NSA ban hành hướng dẫn mới về Zero Trust để bảo vệ không gian mạng

07:00 | 17/10/2024 | MẬT MÃ DÂN SỰ

Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã ban hành hướng dẫn giúp các tổ chức hạn chế hoạt động của các tác nhân đe dọa trên không gian mạng bằng cách áp dụng kiến trúc Zero Trust.

NSA ban hành hướng dẫn mới về Zero Trust để bảo vệ không gian mạng

Kiến trúc Zero Trust yêu cầu phải kiểm soát chặt chẽ việc truy cập tài nguyên trên mạng, dù là bên trong hay bên ngoài ranh giới vật lý, để giảm thiểu tác động của vi phạm.

So với mô hình bảo mật công nghệ thông tin truyền thống, cho rằng mọi thứ và mọi người trên mạng đều có thể tin cậy, với kiến trúc bảo mật Zero Trust thì tất cả người dùng và thiết bị đều được coi là không tin cậy mặc định. Điều này có nghĩa là người dùng và thiết bị phải xác minh danh tính và kiểm tra liên tục trước khi được cấp quyền truy cập vào hệ thống hay dữ liệu nhạy cảm.

Việc nâng cao Zero Trust được thực hiện bằng cách giải quyết nhiều thành phần hoặc các lớp khác nhau mà kẻ tấn công có thể lợi dụng trong một cuộc tấn công mạng.

Bảy lớp chính của kiến trúc Zero Trust

Hướng dẫn mới được ban hành của NSA về Zero Trust, đề cập đến môi trường hệ thống mạng, bao gồm tất cả tài sản phần cứng và phần mềm, các thực thể phi cá nhân và các giao thức liên lạc. Mô hình Zero Trust cung cấp bảo mật mạng chuyên sâu thông qua ánh xạ luồng dữ liệu, micro segmentation (một giải pháp an ninh mạng thế hệ mới, giúp phân chia mạng lưới thành các phân vùng nhỏ hơn, cô lập các phần nhạy cảm và kiểm soát lưu lượng truy cập giữa các phân vùng) và SDN (mạng điều khiển bằng phần mềm).

Đối với mỗi nguyên tắc, các hệ thống của một tổ chức phải đạt đến một mức độ trưởng thành cụ thể cho phép họ tiếp tục xây dựng theo kiến trúc Zero Trust. “Các lớp mạng và môi trường cô lập các tài nguyên quan trọng trước nguy cơ xâm nhập trái phép bằng cách xác định quyền truy cập mạng, kiểm soát luồng dữ liệu và mạng, phân đoạn ứng dụng và sử dụng mã hóa đầu cuối”, hướng dẫn của NSA cho biết.

Lập bản đồ luồng dữ liệu (data flow) bắt đầu bằng việc xác định dữ liệu được lưu trữ và xử lý ở đâu và như thế nào. Mức độ trưởng thành trong trường hợp này đạt được khi các hệ thống của tổ chức có đầy đủ kho lưu trữ và khả năng hiển thị luồng và có thể giảm thiểu tất cả các tuyến đường route hiện tại, mới hoặc bất thường.

Thông qua macro segmentation, các tổ chức có thể hạn chế chuyển động ngang trên mạng bằng cách tạo các khu vực mạng cho người dùng trong mỗi phòng ban. Ví dụ, một người làm kế toán không cần truy cập vào phân đoạn mạng dành riêng cho bộ phận nhân sự, trừ khi được yêu cầu rõ ràng, do đó, kẻ tấn công sẽ có phạm vi tấn công hạn chế.

Với micro segmentation, việc quản lý mạng được chia thành các thành phần nhỏ hơn và các chính sách truy cập nghiêm ngặt được triển khai để hạn chế luồng dữ liệu ngang hàng. NSA giải thích rằng micro segmentation bao gồm việc cô lập người dùng, ứng dụng hoặc quy trình làm việc thành các phân đoạn mạng riêng lẻ để tiếp tục giảm bề mặt tấn công và hạn chế tác động nếu xảy ra vi phạm.

Kiểm soát chi tiết hơn đối với micro segmentation đạt được thông qua cách tiếp cận với SDN, có thể cung cấp khả năng giám sát và cảnh báo bảo mật có thể tùy chỉnh. SDN cho phép kiểm soát việc định tuyến gói tin từ một trung tâm điều khiển tập trung, cho phép thực thi chính sách cho tất cả các phân đoạn mạng.

Trong bản hướng dẫn, NSA mô tả bốn cấp độ trưởng thành, từ bước chuẩn bị đến giai đoạn nâng cao, trong đó các hệ thống quản lý và kiểm soát mở rộng được triển khai để cho phép khả năng hiển thị, giám sát tối ưu và đảm bảo sự phát triển của hệ thống mạng.

Thiết kế và xây dựng Zero Trust là một nhiệm vụ phức tạp đòi hỏi phải trải qua các giai đoạn trưởng thành một cách có hệ thống. Nếu thực hiện đúng cách, kết quả sẽ là một kiến trúc doanh nghiệp có khả năng chống lại, xác định và ứng phó với các mối đe dọa cố gắng khai thác điểm yếu.

