Mô hình Zero Trust (tạm dịch “Không tin bất kỳ ai”) là phương pháp bảo mật mạng và hệ thống thông tin mà mọi yêu cầu truy cập vào tài nguyên nội bộ được xem xét và xác minh một cách cẩn thận, thay vì tin tưởng vào các nguồn truy cập nội bộ. Trái với mô hình truyền thống, Zero Trust giả định rằng không có ai hoặc bất kỳ thiết bị nào cũng đáng tin cậy mà không cần xác minh. Mô hình Zero Trust giúp ngăn chặn các cuộc tấn công từ bên trong và bên ngoài, bảo vệ dữ liệu quan trọng và giảm thiểu rủi ro mạng cho tổ chức. Đây là một phương pháp hiệu quả để bảo vệ hệ thống thông tin trong môi trường an ninh mạng ngày nay. Mô hình này không cho phép truy cập tùy tiện vào máy chủ mạng và chỉ được di chuyển trong ranh giới của vành đai bảo mật đã xác định, đồng thời chỉ được truy cập trong một khung thời gian nhất định.
Mô hình Zero Trust do Công ty nghiên cứu thị trường Forrester (Mỹ) đưa ra năm 2010 và ngày càng được nhiều tổ chức, doanh nghiệp trên thế giới áp dụng. Trên thực tế, bất kỳ một đơn vị, tổ chức hay doanh nghiệp nào cũng đều có thể là điểm tấn công của các tội phạm mạng. Bởi vậy, việc triển khai mô hình bảo mật Zero Trust được coi là một giải pháp vô cùng hiệu quả và cần thiết để các tổ chức, doanh nghiệp có thể bảo vệ được hạ tầng công nghệ thông tin của doanh nghiệp mình. Bài viết chia sẻ một số lý do mà các tổ chức, doanh nghiệp nên sử dụng Zero Trust.
1. Zero Trust là gì?
Zero Trust là mô hình bảo mật ngăn chặn chuyển động bên trong hệ thống mạng. Điều này có nghĩa là người dùng ở cùng cấp độ với đồng nghiệp của họ sẽ bị ngăn không có quyền truy cập dữ liệu của nhau.
Mô hình được thực hiện bằng cách thêm chu vi tại mỗi bước xác minh trong mạng. Nó sử dụng phân đoạn vi mô (micro-segmentation) và thêm các vành đai hạt (granular perimeters) tại các vị trí quan trọng trong mạng. Điều này ngăn chặn kẻ xấu truy cập vào những dữ liệu nhạy cảm và các quy trình của hệ thống. Zero Trust cũng loại bỏ nhược điểm của mô hình bảo mật dựa trên chu vi như truyền thống bằng cách thắt chặt bảo mật xung quanh các dữ liệu có giá trị.
Zero Trust bắt đầu bằng việc cấp cho người dùng quyền truy cập, theo chính sách quản trị của tổ chức, chỉ trong thời gian giới hạn họ cần để hoàn thành một nhiệm vụ cụ thể. Thêm vào đó, nó kéo theo các công nghệ mới nhất xoay quanh việc ghi điểm, cấp phép hệ thống tệp, điều phối, phân tích và xác thực đa yếu tố. Zero Trust không phát triển các tham số bảo mật bằng cách hiểu quy trình kinh doanh, các bên liên quan và tư duy của họ. Bảo mật được thiết kế từ trong ra ngoài, thay vì ngược lại như cách truyền thống.
2. Lợi ích của Zero Trust
Zero Trust giúp doanh nghiệp hiện đại xây dựng một mô hình bảo mật hiệu quả và có khả năng thích ứng, được thiết kế đặc biệt để đáp ứng nhu cầu phức tạp của môi trường làm việc hỗn hợp ngày nay, đồng thời giúp bảo vệ an ninh cho doanh nghiệp trên các trụ cột công nghệ chính, dựa trên ba nguyên tắc chỉ đạo của mô hình: Xác minh rõ ràng, sử dụng quyền truy đặc quyền tối thiểu và giả định vi phạm.
Bên cạnh việc cung cấp một môi trường an toàn hơn, lợi ích chính của Zero Trust là khắc phục được hạn chế của tường lửa và giải pháp bảo mật dựa trên chu vi đối với các mạng. Zero Trust cũng nhấn mạnh việc xác minh chính xác và hiệu quả thông tin đăng nhập của người dùng theo định kỳ trong mạng. Nó kết hợp việc sử dụng bảo vệ vành đai và mã hóa để bảo vệ hệ thống trước các mục tiêu tấn công.
