THUẬT NGỮ ZERO-TRUST VÀ ĐIỂM KHÁC BIỆT GIỮA ZERO-TRUST, ZTN VÀ ZTNA?

THUẬT NGỮ ZERO-TRUST VÀ ĐIỂM KHÁC BIỆT GIỮA ZERO-TRUST, ZTN VÀ ZTNA?

Mặc dù nhiều nhà cung cấp mạng và bảo mật sử dụng các thuật ngữ bao gồm cụm từ "zero-trust" – không tin cậy, nhưng không phải ai cũng sử dụng nó với nghĩa giống nhau. Thêm nữa, dễ gây nhầm lẫn hơn nữa là các thuật ngữ truy cập không tin cậy (zero trust access- ZTA) và truy cập mạng không tin cậy (zero trust network access - ZTNA), thường được sử dụng thay thế cho nhau. Với rất nhiều thuật ngữ và từ viết tắt tương tự xuất hiện trên thị trường, điều quan trọng là phải đảm bảo rằng bạn hiểu nhà cung cấp thực sự đang nói gì khi bạn thảo luận về các giải pháp.

Fortinet thường nói chuyện với một số khách hàng mỗi tuần và xu hướng gia tăng của các yêu cầu thảo luận về giải pháp zero-trust. Hầu hết các lần, khách hàng đang tìm kiếm một cái nhìn tổng quan rộng rãi để bắt đầu nghiên cứu về chủ đề này. Một tỷ lệ nhỏ muốn tìm hiểu chi tiết về giải pháp ZTNA của Fortinet. Bằng cách lắng nghe câu hỏi của họ và đặt một vài câu hỏi xác nhận, bạn sẽ dễ dàng xác định được họ đang ở đâu trong quá trình khám phá.

Khái niệm zero-trust xuất hiện bởi vì mô hình bảo mật mạng cũ "bên trong có nghĩa là đáng tin cậy" và "bên ngoài có nghĩa là không đáng tin cậy" không còn hoạt động nữa. Cách tiếp cận này đã được điều chỉnh trong những năm qua bằng cách sử dụng VPN (virtual private network) và DMZ (demilitarized zone) để đối phó với những thách thức mới như user đã trở nên di động hơn và kinh doanh bên ngoài mạng cần quyền truy cập. Nhưng đây là một nhược điểm cố hữu đối với các mạng rất phức tạp ngày nay: nó tạo ra sự tin tưởng ngầm quá mức. Sau khi bạn được kết nối, dù trực tiếp hay sử dụng VPN, bạn sẽ được tin cậy- trust cùng với phần còn lại của "mạng nội bộ - internal network".

Zero trust là gì?

Mô hình zero-trust đưa bảo mật ra khỏi độ tin cậy dựa trên vị trí mạng. Thay vào đó, nó tập trung vào việc đánh giá sự tin cậy trên cơ sở mỗi giao dịch. Với zero trust, vị trí mạng hoặc địa chỉ IP không còn mang hàm ý về độ tin cậy. Mô hình zero-trust quy định rằng sự tin cậy phải được xuất phát một cách rõ ràng từ sự kết hợp của các khía cạnh nhận dạng và dựa trên ngữ cảnh.

Cái tên này xuất hiện khi nói đến quyền truy cập mạng, zero trust mặc định sẽ từ chối cho mọi người và mọi thứ. Sử dụng mô hình zero trust, bất cứ khi nào người dùng hoặc thiết bị yêu cầu quyền truy cập vào tài nguyên, họ phải được xác minh trước khi cấp quyền truy cập. Việc xác minh đó dựa trên danh tính của người dùng và thiết bị, cộng với các thuộc tính và ngữ cảnh khác, chẳng hạn như thời gian và ngày tháng, vị trí địa lý và các khía cạnh của tư thế bảo mật thiết bị.

Sau khi thiết bị và người dùng được xác minh, chỉ sự tin cậy phù hợp được yêu cầu mới được cấp. Quyền truy cập (access) được cấp dựa trên nguyên tắc đặc quyền ít nhất. Nếu người dùng yêu cầu quyền truy cập vào một ứng dụng HR và đã được xác minh, quyền truy cập vào ứng dụng đó là quyền truy cập duy nhất mà người đó được cấp.

Người dùng đã được cấp quyền truy cập vào thứ gì đó không có nghĩa là họ sẽ thấy được bất cứ thứ gì khác. Quyền truy cập là chỉ cấp quyền truy cập vào một tài nguyên cụ thể, không phải toàn bộ mạng. Yếu tố chính của mô hình zero trust là độ tin cậy phải được liên tục đánh giá lại. Nếu các thuộc tính quan trọng của người dùng hoặc thiết bị thay đổi, việc xác minh có thể bị thu hồi và quyền truy cập sẽ bị xóa.

Zero trust access là gì?

Zero trust access (ZTA) hay truy cập không tin cậy là về việc biết,  kiểm soát ai và nội dung nào trên mạng của bạn. Kiểm soát truy cập dựa trên vai trò là một thành phần quan trọng của quản lý truy cập. Chỉ khi biết rõ ràng người dùng là ai thì mới có thể cấp quyền truy cập phù hợp dựa trên vai trò của họ. Người dùng là nhân viên, khách hay nhà thầu? Vai trò của họ là gì và vai trò đó mang lại cho họ những quyền truy cập mạng nào?

