Zero Trust Cyber Security: Nguyên tắc & Triển khai
Tìm hiểu những kiến thức cơ bản về zero trust cyber security, cách mô hình hoạt động, các lợi ích chính và các bước thực tế để chuyển từ phòng thủ chu vi sang xác minh truy cập liên tục.
Kết luận chính: Zero trust security thay thế giả định lỗi thời rằng mọi thứ bên trong mạng của bạn là an toàn. Mỗi người dùng, thiết bị và kết nối được xác minh liên tục, giảm đáng kể rủi ro vi phạm trong các môi trường kết nối đám mây.
Zero Trust Cyber Security là gì?
Bảo mật mạng truyền thống dựa trên một ý tưởng đơn giản: tin tưởng mọi thứ bên trong chu vi và chặn các mối đe dọa ở biên. Tường lửa, VPN và các hệ thống phát hiện xâm nhập tạo thành một tường thành kỹ thuật số xung quanh các tài nguyên công ty. Khi một người dùng hoặc thiết bị vượt qua cánh cổng, họ có thể di chuyển tự do.
Mô hình đó không còn hoạt động nữa. Điện toán đám mây, làm việc từ xa và các thiết bị di động đã làm tan biến chu vi mạng hoàn toàn. Nhân viên truy cập dữ liệu nhạy cảm từ các máy tính xách tay cá nhân tại các quán cà phê. Các nhà cung cấp bên thứ ba kết nối trực tiếp với các hệ thống nội bộ. Những kẻ tấn công xâm phạm một điểm cuối duy nhất có thể di chuyển ngang trên toàn bộ tổ chức.
Zero trust cyber security giải quyết thực tế này một cách trực tiếp. Thay vì giả định bất cứ thứ gì bên trong mạng là an toàn, zero trust coi mỗi yêu cầu truy cập là có khả năng là kẻ thù. Mỗi người dùng, mỗi thiết bị và mỗi kết nối phải chứng minh tính hợp pháp của nó trước khi truy cập bất kỳ tài nguyên nào. Để có cái nhìn rộng hơn về bình cảnh mối đe dọa, hãy xem hub bảo mật của chúng tôi.
Các Bản phát hành đặc biệt NIST 800-207[1] là khung công tác liên bang xác định cho việc triển khai kiến trúc zero trust. Nó bao gồm các mô hình kiểm soát truy cập, các mẫu triển khai và các thuật toán tin tưởng chi tiết. Do Viện Tiêu chuẩn và Công nghệ Quốc gia xuất bản, nó đóng vai trò là nền tảng mà hầu hết các doanh nghiệp sử dụng khi lập kế hoạch chiến lược zero trust của họ.
Zero trust không phải là một sản phẩm duy nhất mà bạn có thể mua. Nó là một mô hình bảo mật, một triết lý và một phương pháp tiếp cận kiến trúc định hình lại cách thức các tổ chức suy nghĩ về truy cập và tin tưởng ở mọi cấp độ.
Các nguyên tắc Zero Trust cốt lõi
Bảng sau tóm tắt sáu nguyên tắc nền tảng thúc đẩy mỗi kiến trúc zero trust:
| Nguyên tắc Zero Trust | Điều nó có nghĩa trong thực tế |
|---|---|
| Xác minh rõ ràng | Xác thực mỗi người dùng, thiết bị và yêu cầu — mỗi lần, không chỉ khi đăng nhập |
| Truy cập quyền hạn tối thiểu | Chỉ cấp các quyền cần thiết cho một nhiệm vụ cụ thể, không có gì hơn |
| Giả định vi phạm | Thiết kế các hệ thống như thể những kẻ tấn công đã ở bên trong; hạn chế phạm vi ảnh hưởng |
| Phân đoạn mạng | Chia mạng để một vùng bị xâm phạm không thể lan truyền ngang |
| Xác thực đa yếu tố | Yêu cầu một yếu tố thứ hai ngoài mật khẩu cho tất cả các điểm truy cập |
| Giám sát liên tục | Ghi nhật ký và phân tích tất cả hoạt động theo thời gian thực để phát hiện các bất thường sớm |
Mỗi nguyên tắc tăng cường các nguyên tắc khác. Truy cập quyền hạn tối thiểu hạn chế những gì một tài khoản bị xâm phạm có thể truy cập. Phân đoạn mạng chứa thiệt hại nếu một kẻ tấn công vượt qua xác thực. Giám sát liên tục phát hiện hành vi bất thường mà các quy tắc tĩnh sẽ bỏ lỡ. Cùng với nhau, những nguyên tắc này tạo ra các lớp bảo vệ chồng lấp nhau giảm đáng kể rủi ro vi phạm thành công.