Zero Trust đóng vai trò là rào cản để bảo vệ các ứng dụng, quy trình và dữ liệu chống lại những kẻ nội gián và tin tặc. Với việc triển khai hiệu quả, mô hình Zero Trust có thể thiết lập một mô hình an ninh mạng mới.
3. Lưu ý trước khi triển khai mô hình Zero Trust
Có ba lĩnh vực cốt lõi mà các tổ chức, doanh nghiệp nên phát triển trước khi triển khai mô hình bảo mật Zero Trust:
- Khả năng hiển thị: Trước khi triển khai mô hình bảo mật Zero Trust, doanh nghiệp cần xác định rõ ràng các thiết bị và tài nguyên cần được giám sát và bảo vệ. Bởi lẽ, việc bảo vệ một tài nguyên mà người sử dụng không biết đến là điều bất khả thi, do đó không thể thiếu khả năng hiển thị tất cả các tài nguyên và điểm truy cập của người dùng.
- Chính sách: Thiết lập các biện pháp kiểm soát chặt chẽ, chỉ cho phép người sử dụng có thể truy cập vào những tài nguyên cụ thể trong từng trường hợp nhất định. Nói cách khác, chính sách liên quan đến các giải pháp kiểm soát cần phải chi tiết và rõ ràng.
- Tự động hóa: Việc tự động hóa các quy trình giúp bảo đảm áp dụng chính xác những chính sách và cho phép doanh nghiệp có thể thích ứng nhanh chóng với bất kỳ sai lệch nào so với các quy trình tiêu chuẩn. Yếu tố này đặc biệt quan trọng khi doanh nghiệp triển khai mô hình bảo mật Zero Trust.
Dựa trên các yếu tố cơ bản mà doanh nghiệp cần thực hiện trước khi áp dụng mô hình bảo mật Zero Trust được nêu ra ở trên, chúng ta có thể đưa ra khái niệm Zero Trust là một mô hình bảo mật xây dựng hệ thống phòng thủ quanh từng entity (thực thể), gồm dữ liệu, mạng, thiết bị, khối lượng công việc và cả nhân lực.
Việc triển khai chính xác các tính năng xác thực đa yếu tố của Zero Trust sẽ cải thiện tính bảo mật một cách liền mạch, đơn giản hóa quá trình xác minh người sử dụng và hướng dẫn truy cập vào các dịch vụ. Doanh nghiệp cần theo dõi chỉ số cuộc tấn công, đánh giá tính bảo mật của hệ thống và các nguy cơ tiềm ẩn. Việc đánh giá mức độ tiếp cận tài sản, đặc biệt là khi truy cập các dịch vụ phải là một phần của quá trình xác minh. Các vấn đề bảo mật khá phức tạp, không có giải pháp chung nào nhưng các kỹ thuật cụ thể của Zero Trust có thể giúp giải quyết những thách thức liên quan.
4. Các tính năng của mô hình Zero Trust
Chống lại các mối đe dọa từ bên trong và bên ngoài
Hiện nay, nhiều tổ chức và doanh nghiệp có các thông tin, dữ liệu quan trọng được lưu trữ trên đám mây, điều này càng quan trọng hơn trong việc xác minh và ủy quyền cho những người dùng trước khi cấp quyền truy cập vào hệ thống mạng. Nguyên tắc hoạt động của Zero Trust là cảnh giác trước mọi người sử dụng và máy móc. Nó có thể phát hiện được các mối đe dọa nguy hiểm bắt nguồn từ bên ngoài cũng như bên trong mạng.
Hình 1: Mô hình bảo mật Zero Trust
Từ mô hình bảo mật Zero Trust có thể thấy rằng, các doanh nghiệp nên ngắt kết nối tất cả quyền truy cập cho đến khi mạng đã xác minh được người sử dụng và chắc chắn rằng họ được ủy quyền. Lúc này, để truy cập được vào hệ thống mạng người sử dụng sẽ đều được xác thực và có lý do truy cập hợp lệ.
Tính năng lọc dữ liệu
Nhờ phân đoạn mạng, việc truy cập vào các vùng mạng khác nhau sẽ được kiểm soát chặt chẽ hơn trong mô hình bảo mật Zero Trust. Điều này giúp giảm thiểu rủi ro lộ các thông tin nhạy cảm ra khỏi tổ chức.
Đầu tư hiệu quả để chống mất dữ liệu
Thực tế khi xem xét mức độ tốn kém của các vụ vi phạm cũng như đánh cắp dữ liệu của người sử dụng, thì việc triển khai phương pháp bảo mật theo mô hình Zero Trust được coi là một khoản đầu tư hiệu quả để chống lại các cuộc tấn công mạng nguy hiểm và vô cùng tinh vi như hiện nay. Có thể nói, với bất kỳ khoản tiền nào được chi cho việc ngăn chặn mất mát và trộm cắp dữ liệu đều được coi là khoản chi cần thiết, đặc biệt là với mô hình bảo mật Zero Trust.
