Nền tảng zero-trust bao gồm nhiều yếu tố cần được bảo mật, trong đó có yếu tố hệ thống mạng. Đối với yếu tố này, cần tạo ra vành đai vật lý và logic để tách biệt cơ sở hạ tầng tin cậy với các thiết bị và người dùng cuối không tin cậy.
Các phân đoạn mạng bao gồm: mạng LAN, mạng LAN không dây, mạng WAN và mạng có các kết nối truy cập từ xa. Các quy trình, kiểm soát và công nghệ thích hợp cần phải được áp dụng trong từng phân đoạn mạng để quản lý ứng dụng và truy cập dữ liệu một cách an toàn.
Dưới đây là một số phương thức xây dựng và quản lý mạng zero-trust cho TC/DN mà đội ngũ hệ thống mạng và đội ngũ bảo mật có thể áp dụng.
Nhận diện người dùng và thiết bị
Bước đầu tiên trong việc xây dựng mạng zero-trust là nhận diện người dùng và thiết bị đang cố gắng kết nối với mạng. Hầu hết, các TC/DN sử dụng một hoặc nhiều công cụ nhận dạng và quản lý truy cập. Người dùng hoặc thiết bị lạ cần phải chứng minh nhận dạng của mình, bằng cách sử dụng các phương thức xác thực như: mật khẩu hoặc xác thực đa yếu tố. Đối với người dùng cuối, điều quan trọng là quy trình này phải đơn giản, liền mạch và thống nhất, bất kể họ đang kết nối ở đâu, khi nào và bằng cách thức nào.
Thiết lập kiểm soát truy cập và phân đoạn mạng vi mô
Khi nền tảng zero-trust nhận dạng thành công người dùng hoặc thiết bị, bước tiếp theo cần phải có là kiểm soát việc cấp quyền cho ứng dụng, tập tin và dịch vụ để truy cập tới những gì thực sự cần thiết. Tùy thuộc vào công nghệ được sử dụng, kiểm soát truy cập có thể hoàn toàn dựa trên danh tính người dùng, hoặc có thể kết hợp với một số hình thức phân đoạn mạng. Một trong số đó là phân đoạn vi mô (microsegmentation) với mục đích tạo các tập hợp con rất nhỏ và bảo mật trong mạng lưới, mà người dùng hoặc thiết bị chỉ có thể kết nối và truy cập tới các tài nguyên và dịch vụ cần thiết.
Phân đoạn vi mô là giải pháp hiệu quả về góc độ bảo mật, vì nó làm giảm đáng kể các tác động tiêu cực đến cơ sở hạ tầng nếu xảy ra vi phạm an toàn mạng. Tường lửa thế hệ tiếp theo (next-generation firewall) là công nghệ phổ biến nhất được sử dụng để tạo và kiểm soát các phân đoạn vi mô trong mạng của TC/DN. Loại tường lửa này cung cấp khả năng hiển thị mạng tới tầng ứng dụng của mô hình OSI (hay còn gọi là Tầng 7). Từ đó, các đội ngũ có thể xây dựng và quản lý chính sách truy cập logic đối với mỗi ứng dụng đi qua mạng.
Các bước và công cụ tương ứng có thể sử dụng trong việc xây dựng hệ thống mạng zero-trust
Triển khai giám sát mạng liên tục
Giám sát hành vi thiết bị là một nhiệm vụ khác trong hệ thống mạng zero-trust. Khi đã cấp quyền truy cập, các đội ngũ cần triển khai các công cụ giám sát liên tục hành vi thiết bị trên mạng. Nắm rõ được người dùng hoặc thiết bị nào đang trao đổi với ai và ở tần số nào có thể giúp xác định xem hệ thống mạng có đang hoạt động bình thường hay không, hay đang xuất hiện hành vi độc hại. Các công cụ giám sát hiện đại ứng dụng các công nghệ trí tuệ nhân tạo, học máy và phân tích dữ liệu giúp phát hiện chính xác các hoạt động trên các nền tảng ứng dụng công nghệ thông tin.
Xem xét việc truy cập từ xa
Truy cập từ xa là tác vụ ngày càng quan trọng trong cơ sở hạ tầng mạng của bất kỳ TC/DN nào. Kết nối mạng riêng ảo (VPN) truyền thống đã được chứng minh là cồng kềnh và kém hiệu quả trong kỷ nguyên điện toán đám mây lai (hybrid cloud computing). Ngoài ra, kiểm soát truy cập VPN vẫn cho phép quyền truy cập mạng quá nhiều so với những gì doanh nghiệp cần, từ đó có thể khiến truy cập từ xa trở thành một rủi ro bảo mật lớn.
Để khắc phục vấn đề này, các nhà cung cấp đã đưa ra các phương pháp và dịch vụ truy cập từ xa mới như truy cập từ xa dựa trên đám mây, để đưa kết nối từ xa phù hợp với lý thuyết zero-trust hơn. Lợi ích của phương thức truy cập từ xa dựa trên đám mây bao gồm: cải thiện khả năng xác thực; cung cấp khả năng phân đoạn vi mô cho tất cả người dùng truy cập từ xa; tăng khả năng hiển thị, giám sát và ghi nhật ký; cung cấp khả năng kiểm soát tập trung tất cả các quyền truy cập (cả tại chỗ và trên đám mây).