Quan trọng: Zero trust không phải là một sản phẩm; nó là một mô hình bảo mật. Các phòng thủ chu vi truyền thống giả định mọi thứ bên trong mạng là an toàn, nhưng làm việc từ xa và điện toán đám mây đã làm tan biến ranh giới đó. Áp dụng truy cập quyền hạn tối thiểu và xác minh liên tục giảm đáng kể rủi ro vi phạm lan rộng khi những kẻ tấn công có quyền truy cập ban đầu.
Các thành phần kiến trúc Zero Trust
Một kiến trúc zero trust dựa trên nhiều thành phần kết nối với nhau hoạt động cùng nhau. Hiểu từng cái giúp các tổ chức lập kế hoạch triển khai thực tế.
Quản lý danh tính và truy cập (IAM)
IAM là nền tảng của zero trust. Các giải pháp như Microsoft Entra ID (trước đây là Azure AD), Okta và Ping Identity xác minh danh tính người dùng trước khi cấp quyền truy cập bất kỳ tài nguyên nào. Mỗi yêu cầu truy cập đi qua lớp IAM, đánh giá danh tính, vai trò và ngữ cảnh trước khi đưa ra quyết định cho phép hoặc từ chối. Các thực tiễn quản lý danh tính và truy cập mạnh mẽ cũng giúp ngăn chặn thu thập thông tin xác thực và các cuộc tấn công tiếp quản tài khoản.
Xác thực đa yếu tố (MFA)
MFA yêu cầu người dùng chứng minh danh tính của họ thông qua ít nhất hai yếu tố riêng biệt: điều gì đó họ biết (mật khẩu), điều gì đó họ có (token cứng hoặc điện thoại) hoặc điều gì đó họ là (sinh trắc). Microsoft báo cáo rằng MFA chặn 99,9% các cuộc tấn công xâm phạm tài khoản tự động. MFA là bắt buộc trong bất kỳ triển khai zero trust nào.
Micro-Segmentation
Thay vì coi mạng là một vùng tin tưởng duy nhất, micro-segmentation chia nó thành các phân đoạn nhỏ, cô lập. Mỗi phân đoạn thực thi các chính sách truy cập riêng của nó. Nếu một kẻ tấn công xâm phạm một phân đoạn, họ không thể di chuyển ngang sang các phân đoạn khác. Các công cụ như VMware NSX, Illumio và Cisco ACI cho phép micro-segmentation ở quy mô lớn.
Phát hiện và phản hồi điểm cuối (EDR)
Zero trust yêu cầu khả năng nhìn thấy vào mỗi thiết bị kết nối với mạng. Các giải pháp EDR như CrowdStrike Falcon, SentinelOne và Microsoft Defender for Endpoint liên tục giám sát sức khỏe thiết bị, phát hiện hành vi độc hại và thực thi các chính sách tuân thủ. Một thiết bị không tuân thủ (hệ điều hành lỗi thời, thiếu bản vá) có thể bị chặn tự động khỏi việc truy cập các tài nguyên nhạy cảm.
Quản lý sự kiện và thông tin bảo mật (SIEM)
Các nền tảng SIEM tổng hợp nhật ký từ toàn bộ môi trường và áp dụng phân tích để phát hiện các bất thường. Các giải pháp như Splunk, Microsoft Sentinel và IBM QRadar cung cấp giám sát liên tục mà zero trust yêu cầu. Cảnh báo theo thời gian thực và các playbook phản hồi tự động giúp các đội bảo mật hành động trên các mối đe dọa trong vài phút thay vì hàng ngày.