Zero Trust trong bảo mật điện toán đám mây
Zero Trust rất quan trọng trong việc bảo vệ môi trường điện toán đám mây, vì:
- So với môi trường điện toán đám mây truyền thống, mô hình Zero Trust tập trung vào việc xác minh liên tục ở từng cấp độ, làm gia tăng mức độ bảo mật trên môi trường điện toán đám mây phân tán.
- Khi các mối đe dọa mạng ngày càng tinh vi hơn, nguyên tắc giám sát và xác minh liên tục của Zero Trust giúp các doanh nghiệp phát hiện và ứng phó với những hành vi bất thường ngay lập tức, ngăn chặn nhanh chóng các mối đe dọa.
- Ngày nay, làm việc từ xa đã trở thành phổ biến và làm mờ đi ranh giới giữa mạng doanh nghiệp và Internet công cộng. Zero Trust bảo đảm quyền truy cập an toàn dựa trên danh tính người sử dụng và độ tin cậy của thiết bị. Người sử dụng có thể truy cập tài nguyên điện toán đám mây từ nhiều vị trí và thiết bị khác nhau.
- Trong môi trường điện toán đám mây, dữ liệu là quý giá. Zero Trust ưu tiên bảo vệ dữ liệu, bảo đảm dữ liệu nhạy cảm được mã hóa và không thể truy cập ngay cả trong khi bị rò rỉ.
- Các quy định bảo vệ dữ liệu nghiêm ngặt trong nhiều lĩnh vực được đáp ứng thông qua Zero Trust, thực hiện kiểm soát truy cập nghiêm ngặt, giám sát hoạt động và duy trì quy trình kiểm tra giúp doanh nghiệp tuân thủ các yêu cầu và quy định.
Zero Trust kết hợp với trí tuệ nhân tạo (AI) và học máy (ML)
Sự tương tác qua lại giữa AI, ML và Zero Trust được liên kết mạnh mẽ bằng cách sử dụng các thuật toán, phương pháp phân tích dữ liệu nhận diện các mẫu hành vi đáng ngờ và xác định rủi ro bảo mật.
Zero Trust là một mô hình bảo mật mạng yêu cầu xác thực từng bước, kiểm tra liên tục và AI/ML có thể được sử dụng để cung cấp các công cụ, kỹ thuật thực hiện mô hình này.
Việc hợp nhất giữa khả năng dự đoán của AI và tinh thần không tin tưởng của Zero Trust đánh dấu sự tiến bộ trong việc bảo vệ dữ liệu và tài nguyên của người sử dụng. Có thể nói, sự kết hợp giữa AI và bảo mật Zero Trust hứa hẹn mang đến những giải pháp đột phá cho việc bảo mật an toàn thông tin, nhất là trong thời đại công nghệ bảo mật đầy thách thức hiện nay.
5. Phương pháp triển khai Zero Trust
Trước khi bắt đầu triển khai, các tổ chức, doanh nghiệp phải hiểu rõ mục tiêu khi áp dụng Zero Trust cho hạ tầng điện toán đám mây.
Bằng cách tuân theo một phương pháp có hệ thống, các tổ chức, doanh nghiệp có thể nâng cao tình trạng bảo mật và bảo vệ dữ liệu hiệu quả hơn trước các mối đe dọa trên điện toán đám mây, cụ thể:
- Xác định loại ứng dụng (Public, Private, SaaS) và dữ liệu (tối mật, nhạy cảm, không quan trọng) trong doanh nghiệp, cùng với vị trí và người truy cập chúng. Xác định rõ các phần được bảo vệ, bao gồm dữ liệu, ứng dụng, tài sản và dịch vụ quan trọng.
- Lập sơ đồ luồng dữ liệu, hiểu được cách ứng dụng hoạt động trong thực tế.
- Thiết kế cơ sở hạ tầng điện toán đám mây mới, thiết lập ranh giới giữa người dùng và ứng dụng.
- Phát triển các chính sách Zero Trust dựa trên nguyên tắc quyền truy cập tối thiểu, cho phép ai sẽ có quyền truy cập vào các tài nguyên nào. Hướng dẫn người dùng về chính sách bảo mật và mục tiêu khi truy cập các ứng dụng, dữ liệu của doanh nghiệp trên điện toán đám mây.
