Nền tảng zero-trust bao gồm nhiều yếu tố cần được bảo mật, trong đó có yếu tố hệ thống mạng. Đối với yếu tố này, cần tạo ra vành đai vật lý và logic để tách biệt cơ sở hạ tầng tin cậy với các thiết bị và người dùng cuối không tin cậy.
Các phân đoạn mạng bao gồm: mạng LAN, mạng LAN không dây, mạng WAN và mạng có các kết nối truy cập từ xa. Các quy trình, kiểm soát và công nghệ thích hợp cần phải được áp dụng trong từng phân đoạn mạng để quản lý ứng dụng và truy cập dữ liệu một cách an toàn.
Dưới đây là một số phương thức xây dựng và quản lý mạng zero-trust cho TC/DN mà đội ngũ hệ thống mạng và đội ngũ bảo mật có thể áp dụng.
Nhận diện người dùng và thiết bị
Bước đầu tiên trong việc xây dựng mạng zero-trust là nhận diện người dùng và thiết bị đang cố gắng kết nối với mạng. Hầu hết, các TC/DN sử dụng một hoặc nhiều công cụ nhận dạng và quản lý truy cập. Người dùng hoặc thiết bị lạ cần phải chứng minh nhận dạng của mình, bằng cách sử dụng các phương thức xác thực như: mật khẩu hoặc xác thực đa yếu tố. Đối với người dùng cuối, điều quan trọng là quy trình này phải đơn giản, liền mạch và thống nhất, bất kể họ đang kết nối ở đâu, khi nào và bằng cách thức nào.
Thiết lập kiểm soát truy cập và phân đoạn mạng vi mô
Khi nền tảng zero-trust nhận dạng thành công người dùng hoặc thiết bị, bước tiếp theo cần phải có là kiểm soát việc cấp quyền cho ứng dụng, tập tin và dịch vụ để truy cập tới những gì thực sự cần thiết. Tùy thuộc vào công nghệ được sử dụng, kiểm soát truy cập có thể hoàn toàn dựa trên danh tính người dùng, hoặc có thể kết hợp với một số hình thức phân đoạn mạng. Một trong số đó là phân đoạn vi mô (microsegmentation) với mục đích tạo các tập hợp con rất nhỏ và bảo mật trong mạng lưới, mà người dùng hoặc thiết bị chỉ có thể kết nối và truy cập tới các tài nguyên và dịch vụ cần thiết.
Phân đoạn vi mô là giải pháp hiệu quả về góc độ bảo mật, vì nó làm giảm đáng kể các tác động tiêu cực đến cơ sở hạ tầng nếu xảy ra vi phạm an toàn mạng. Tường lửa thế hệ tiếp theo (next-generation firewall) là công nghệ phổ biến nhất được sử dụng để tạo và kiểm soát các phân đoạn vi mô trong mạng của TC/DN. Loại tường lửa này cung cấp khả năng hiển thị mạng tới tầng ứng dụng của mô hình OSI (hay còn gọi là Tầng 7). Từ đó, các đội ngũ có thể xây dựng và quản lý chính sách truy cập logic đối với mỗi ứng dụng đi qua mạng.
Các bước và công cụ tương ứng có thể sử dụng trong việc xây dựng hệ thống mạng zero-trust
Triển khai giám sát mạng liên tục
Giám sát hành vi thiết bị là một nhiệm vụ khác trong hệ thống mạng zero-trust. Khi đã cấp quyền truy cập, các đội ngũ cần triển khai các công cụ giám sát liên tục hành vi thiết bị trên mạng. Nắm rõ được người dùng hoặc thiết bị nào đang trao đổi với ai và ở tần số nào có thể giúp xác định xem hệ thống mạng có đang hoạt động bình thường hay không, hay đang xuất hiện hành vi độc hại. Các công cụ giám sát hiện đại ứng dụng các công nghệ trí tuệ nhân tạo, học máy và phân tích dữ liệu giúp phát hiện chính xác các hoạt động trên các nền tảng ứng dụng công nghệ thông tin.