Công cụ chính sách và quản trị viên chính sách
Ở trung tâm của một kiến trúc zero trust là công cụ chính sách. Thành phần này đánh giá mỗi yêu cầu truy cập so với các chính sách được định nghĩa (vai trò người dùng, sức khỏe thiết bị, vị trí, thời gian trong ngày, điểm số rủi ro) và đưa ra quyết định tin tưởng theo thời gian thực. Quản trị viên chính sách sau đó thực thi quyết định đó bằng cách hướng dẫn điểm thực thi thích hợp cho phép hoặc chặn kết nối.
Zero Trust so với bảo mật chu vi truyền thống
Hiểu sự tương phản giữa zero trust và các phương pháp kế thừa làm rõ lý do tại sao các tổ chức đang chuyển dịch.
| Yếu tố | Bảo mật chu vi truyền thống | Bảo mật Zero Trust |
|---|---|---|
| Mô hình tin tưởng | Tin tưởng mọi thứ bên trong mạng | Không tin tưởng gì; xác minh mọi thứ |
| Phạm vi truy cập | Truy cập mạng rộng sau xác thực | Truy cập chi tiết, trên mỗi ứng dụng |
| Tần suất xác minh | Một lần khi đăng nhập | Liên tục, mỗi yêu cầu |
| Rủi ro di chuyển ngang | Cao — kẻ tấn công di chuyển tự do khi ở bên trong | Thấp — micro-segmentation chứa các vi phạm |
| Hỗ trợ làm việc từ xa | Yêu cầu VPN tunneling tất cả lưu lượng | Hỗ trợ gốc cho truy cập phân tán |
| Khả năng hiển thị | Giám sát lưu lượng nội bộ hạn chế | Khả năng hiển thị đầy đủ trên tất cả các kết nối |
Không giống như các phương pháp dựa trên VPN truyền thống cấp quyền truy cập mạng rộng sau khi kết nối, truy cập mạng zero trust (ZTNA) chỉ cấp quyền truy cập vào ứng dụng cụ thể mà vai trò của người dùng yêu cầu. Các tổ chức vẫn dựa vào các VPN tập trung vào quyền riêng tư để mã hóa có thể tạo lớp ZTNA trên đó để kiểm soát những gì mỗi người dùng có thể thực sự truy cập. VPN xử lý đường hầm được mã hóa; zero trust xử lý ủy quyền và xác minh liên tục.
Cách triển khai kiến trúc Zero Trust
Triển khai zero trust không phải là một dự án qua đêm. Hầu hết các tổ chức áp dụng nó theo từng giai đoạn trong 12 đến 24 tháng. Dưới đây là một phương pháp thực tế, từng bước.
Bước 1: Lập bản đồ bề mặt bảo vệ của bạn
Xác định dữ liệu, ứng dụng, tài sản và dịch vụ (DAAS) quan trọng nhất của bạn. Không giống như bề mặt tấn công rộng lớn và liên tục mở rộng, bề mặt bảo vệ nhỏ và được xác định rõ ràng. Bắt đầu từ đây.
Bước 2: Lập bản đồ dòng giao dịch
Ghi lại cách lưu lượng di chuyển qua mạng của bạn. Hiểu những người dùng nào truy cập ứng dụng nào, từ những thiết bị nào và qua những đường dẫn nào. Bạn không thể thực thi chính sách trên các dòng bạn không hiểu.
Bước 3: Xây dựng kiến trúc xung quanh bề mặt bảo vệ
Triển khai tường lửa thế hệ tiếp theo, giải pháp IAM và các công cụ micro-segmentation xung quanh bề mặt bảo vệ của bạn. Đặt công cụ chính sách ở trung tâm của mỗi quyết định truy cập. NIST SP 800-207 phác thảo ba mô hình triển khai: agent/gateway thiết bị, dựa trên enclave và dựa trên cổng thông tin tài nguyên. Chọn dựa trên cơ sở hạ tầng hiện tại của bạn.