Trong khi các TC/DN vẫn sử dụng VPN truy cập từ xa để kết nối an toàn, thì công nghệ này đang thay đổi mạnh mẽ để đáp ứng với nhu cầu của TC/DN.
Tác nhân nào nên quản lý mạng zero-trust?
Khi các TC/DN CNTT đang bắt đầu xem xét cách xây dựng hệ thống zero-trust trên cơ sở hạ tầng, thì câu hỏi đầu tiên thường là: Tác nhân nào nên quản lý các thành phần mạng zero-trust? Đây không phải là một câu hỏi dễ dàng vì phần lớn câu trả lời liên quan đến cách thức cấu trúc của bộ phận CNTT, tức là tác nhân nào sẽ có khả năng xử lý một số nhiệm vụ nhất định.
Đội ngũ bảo mật nên phát triển và duy trì kiến trúc zero-trust tổng thể. Điều này có nghĩa, đội ngũ hệ thống mạng nên triển khai và quản lý các phần nhất định của nền tảng zero-trust, chẳng hạn như các công cụ và dịch vụ mạng. Bởi đội ngũ hệ thống mạng có nhiều kinh nghiệm hơn trong việc định cấu hình và quản lý các công cụ mạng trong hệ thống mạng zero-trust, như bộ chuyển mạch mạng, bộ định tuyến, tường lửa, VPN truy cập từ xa và các công cụ giám sát mạng. Mặc dù vai trò và nhiệm vụ này có thể do đội ngũ hệ thống mạng đảm nhiệm, nhưng điều quan trọng là đội ngũ bảo mật cần thực hiện kiểm toán thường xuyên để đảm bảo hệ thống mạng tuân thủ đúng tất cả các quy trình để làm nên một hệ thống mạng zero-trust hoàn chỉnh.
T.U
(Theo Tech Target)
08:00 | 20/01/2020
13:00 | 23/06/2022
17:00 | 31/10/2019
14:00 | 24/10/2019
10:00 | 25/09/2020
09:00 | 25/11/2022
Kiểm thử xâm nhập là một giải pháp ngăn chặn các cuộc tấn công mạng hữu hiệu nhất. Nhưng không giống như các phương thức hay giải pháp bảo mật khác, kiểm thử xâm nhập chống lại mối đe dọa bằng cách tự suy nghĩ và hành động như một mối đe dọa để xâm nhập thử vào hệ thống hay ứng dụng của tổ chức. Kết quả kiểm tra sau đó được sử dụng để khắc phục các lỗi đang tồn tại trong hệ thống hoặc ứng dụng mà chưa được biết đến, bằng cách tinh chỉnh và tăng cường bảo mật.
08:00 | 01/07/2022
Trong xu thế chuyển đổi số hiện nay, chính sách phát triển từ lưu trữ truyền thống thành lưu trữ điện tử đang hướng tới các vấn đề, đó là tạo lập nguồn tài liệu điện tử thông qua thu thập và số hoá tài liệu để đáp ứng nhu cầu khai thác tài liệu, xây dựng kho lưu trữ điện tử để bảo đảm việc bảo quản lâu dài tài liệu điện tử cho sử dụng hiện tại và trong tương lai. Đây là xu thế chung trên thế giới, đồng thời cũng là định hướng chiến lược mà các cơ quan lưu trữ lựa chọn để thực hiện các mục tiêu bảo quản cũng như phục vụ khai thác sử dụng tài liệu lưu trữ theo thời gian.
09:00 | 13/06/2022
Trong thời đại công nghệ số, ví điện tử ngày càng được sử dụng phổ biến bởi những thuận lợi mà nó mang lại cho người dùng. Tuy nhiên, đi kèm với tiện ích đó là những rủi ro an toàn thông tin hay nguy cơ lộ lọt thông tin cá nhân. Dưới đây là những lưu ý để tránh bị đánh cắp thông tin dành cho người dùng ví điện tử.
08:00 | 18/04/2022
Google Chrome là một trong những trình duyệt phổ biến nhất hiện nay, cung cấp cho người dùng trải nghiệm lướt web nhanh, đi kèm theo đó là kho tiện ích mở rộng phong phú. Tuy nhiên, cũng tương tự như nhiều phần mềm khác, trình duyệt Google Chrome đôi khi cũng gặp một số lỗi khiến người dùng không thể truy cập Internet, chẳng hạn như lỗi Your connection was interrupted (kết nối bị gián đoạn). Bài báo dưới đây sẽ giới thiệu 5 cách khắc phục lỗi trình duyệt Chrome không truy cập được Internet.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
Ngày 5/7/2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) đã hoàn thành vòng thứ 3 của quá trình chuẩn hóa mật mã hậu lượng tử, nhằm chọn ra các thuật toán mật mã khóa công khai để bảo vệ thông tin khi máy tính lượng tử ra đời và công bố 4 thuật toán sẽ được chuẩn hóa của mật mã hậu lượng tử cùng với 4 ứng cử viên cho vòng tuyển chọn thứ 4 [1].
12:00 | 12/08/2022
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
13:00 | 30/05/2023