NSA đã phát hành hướng dẫn đầu tiên về Zero Trust vào tháng 02/2021, trong đó mô tả mô hình và những ưu điểm của các nguyên tắc của kiến trúc này. Vào tháng 4/2023, cơ quan này đã ban hành hướng dẫn về việc đạt đến mức độ trưởng thành của thành phần lớp người dùng trong Zero Trust.

Ngọc Nguyên (Tổng hợp)

‹ › ×

Tin liên quan

Bài học kinh nghiệm nào cho tổ chức trong quá trình triển khai Zero Trust? (phần 2)

10:00 | 14/11/2024

Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.

INFOGRAPHIC: Khám phá mô hình bảo mật Zero Trust

10:00 | 25/10/2024

Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.

Zero Trust: Chìa khóa bảo mật mạng thế hệ mới

13:00 | 07/10/2024

Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.

Các cấp độ trưởng thành trong kiến trúc Zero Trust của NSA

13:00 | 18/11/2024

Sau khi xâm nhập thành công vào hệ thống mạng của tổ chức, một trong những kỹ thuật phổ biến nhất mà các tin tặc thực hiện là di chuyển ngang hàng, truy cập vào dữ liệu nhạy cảm hơn và các hệ thống quan trọng. Zero Trust có thể hạn chế điều này bằng cách sử dụng các biện pháp phân đoạn mạng, cô lập và kiểm soát quyền truy cập một cách logic và vật lý thông qua các hạn chế chính sách chi tiết. Bài viết này trình bày tài liệu hướng dẫn mới về Zero Trust để bảo vệ không gian mạng của Cơ quan An ninh Quốc gia Hoa Kỳ (NSA)

Bài học kinh nghiệm nào cho tổ chức trong quá trình triển khai Zero Trust? (phần 1)

13:00 | 11/11/2024

Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?

Zero Trust, SASE, VPN: Doanh nghiệp nên triển khai giải pháp nào?

09:00 | 13/11/2024

Bài báo “Zero Trust, SASE, VPN là gì?” đã cung cấp cái nhìn tổng quan, giúp người dùng hiểu rõ hơn về cách thức hoạt động và ứng dụng của các giải pháp trong việc bảo vệ hạ tầng công nghệ thông tin của các tổ chức. Phần tiếp theo của bài báo sẽ phân tích sự khác biệt trong từng giải pháp, giúp tổ chức lựa chọn mô hình phù hợp nhất, dựa trên nhu cầu bảo mật và quy mô hệ thống của đơn vị mình.

Zero Trust: Chìa khóa bảo mật cho doanh nghiệp Việt Nam trong kỷ nguyên số

14:00 | 02/10/2024

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.

Zero Trust, SASE và VPN là gì?

13:00 | 11/11/2024

Trong bối cảnh an ninh mạng ngày càng phức tạp, các tổ chức đang tìm kiếm những giải pháp tối ưu để bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa tiềm tàng. Các khái niệm như Zero Trust, SASE và VPN nổi lên như những chiến lược bảo mật hàng đầu, nhưng chúng là gì và khác nhau như thế nào?

INFOGRAPHIC: Cuộc hành trình của Zero Trust

13:00 | 13/08/2024

Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...

Tin cùng chuyên mục

Cơ chế bảo mật cho mạng viễn thông TETRA

22:00 | 30/01/2025

Trong thời đại số hóa đang diễn ra mạnh mẽ hiện nay, việc đảm bảo an toàn thông tin trong liên lạc là một nhu cầu cấp thiết của mọi cơ quan tổ chức. Terrestrial Trunked Radio (TETRA) là một tiêu chuẩn quốc tế về hệ thống thông tin liên lạc vô tuyến số, được thiết kế để đáp ứng nhu cầu liên lạc an toàn và tin cậy của các tổ chức và cơ quan chức năng như cảnh sát, cứu hỏa, y tế khẩn cấp cũng như các ngành công nghiệp quan trọng khác [1]. Bài viết sẽ trình bày về cơ chế bảo mật cho mạng viễn thông TETRA giúp ngăn chặn truy cập trái phép và bảo vệ thông tin nhạy cảm.

Avast phát hành công cụ giải mã miễn phí đối với mã độc tống tiền Malox

13:00 | 25/10/2024

Mới đây, hãng bảo mật Avast (Cộng hòa Séc) đã công bố bộ công cụ giải mã miễn phí giúp nạn nhân có thể khôi phục dữ liệu nếu không may trở thành nạn nhân của mã độc tống tiền Mallox.

MKV - Thuật toán mã khối dân sự phục vụ chiến lược “Make in Vietnam” (Phần I)

07:00 | 29/06/2024

Trong thời kỳ đổi mới hội nhập của đất nước, với sự phát triển của khoa học - công nghệ, nhất là công nghệ thông tin và truyền thông, cuộc Cách mạng công nghiệp lần thứ tư, việc xây dựng, phát triển Chính phủ điện tử và Chuyển đổi số là vô cùng thiết yếu. Các sản phẩm dịch vụ mật mã dân sự không chỉ được sử dụng để bảo vệ thông tin thuộc bí mật nhà nước mà còn được dùng rộng rãi để bảo vệ thông tin trong Chính phủ điện tử và giao dịch điện tử.