Bước 4: Tạo chính sách truy cập chi tiết
Xác định các chính sách truy cập chi tiết bằng Phương pháp Kipling: Ai đang yêu cầu truy cập? Họ đang truy cập ứng dụng nào? Họ đang truy cập nó khi nào? Họ ở vị trí nào? Tại sao họ cần quyền truy cập? Họ đang kết nối như thế nào? Sáu câu hỏi này tạo nên cơ sở của mỗi quy tắc chính sách.
Bước 5: Triển khai xác thực đa yếu tố ở mọi nơi
Triển khai MFA trên tất cả các điểm truy cập. Ưu tiên các tài khoản có đặc quyền, sau đó mở rộng cho tất cả người dùng. Các khóa bảo mật phần cứng (YubiKey, Google Titan) cung cấp bảo vệ mạnh nhất chống lại các cuộc tấn công lừa phishing.
Bước 6: Kích hoạt giám sát và phân tích liên tục
Triển khai SIEM và EDR để giám sát tất cả lưu lượng theo thời gian thực. Thiết lập cơ sở cho hành vi bình thường để các bất thường kích hoạt cảnh báo ngay lập tức. Tự động hóa các playbook phản hồi cho các mẫu mối đe dọa phổ biến.
Bước 7: Lặp lại và mở rộng
Bắt đầu với các tài sản nhạy cảm nhất và mở rộng các kiểm soát zero trust ra bên ngoài. Mỗi giai đoạn phải bao gồm thử nghiệm, xác nhận và tinh chỉnh chính sách. Zero trust không phải là một điểm đến; nó là một quá trình cải tiến liên tục.
Các trường hợp sử dụng Zero Trust phổ biến
Lực lượng làm việc từ xa và lai ghép
Các tổ chức có nhân viên làm việc từ nhà, không gian làm việc chung hoặc tại các trang khách hàng sẽ được hưởng lợi ngay lập tức từ zero trust. Thay vì định tuyến tất cả lưu lượng thông qua VPN tập trung, các giải pháp ZTNA xác minh mỗi người dùng và thiết bị độc lập. Điều này giảm độ trễ và cải thiện bảo mật cùng một lúc.
Các tổ chức ưu tiên đám mây
Các công ty chạy khối lượng công việc trên AWS, Azure và Google Cloud cần các kiểm soát truy cập nhất quán trải dài trên nhiều môi trường. Các chính sách zero trust theo dõi người dùng và khối lượng công việc, không phải ranh giới mạng.
Các ngành được quản lý
Các tổ chức chăm sóc sức khỏe tuân theo HIPAA, các tổ chức tài chính được quản lý bởi PCI DSS và SOX, và các cơ quan chính phủ tuân theo FedRAMP đều yêu cầu kiểm soát truy cập nghiêm ngặt và dấu vết kiểm toán. Zero trust cung cấp cả hai theo thiết kế.
Truy cập của bên thứ ba và nhà thầu
Các nhà cung cấp và nhà thầu thường cần truy cập vào các hệ thống nội bộ cụ thể. Zero trust cấp cho họ quyền truy cập chỉ vào các tài nguyên họ cần, chỉ trong khoảng thời gian họ cần, với ghi nhật ký đầy đủ của mỗi hành động.
Sáp nhập và mua lại
Khi hai tổ chức sáp nhập, tích hợp các mạng của họ sẽ gây ra rủi ro đáng kể. Zero trust cho phép mỗi môi trường duy trì các kiểm soát truy cập độc lập trong khi có chọn lọc cấp quyền truy cập xuyên tổ chức trên cơ sở từng ứng dụng.
Các câu hỏi thường gặp
”Không bao giờ tin tưởng, luôn xác minh” có nghĩa là gì trong thực tế?
Các mô hình bảo mật truyền thống tự động tin tưởng các người dùng và thiết bị khi họ xác thực tại chu vi. Zero trust đảo ngược giả định này. Mỗi yêu cầu truy cập được coi là không đáng tin cậy theo mặc định, bất kể nó bắt nguồn từ đâu. Danh tính, sức khỏe thiết bị, vị trí và ngữ cảnh hành vi được đánh giá mỗi lần, không chỉ khi đăng nhập ban đầu.