- Giám sát và duy trì môi trường Zero Trust bằng cách liên tục kiểm tra và ghi lại lưu lượng truy cập. Xác định các hoạt động bất thường và cải thiện chính sách để tăng cường bảo mật. Thông qua việc giám sát, cần mở rộng các phần được bảo vệ, cho phép điều chỉnh kiến trúc để tăng cường bảo mật hơn.
Việc lựa chọn các chỉ số tối ưu là rất quan trọng để triển khai biện pháp kiểm soát cơ bản trong Zero Trust. Những chỉ số này đóng vai trò then chốt trong chương trình bảo mật, bảo đảm phạm vi bao phủ, kiểm soát đầy đủ và xác định chính xác những phần cần cải thiện. Ví dụ, trong quản lý quyền sử dụng trên hạ tầng điện toán đám mây (CIEM), doanh nghiệp có thể đo lường tỉ lệ phần trăm tài khoản điện toán đám mây tuân thủ hoặc thời gian phản hồi đối với một lỗi vi phạm. Người dùng nên tuân thủ các phương pháp đã được thiết lập, như từ Trung tâm an ninh Internet đối với các chỉ số kiểm soát cụ thể, ưu tiên cho chỉ số SMART (specific, measurable, achievable, relevant và timely) phù hợp với kết quả mong muốn hơn.
Việc triển khai mô hình Zero Trust là điều cần thiết cho bảo mật điện toán đám mây, nhưng nó khá phức tạp. Chiến lược sử dụng Hồ dữ liệu (Data Lake), giao diện lập trình ứng dụng (API) và phát hiện tấn công tự động là rất quan trọng để nâng cao bảo mật điện toán đám mây. Chỉ số chính xác giúp đội ngũ bảo mật dễ dàng vượt qua các thách thức của việc áp dụng Zero Trust và khai thác toàn bộ tiềm năng của nó.
Trong các công cụ quản lý điện toán đám mây gồm giải pháp Data Lake; đơn giản hóa quá trình hợp nhất dữ liệu đa dạng thành một dạng thống nhất; API đóng vai trò là công cụ hỗ trợ, giúp thu thập các thông tin quan trọng để phân tích tự động. Data Lake tập trung phân tích, cho phép phát hiện các mối đe dọa thông qua ML và API, tăng cường chia sẻ dữ liệu theo thời gian thực giữa các nền tảng bảo mật, cải thiện tốc độ và độ chính xác trong việc phát hiện mối đe dọa.
6. Kết luận
Zero Trust là mô hình bảo mật mạng hiện đại không tin tưởng vào bất kỳ nguồn thông tin nào, bao gồm cả bên trong và bên ngoài mạng. Thay vì dựa vào mô hình truy cập mạng truyền thống, Zero Trust yêu cầu xác thực từng bước và kiểm tra xác thực liên tục mỗi khi có yêu cầu truy cập tới tài nguyên mạng.
Zero Trust có thể áp dụng cho các doanh nghiệp nhỏ mặc dù có một số thách thức nhất định do quy mô hoạt động nhỏ và hạn chế về hạ tầng công nghệ. Các doanh nghiệp nhỏ cũng có thể tận dụng những công nghệ bảo mật như VPN (Virtual Private Network), Firewall (tường lửa), xác thực 2 bước (2FA - 2 factor authentication) và giám sát liên tục để triển khai mô hình Zero Trust một cách hiệu quả. Điều quan trọng là tổ chức cần xác định rõ các tài nguyên quan trọng, xây dựng chính sách bảo mật phù hợp và bảo đảm tính nhất quán trong triển khai và quản lý mô hình bảo mật Zero Trust.
Khi các tổ chức, doanh nghiệp đang trên hành trình chuyển đổi số, Zero Trust sẽ trở thành công cụ hiệu quả cho các giải pháp an ninh, bảo mật. Nguyên tắc xác minh liên tục, quyền truy cập tối thiểu và lấy dữ liệu làm trung tâm sẽ hoàn toàn phù hợp với các môi trường biến động liên tục hiện nay.
Việc áp dụng Zero Trust không phải là lựa chọn mà là công cụ cần thiết để bảo vệ dữ liệu nhạy cảm, giảm thiểu rủi ro và bảo đảm an ninh trong bối cảnh các mối đe dọa ngày càng gia tăng.
Tài liệu tham khảo:
1. https://viettelidc.com.vn/tin-tuc/kham-pha-mo-hinh-bao-mat-zero-trust
2. https://www.microsoft.com/vi-vn/security/business/security- 101/what-is-zero-trust-architecture
3. https://antoanthongtin.vn/gp-atm/van-hanh-zero-trust-trong-dam-may-109157
Nguyễn Công Minh
Trung tâm Viễn thông 4 - Viễn thông Hà Nội
