh mạng - một phản ứng với các xu hướng và nhu cầu mới nhất của hệ sinh thái CNTT vì nó được xác định bởi các dịch vụ dựa trên đám mây ở mức độ ngày càng tăng. Mặc dù việc triển khai ZTA sẽ không diễn ra trong một sớm một chiều, nhưng hiện tại vẫn có những công cụ và giải pháp có thể hỗ trợ quá trình chuyển đổi. Các tổ chức đang tìm cách cải thiện bảo mật tổng thể của mình có thể được hưởng lợi từ các công nghệ và mẫu thiết kế hiện có để đánh giá lại mô hình bảo mật của họ và hướng tới các phương pháp hay nhất trong ngành mới nhất.
Nhiều tổ chức lớn trên thế giới đã xây dựng và triển khai mô hình Zero-Trust. Tại Việt Nam Mô hình Zero-Trust đang trở thành một xu hướng bảo mật trong thời gian gần đây. Mô hình này không chỉ giúp doanh nghiệp tổ chức nâng cao việc tuân thủ, đảm bảo an toàn thông tin trong hệ thống, mà còn giúp giảm chi phí quản lý, giảm chi phí đầu tư mạng nội bộ quy mô lớn, cũng như mang lại hiệu quả làm việc cao, khi người dùng có thể làm việc mọi lúc, mọi nơi và an toàn./.