Zero trust có giống như một VPN không?
Không. Một VPN truyền thống cấp quyền truy cập mạng rộng khi người dùng kết nối, nghĩa là thông tin xác thực bị đánh cắp sẽ tiếp xúc với mọi thứ mà VPN có thể truy cập. Truy cập mạng zero trust chỉ cấp quyền truy cập vào các ứng dụng cụ thể mà vai trò của người dùng yêu cầu, và nó liên tục đánh giá lại quyền đó. Nhiều tổ chức sử dụng cả hai: VPN thêm mã hóa trong khi lớp zero trust kiểm soát những gì mỗi người dùng có thể thực sự truy cập.
Những thách thức lớn nhất khi áp dụng mô hình bảo mật này là gì?
Zero trust yêu cầu đầu tư vào các công nghệ như các nhà cung cấp danh tính, quản lý thiết bị và các công cụ giám sát liên tục. Nó cũng yêu cầu sự thay đổi văn hóa về cách các đội suy nghĩ về truy cập. Các hệ thống kế thừa được xây dựng để giả định sự tin tưởng mạng nội bộ có thể khó tích hợp. Việc áp dụng thường được phân giai đoạn, bắt đầu với các ứng dụng nhạy cảm nhất và mở rộng theo thời gian.
Một triển khai điển hình mất bao lâu?
Hầu hết các tổ chức hoàn thành triển khai ban đầu trong 12 đến 24 tháng, tùy thuộc vào độ phức tạp của cơ sở hạ tầng. Forrester Research phát hiện rằng các doanh nghiệp thường bắt đầu với xác minh danh tính và MFA trong 90 ngày đầu tiên. Sau đó, họ thêm micro-segmentation và giám sát liên tục trong các quý tiếp theo. Trưởng thành đầy đủ có thể mất 3 đến 5 năm.
Những loại tổ chức nào được hưởng lợi nhiều nhất từ phương pháp này?
Các tổ chức có các đội từ xa hoặc phân tán, những tổ chức sử dụng các ứng dụng dựa trên đám mây và những tổ chức trong các ngành được quản lý như chăm sóc sức khỏe và tài chính thấy lợi ích rõ ràng nhất. Khi chu vi mạng truyền thống tan rã vì nhân viên làm việc từ bất cứ nơi đâu, zero trust cung cấp kiểm soát truy cập và khả năng hiển thị liên tục mà bảo mật dựa trên chu vi không thể cung cấp.
Zero Trust có phù hợp với tổ chức của bạn không?
Zero trust cyber security không phải là một xu hướng thoáng qua. Nó là một sự chuyển đổi cơ bản về cách thức các tổ chức bảo vệ dữ liệu, ứng dụng và người dùng của họ. Mô hình dựa trên chu vi cũ giả định các mối đe dọa nằm ngoài bức tường. Ngày nay, với điện toán đám mây, làm việc từ xa và các cuộc tấn công ngày càng tinh vi như trộm cắp danh tính và thu thập thông tin xác thực, giả định đó làm rủi ro các tổ chức.
Áp dụng zero trust có nghĩa là cam kết xác minh liên tục, truy cập quyền hạn tối thiểu, phân đoạn mạng, xác thực đa yếu tố và giám sát theo thời gian thực. Nó yêu cầu đầu tư vào công nghệ và sẵn sàng suy nghĩ lại cách tổ chức của bạn cấp và quản lý truy cập.
Sự trả lợi là đáng kể: giảm rủi ro vi phạm, tư thế tuân thủ mạnh hơn, khả năng hiển thị tốt hơn vào hoạt động mạng và một mô hình bảo mật mở rộng với tổ chức của bạn.
Hãy bắt đầu với các tài sản quan trọng nhất của bạn. Lập bản đồ các dòng lưu lượng của bạn. Triển khai MFA và IAM. Phân đoạn mạng của bạn. Giám sát mọi thứ. Mỗi bước tiến giảm phơi nhiễm của bạn với các mối đe dọa quan trọng nhất.