Nền tảng zero-trust bao gồm nhiều yếu tố cần được bảo mật, trong đó có yếu tố hệ thống mạng. Đối với yếu tố này, cần tạo ra vành đai vật lý và logic để tách biệt cơ sở hạ tầng tin cậy với các thiết bị và người dùng cuối không tin cậy.
Các phân đoạn mạng bao gồm: mạng LAN, mạng LAN không dây, mạng WAN và mạng có các kết nối truy cập từ xa. Các quy trình, kiểm soát và công nghệ thích hợp cần phải được áp dụng trong từng phân đoạn mạng để quản lý ứng dụng và truy cập dữ liệu một cách an toàn.
Dưới đây là một số phương thức xây dựng và quản lý mạng zero-trust cho TC/DN mà đội ngũ hệ thống mạng và đội ngũ bảo mật có thể áp dụng.
Nhận diện người dùng và thiết bị
Bước đầu tiên trong việc xây dựng mạng zero-trust là nhận diện người dùng và thiết bị đang cố gắng kết nối với mạng. Hầu hết, các TC/DN sử dụng một hoặc nhiều công cụ nhận dạng và quản lý truy cập. Người dùng hoặc thiết bị lạ cần phải chứng minh nhận dạng của mình, bằng cách sử dụng các phương thức xác thực như: mật khẩu hoặc xác thực đa yếu tố. Đối với người dùng cuối, điều quan trọng là quy trình này phải đơn giản, liền mạch và thống nhất, bất kể họ đang kết nối ở đâu, khi nào và bằng cách thức nào.
Thiết lập kiểm soát truy cập và phân đoạn mạng vi mô
Khi nền tảng zero-trust nhận dạng thành công người dùng hoặc thiết bị, bước tiếp theo cần phải có là kiểm soát việc cấp quyền cho ứng dụng, tập tin và dịch vụ để truy cập tới những gì thực sự cần thiết. Tùy thuộc vào công nghệ được sử dụng, kiểm soát truy cập có thể hoàn toàn dựa trên danh tính người dùng, hoặc có thể kết hợp với một số hình thức phân đoạn mạng. Một trong số đó là phân đoạn vi mô (microsegmentation) với mục đích tạo các tập hợp con rất nhỏ và bảo mật trong mạng lưới, mà người dùng hoặc thiết bị chỉ có thể kết nối và truy cập tới các tài nguyên và dịch vụ cần thiết.
Phân đoạn vi mô là giải pháp hiệu quả về góc độ bảo mật, vì nó làm giảm đáng kể các tác động tiêu cực đến cơ sở hạ tầng nếu xảy ra vi phạm an toàn mạng. Tường lửa thế hệ tiếp theo (next-generation firewall) là công nghệ phổ biến nhất được sử dụng để tạo và kiểm soát các phân đoạn vi mô trong mạng của TC/DN. Loại tường lửa này cung cấp khả năng hiển thị mạng tới tầng ứng dụng của mô hình OSI (hay còn gọi là Tầng 7). Từ đó, các đội ngũ có thể xây dựng và quản lý chính sách truy cập logic đối với mỗi ứng dụng đi qua mạng.
Các bước và công cụ tương ứng có thể sử dụng trong việc xây dựng hệ thống mạng zero-trust
Triển khai giám sát mạng liên tục
Giám sát hành vi thiết bị là một nhiệm vụ khác trong hệ thống mạng zero-trust. Khi đã cấp quyền truy cập, các đội ngũ cần triển khai các công cụ giám sát liên tục hành vi thiết bị trên mạng. Nắm rõ được người dùng hoặc thiết bị nào đang trao đổi với ai và ở tần số nào có thể giúp xác định xem hệ thống mạng có đang hoạt động bình thường hay không, hay đang xuất hiện hành vi độc hại. Các công cụ giám sát hiện đại ứng dụng các công nghệ trí tuệ nhân tạo, học máy và phân tích dữ liệu giúp phát hiện chính xác các hoạt động trên các nền tảng ứng dụng công nghệ thông tin.
Xem xét việc truy cập từ xa
Truy cập từ xa là tác vụ ngày càng quan trọng trong cơ sở hạ tầng mạng của bất kỳ TC/DN nào. Kết nối mạng riêng ảo (VPN) truyền thống đã được chứng minh là cồng kềnh và kém hiệu quả trong kỷ nguyên điện toán đám mây lai (hybrid cloud computing). Ngoài ra, kiểm soát truy cập VPN vẫn cho phép quyền truy cập mạng quá nhiều so với những gì doanh nghiệp cần, từ đó có thể khiến truy cập từ xa trở thành một rủi ro bảo mật lớn.