Xem xét việc truy cập từ xa
Truy cập từ xa là tác vụ ngày càng quan trọng trong cơ sở hạ tầng mạng của bất kỳ TC/DN nào. Kết nối mạng riêng ảo (VPN) truyền thống đã được chứng minh là cồng kềnh và kém hiệu quả trong kỷ nguyên điện toán đám mây lai (hybrid cloud computing). Ngoài ra, kiểm soát truy cập VPN vẫn cho phép quyền truy cập mạng quá nhiều so với những gì doanh nghiệp cần, từ đó có thể khiến truy cập từ xa trở thành một rủi ro bảo mật lớn.
Để khắc phục vấn đề này, các nhà cung cấp đã đưa ra các phương pháp và dịch vụ truy cập từ xa mới như truy cập từ xa dựa trên đám mây, để đưa kết nối từ xa phù hợp với lý thuyết zero-trust hơn. Lợi ích của phương thức truy cập từ xa dựa trên đám mây bao gồm: cải thiện khả năng xác thực; cung cấp khả năng phân đoạn vi mô cho tất cả người dùng truy cập từ xa; tăng khả năng hiển thị, giám sát và ghi nhật ký; cung cấp khả năng kiểm soát tập trung tất cả các quyền truy cập (cả tại chỗ và trên đám mây).
Trong khi các TC/DN vẫn sử dụng VPN truy cập từ xa để kết nối an toàn, thì công nghệ này đang thay đổi mạnh mẽ để đáp ứng với nhu cầu của TC/DN.
Tác nhân nào nên quản lý mạng zero-trust?
Khi các TC/DN CNTT đang bắt đầu xem xét cách xây dựng hệ thống zero-trust trên cơ sở hạ tầng, thì câu hỏi đầu tiên thường là: Tác nhân nào nên quản lý các thành phần mạng zero-trust? Đây không phải là một câu hỏi dễ dàng vì phần lớn câu trả lời liên quan đến cách thức cấu trúc của bộ phận CNTT, tức là tác nhân nào sẽ có khả năng xử lý một số nhiệm vụ nhất định.
Đội ngũ bảo mật nên phát triển và duy trì kiến trúc zero-trust tổng thể. Điều này có nghĩa, đội ngũ hệ thống mạng nên triển khai và quản lý các phần nhất định của nền tảng zero-trust, chẳng hạn như các công cụ và dịch vụ mạng. Bởi đội ngũ hệ thống mạng có nhiều kinh nghiệm hơn trong việc định cấu hình và quản lý các công cụ mạng trong hệ thống mạng zero-trust, như bộ chuyển mạch mạng, bộ định tuyến, tường lửa, VPN truy cập từ xa và các công cụ giám sát mạng. Mặc dù vai trò và nhiệm vụ này có thể do đội ngũ hệ thống mạng đảm nhiệm, nhưng điều quan trọng là đội ngũ bảo mật cần thực hiện kiểm toán thường xuyên để đảm bảo hệ thống mạng tuân thủ đúng tất cả các quy trình để làm nên một hệ thống mạng zero-trust hoàn chỉnh.
T.U
(Theo Tech Target)
08:00 | 20/01/2020
13:00 | 23/06/2022
17:00 | 31/10/2019
10:00 | 25/09/2020
14:00 | 24/10/2019
14:00 | 02/08/2023
10:00 | 13/12/2023
Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.
10:00 | 10/11/2023
Google đã thực hiện một bước quan trọng nhằm tăng cường bảo mật Internet của Chrome bằng cách tự động nâng cấp các yêu cầu HTTP không an toàn lên các kết nối HTTPS cho toàn bộ người dùng.
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
16:00 | 21/03/2023
Theo đánh giá của các chuyên gia, phần lớn các vi phạm bảo mật dẫn đến các chiến dịch lừa đảo thành công đến từ lỗi của con người. Bài báo sau đây sẽ đưa ra một số phương thức để chúng ta có thể củng cố bức tường lửa con người thông qua mô hình thiết kế hành vi của Fogg (Tiến sĩ BJ Fogg - Đại học Stanford Mỹ).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
