Kiến trúc Zero Trust yêu cầu phải kiểm soát chặt chẽ việc truy cập tài nguyên trên mạng, dù là bên trong hay bên ngoài ranh giới vật lý, để giảm thiểu tác động của vi phạm.
So với mô hình bảo mật công nghệ thông tin truyền thống, cho rằng mọi thứ và mọi người trên mạng đều có thể tin cậy, với kiến trúc bảo mật Zero Trust thì tất cả người dùng và thiết bị đều được coi là không tin cậy mặc định. Điều này có nghĩa là người dùng và thiết bị phải xác minh danh tính và kiểm tra liên tục trước khi được cấp quyền truy cập vào hệ thống hay dữ liệu nhạy cảm.
Việc nâng cao Zero Trust được thực hiện bằng cách giải quyết nhiều thành phần hoặc các lớp khác nhau mà kẻ tấn công có thể lợi dụng trong một cuộc tấn công mạng.
Bảy lớp chính của kiến trúc Zero Trust
Hướng dẫn mới được ban hành của NSA về Zero Trust, đề cập đến môi trường hệ thống mạng, bao gồm tất cả tài sản phần cứng và phần mềm, các thực thể phi cá nhân và các giao thức liên lạc. Mô hình Zero Trust cung cấp bảo mật mạng chuyên sâu thông qua ánh xạ luồng dữ liệu, micro segmentation (một giải pháp an ninh mạng thế hệ mới, giúp phân chia mạng lưới thành các phân vùng nhỏ hơn, cô lập các phần nhạy cảm và kiểm soát lưu lượng truy cập giữa các phân vùng) và SDN (mạng điều khiển bằng phần mềm).
Đối với mỗi nguyên tắc, các hệ thống của một tổ chức phải đạt đến một mức độ trưởng thành cụ thể cho phép họ tiếp tục xây dựng theo kiến trúc Zero Trust. “Các lớp mạng và môi trường cô lập các tài nguyên quan trọng trước nguy cơ xâm nhập trái phép bằng cách xác định quyền truy cập mạng, kiểm soát luồng dữ liệu và mạng, phân đoạn ứng dụng và sử dụng mã hóa đầu cuối”, hướng dẫn của NSA cho biết.
Lập bản đồ luồng dữ liệu (data flow) bắt đầu bằng việc xác định dữ liệu được lưu trữ và xử lý ở đâu và như thế nào. Mức độ trưởng thành trong trường hợp này đạt được khi các hệ thống của tổ chức có đầy đủ kho lưu trữ và khả năng hiển thị luồng và có thể giảm thiểu tất cả các tuyến đường route hiện tại, mới hoặc bất thường.
Thông qua macro segmentation, các tổ chức có thể hạn chế chuyển động ngang trên mạng bằng cách tạo các khu vực mạng cho người dùng trong mỗi phòng ban. Ví dụ, một người làm kế toán không cần truy cập vào phân đoạn mạng dành riêng cho bộ phận nhân sự, trừ khi được yêu cầu rõ ràng, do đó, kẻ tấn công sẽ có phạm vi tấn công hạn chế.
Với micro segmentation, việc quản lý mạng được chia thành các thành phần nhỏ hơn và các chính sách truy cập nghiêm ngặt được triển khai để hạn chế luồng dữ liệu ngang hàng. NSA giải thích rằng micro segmentation bao gồm việc cô lập người dùng, ứng dụng hoặc quy trình làm việc thành các phân đoạn mạng riêng lẻ để tiếp tục giảm bề mặt tấn công và hạn chế tác động nếu xảy ra vi phạm.
Kiểm soát chi tiết hơn đối với micro segmentation đạt được thông qua cách tiếp cận với SDN, có thể cung cấp khả năng giám sát và cảnh báo bảo mật có thể tùy chỉnh. SDN cho phép kiểm soát việc định tuyến gói tin từ một trung tâm điều khiển tập trung, cho phép thực thi chính sách cho tất cả các phân đoạn mạng.