Để khắc phục vấn đề này, các nhà cung cấp đã đưa ra các phương pháp và dịch vụ truy cập từ xa mới như truy cập từ xa dựa trên đám mây, để đưa kết nối từ xa phù hợp với lý thuyết zero-trust hơn. Lợi ích của phương thức truy cập từ xa dựa trên đám mây bao gồm: cải thiện khả năng xác thực; cung cấp khả năng phân đoạn vi mô cho tất cả người dùng truy cập từ xa; tăng khả năng hiển thị, giám sát và ghi nhật ký; cung cấp khả năng kiểm soát tập trung tất cả các quyền truy cập (cả tại chỗ và trên đám mây).
Trong khi các TC/DN vẫn sử dụng VPN truy cập từ xa để kết nối an toàn, thì công nghệ này đang thay đổi mạnh mẽ để đáp ứng với nhu cầu của TC/DN.
Tác nhân nào nên quản lý mạng zero-trust?
Khi các TC/DN CNTT đang bắt đầu xem xét cách xây dựng hệ thống zero-trust trên cơ sở hạ tầng, thì câu hỏi đầu tiên thường là: Tác nhân nào nên quản lý các thành phần mạng zero-trust? Đây không phải là một câu hỏi dễ dàng vì phần lớn câu trả lời liên quan đến cách thức cấu trúc của bộ phận CNTT, tức là tác nhân nào sẽ có khả năng xử lý một số nhiệm vụ nhất định.
Đội ngũ bảo mật nên phát triển và duy trì kiến trúc zero-trust tổng thể. Điều này có nghĩa, đội ngũ hệ thống mạng nên triển khai và quản lý các phần nhất định của nền tảng zero-trust, chẳng hạn như các công cụ và dịch vụ mạng. Bởi đội ngũ hệ thống mạng có nhiều kinh nghiệm hơn trong việc định cấu hình và quản lý các công cụ mạng trong hệ thống mạng zero-trust, như bộ chuyển mạch mạng, bộ định tuyến, tường lửa, VPN truy cập từ xa và các công cụ giám sát mạng. Mặc dù vai trò và nhiệm vụ này có thể do đội ngũ hệ thống mạng đảm nhiệm, nhưng điều quan trọng là đội ngũ bảo mật cần thực hiện kiểm toán thường xuyên để đảm bảo hệ thống mạng tuân thủ đúng tất cả các quy trình để làm nên một hệ thống mạng zero-trust hoàn chỉnh.
T.U
(Theo Tech Target)
08:00 | 20/01/2020
08:00 | 07/05/2024
17:00 | 31/10/2019
13:00 | 23/06/2022
10:00 | 25/09/2020
14:00 | 02/08/2023
14:00 | 24/10/2019
17:00 | 03/01/2025
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Tiếp nối phần I đã trình bày trong số trước, phần II của bài viết nhóm tác giả sẽ tiếp tục giới thiệu tới độc giả một số kỹ năng cần thiết cho các tổ chức để ngăn ngừa và giảm thiểu tác động của các cuộc tấn công ransomware.
10:00 | 16/12/2024
Công nghệ mạng 5G đánh dấu một bước ngoặt quan trọng trong lĩnh vực viễn thông với sự tích hợp của hàng loạt phương pháp tiên tiến như Massive MIMO, NOMA, mmWave, IoT và học máy. Những tiến bộ này không chỉ mang lại hiệu suất vượt trội trong truyền thông không dây mà còn mở ra cơ hội to lớn cho các ứng dụng trong đời sống và công nghiệp. Bài viết này cung cấp bức tranh tổng quan về các phương pháp tiên tiến trong công nghệ kết nối toàn cầu 5G.
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
10:00 | 25/10/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Xe tự hành (Autonomous Vehicles- AV) là một bước tiến lớn trong lĩnh vực công nghệ ô tô đang phát triển nhanh chóng hiện nay. Những chiếc xe tự hành được trang bị công nghệ tiên tiến, mang đến cải thiện hiệu quả về mặt an toàn và tiện lợi cho người dùng. Tuy nhiên, giống như bất kỳ tiến bộ công nghệ nào, AV cũng tạo ra những lo ngại về các mối đe dọa mới, đặc biệt là trong lĩnh vực an ninh mạng. Việc hiểu được những mối nguy hiểm này là rất quan trọng đối với cả chủ xe và những người đam mê công nghệ, vì chúng không chỉ ảnh hưởng đến sự an toàn của cá nhân mà còn ảnh hưởng đến sự an toàn của cộng đồng.
10:00 | 30/12/2024