ZTA bao gồm các điểm cuối (endpoint) của người dùng, nơi yêu cầu kiểm soát quản lý và khả năng hiển thị. Căn chỉnh theo mô hình zero-trust có nghĩa là thực hiện chính sách ít truy cập nhất để cấp cho người dùng mức truy cập mạng tối thiểu cần thiết cho vai trò của họ và loại bỏ mọi khả năng truy cập hoặc xem các phần khác của mạng.

Nhưng ZTA không chỉ tập trung vào ai đang ở trên mạng; nó cũng kết hợp bảo mật cho những gì trên mạng. Sự gia tăng ngày càng nhiều của các thiết bị được kết nối mạng có thể bao gồm một loạt các thiết bị IoT,  từ máy in đến thiết bị sưởi và thông gió và hệ thống chấm công, kiểm soát ra vào cửa... Các thiết bị này không có tên người dùng và mật khẩu để xác định bản thân và vai trò. Đối với các thiết bị "headless" này, các giải pháp kiểm soát truy cập mạng (NAC - network access control) có thể được sử dụng để khám phá và kiểm soát quyền truy cập. Bằng cách sử dụng các chính sách NAC, các nguyên tắc không tin cậy về quyền truy cập ít nhất có thể được áp dụng cho các thiết bị IoT này, cấp đủ quyền truy cập mạng để thực hiện vai trò của chúng và không có vai trò gì khác.

Zero Trust Network Access là gì?

Zero trust network access (ZTNA) đang trở thành một thuật ngữ tiêu chuẩn trong ngành, nhờ Gartner và các nhà phân tích khác. Thật không may, ZTNA không phải là quy ước đặt tên rõ ràng nhất, bởi vì mặc dù nó được gọi là quyền truy cập mạng không tin cậy, nhưng nó thực sự là tất cả về quyền truy cập được thiết lập cho người dùng truy cập vào các ứng dụng. Vì vậy, có thể rõ ràng hơn nếu gọi nó là quyền truy cập ứng dụng không tin cậy, hay đơn giản gọi là ZTNA. Một điều quan trọng nữa là ZTNA là một yếu tố của đề xuất ZTA lớn hơn.

Do sự gia tăng của làm việc từ xa, ZTNA gần đây đã được chú ý nhiều hơn vì đây là một cách kiểm soát quyền truy cập vào các ứng dụng bất kể người dùng hoặc ứng dụng đó đang ở đâu. Người dùng có thể đang ở trên mạng công ty, đang làm việc tại nhà hoặc ở một nơi nào đó khác. Ứng dụng có thể nằm trong trung tâm dữ liệu của công ty, trong đám mây riêng hoặc trên internet công cộng.

Mặc dù VPN truyền thống đã là khẳng định được tầm quan trọng trong nhiều thập kỷ, nhưng ZTNA mới là sự phát triển tự nhiên của VPN và cung cấp bảo mật tốt hơn, kiểm soát chi tiết hơn và trải nghiệm người dùng tốt hơn do sự phức tạp của các mạng ngày nay, vì vậy nó có thể là một lựa chọn thông minh hơn để kết nối an toàn cho nhân viên làm việc từ xa.

Với VPN truyền thống, giả định là bất kỳ ai hoặc bất kỳ thứ gì vượt qua các kiểm soát chu vi mạng đều có thể được tin cậy. Nhưng ZTNA có cách tiếp cận ngược lại: không người dùng hoặc thiết bị nào có thể được tin cậy để truy cập bất cứ thứ gì cho đến khi được chứng minh ngược lại. Không giống như VPN, ZTNA mở rộng mô hình zero trust ra ngoài mạng và giảm bề mặt tấn công bằng cách ẩn các ứng dụng khỏi internet.

Phân biệt Zero Trust, Zero Trust Access và Zero Trust Network Access

Giờ đây hầu như mọi người truy cập tài nguyên bên ngoài mạng truyền thống là rất nhiều, sự tin tưởng không thể được cấp quyền truy cập dựa trên vị trí nữa. Vì vậy, khi bạn đang đọc về các giải pháp zero trust, điều quan trọng cần nhớ là được sử dụng chung chung, thuật ngữ zero trust đơn giản có nghĩa là không ai được tự động tin cậy; khi đã được xác minh, chỉ nên cấp quyền truy cập hạn chế; và xác minh lại. Dựa trên khái niệm đó, ZTA tập trung vào việc hiểu ai và cái gì đang truy cập mạng, ZTNA xoay quanh quyền truy cập ứng dụng và thường được thảo luận như một giải pháp thay thế cho việc sử dụng VPN.

Để biết thêm thông tin chi tiết về và các lợi ích của mô hình zero trust, ZTA, ZTNA, quý khách hàng vui lòng liên hệ với ETL theo các thông tin bên dưới.

--

EmeraldETL là Công Ty chuyên về Công Nghệ, là đại lý rất nhiều dòng sản phẩm bảo mật cao tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.

  • Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
  • Hotline: 0913324060
  • Website: https://emerald.com.vn

Nguồn: Fortinet.com

EmeraldETL