Trong bản hướng dẫn, NSA mô tả bốn cấp độ trưởng thành, từ bước chuẩn bị đến giai đoạn nâng cao, trong đó các hệ thống quản lý và kiểm soát mở rộng được triển khai để cho phép khả năng hiển thị, giám sát tối ưu và đảm bảo sự phát triển của hệ thống mạng.
Thiết kế và xây dựng Zero Trust là một nhiệm vụ phức tạp đòi hỏi phải trải qua các giai đoạn trưởng thành một cách có hệ thống. Nếu thực hiện đúng cách, kết quả sẽ là một kiến trúc doanh nghiệp có khả năng chống lại, xác định và ứng phó với các mối đe dọa cố gắng khai thác điểm yếu.
NSA đã phát hành hướng dẫn đầu tiên về Zero Trust vào tháng 02/2021, trong đó mô tả mô hình và những ưu điểm của các nguyên tắc của kiến trúc này. Vào tháng 4/2023, cơ quan này đã ban hành hướng dẫn về việc đạt đến mức độ trưởng thành của thành phần lớp người dùng trong Zero Trust.
Ngọc Nguyên (Tổng hợp)
10:00 | 14/11/2024
10:00 | 25/10/2024
13:00 | 07/10/2024
13:00 | 18/11/2024
13:00 | 11/11/2024
09:00 | 13/11/2024
14:00 | 02/10/2024
13:00 | 11/11/2024
13:00 | 13/08/2024
13:00 | 11/11/2024
Trong bối cảnh an ninh mạng ngày càng phức tạp, các tổ chức đang tìm kiếm những giải pháp tối ưu để bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa tiềm tàng. Các khái niệm như Zero Trust, SASE và VPN nổi lên như những chiến lược bảo mật hàng đầu, nhưng chúng là gì và khác nhau như thế nào?
13:00 | 25/10/2024
Mới đây, hãng bảo mật Avast (Cộng hòa Séc) đã công bố bộ công cụ giải mã miễn phí giúp nạn nhân có thể khôi phục dữ liệu nếu không may trở thành nạn nhân của mã độc tống tiền Mallox.
14:00 | 11/09/2024
Ngày nay, các cuộc tấn công mạng ngày càng trở nên phức tạp và tinh vi hơn, các giải pháp bảo đảm an toàn thông tin, an ninh mạng truyền thống đòi hỏi duy trì một lượng lớn dữ liệu về các dấu hiệu xâm nhập, các quy tắc và phải cập nhật thường xuyên khi có bất kỳ hình thức hoặc kỹ thuật tấn công mới nào xuất hiện. Tính tự động hóa trong việc này vẫn còn nhiều hạn chế. Trong bài báo này, nhóm tác giả sẽ trình bày một giải pháp sử dụng ưu điểm vượt trội của công nghệ học máy để dự đoán các truy cập bất thường cụ thể là các cuộc tấn công Dos/DDos, PortScan, Web Attack, Brute Force… từ đó đưa ra các cảnh báo kịp thời và chính xác.
09:00 | 01/08/2023
Mọi người đều biết rằng nên chuẩn bị cho một “tương lai lượng tử”, nhưng nó được cho là sẽ xảy ra sau 10 - 20 năm nữa. Thế nhưng vào những ngày cuối cùng của năm 2022, cộng đồng công nghệ thông tin (CNTT) khá xôn xao trước một nghiên cứu do một nhóm các nhà khoa học Trung Quốc trình bày. Kết quả nghiên cứu này tuyên bố rằng trong tương lai gần nhất, có thể bẻ khóa thuật toán mã hóa RSA với độ dài khóa là 2048 bit, đây vốn là nền tảng cho hoạt động của các giao thức internet bằng cách kết hợp khéo léo tính toán cổ điển và tính toán lượng tử. Vậy thực hư mối đe dọa này như thế nào? Liệu có một sự đột phá trong năm nay?