VPN là một giải pháp truy cập, kết nối từ xa đã có từ lâu và đã phục vụ tốt cho người dùng, nhưng gần đây do sự gia tăng về làm việc từ xa (remote working), làm việc tại nhà (work from home), làm việc mọi nơi (work any where)...đã làm nổi bật lên những hạn chế của công nghệ cũ kỹ này. Trong khi vẫn còn có các Doanh nghiệp vẫn đang tiếp tục sử dụng VPN thì nhiều Doanh nghiệp khác đã và đang tìm kiếm một giải pháp thay thế tốt hơn - giải quyết những thách thức với truy cập từ xa của VPN. Một số Doanh nghiệp cũng đã bắt đầu tiếp nhận hoàn toàn thế hệ tiếp theo của công nghệ truy cập từ xa đó là ZTNA (truy cập mạng không tin cậy - Zero trust network access). ZTNA cung cấp khả năng bảo mật tốt hơn, kiểm soát chi tiết hơn, tăng khả năng hiển thị và trải nghiệm người dùng minh bạch so với truy cập VPN truyền thống.
Trong bài viết này, Sophos sẽ đưa ra cái nhìn chi tiết hơn về những hạn chế và thách thức với VPN truyền thống và những lợi ích mà ZTNA có thể cung cấp và tóm tắt các khả năng quan trọng mà bạn nên tìm kiếm trong giải pháp ZTNA mới của mình.
Những thách thức với remote access VPN
VPN đã là một yếu tố chính của hầu hết các hệ thống mạng trong nhiều thập kỷ, VPN cung cấp một phương pháp an toàn để truy cập từ xa các hệ thống và tài nguyên trên mạng. Tuy nhiên, nó đã được phát triển trong thời đại mà hệ thống mạng công ty giống như một pháo đài thời trung cổ - bức tường lâu đài và hào nước tạo thành một vành đai an toàn xung quanh các tài nguyên mạng bên trong. VPN cung cấp tính năng tương đương với một cổng bảo mật để người dùng được ủy quyền đi vào vòng an toàn, nhưng khi họ đã vào, họ có toàn quyền truy cập vào mọi thứ trong chu vi mạng.
Mô hình kết nối VPN truyền thống
Hiện nay, hệ thống mạng đã phát triển đáng kể, được lắp đặtnhiều hơn bao giờ hết. Các ứng dụng và dữ liệu hiện đã được đưa lên đám mây, người dùng làm việc từ xa và các mạng đang bị bao vây bởi những kẻ tấn công và tin tặc đang tìm kiếm bất kỳ điểm yếu nào để khai thác.
Việc quản lý một giải pháp truy cập từ xa dựa trên VPN truyền thống (IPSec/SSL) trong bất kỳ loại môi trường hiện đại nào có thể cực kỳ khó khăn. Bạn phải đối mặt với việc quản lý IP, luồng traffic và định tuyến, các quy tắc truy cập firewall, cũng như việc triển khai và cấu hình client nữa. Nên nó tốn rất nhiều thời gian không cần thiết chỉ để duy trì hoạt động này. Nhưng nếu điều này không được thực hiện đầy đủ, an ninh mạng hoàn toành trở thành một cơn ác mộng để giám sát và kiểm soát các thiết bị, người dùng.
Tóm lại, VPN truyền thống có một số hạn chế và thách thức không cần thiết:
- Implicit Trust (Sự tin cậy ngầm): VPN thực hiện tốt công việc đưa bạn đi qua vùng ngoại vi và vào mạng công ty như thể bạn đang ở đó thực tế, nhưng tại thời điểm đó, bạn hoàn toàn được tin tưởng và được cấp quyền truy cập rộng rãi vào các tài nguyên trên mạng đó có thể gây ra rủi ro bảo mật không cần thiết và to lớn.
- Potential Threat Vector (Mối đe dọa tiềm tàng): VPN không nhận thức được trạng thái của thiết bị được sử dụng để kết nối với mạng công ty, tạo ra một đường dẫn tiềm ẩn cho các mối đe dọa xâm nhập vào mạng từ các thiết bị có thể đã bị xâm nhập.
- Inefficient Backhauling (Backhaul không hiệu quả): VPN truy cập từ xa cung cấp một điểm hiện diện duy nhất trên mạng, điều này có khả năng sẽ đòi hỏi phải điều chỉnh lại lưu lượng truy cập từ nhiều vị trí, trung tâm dữ liệu hoặc ứng dụng thông qua VPN tunnel.
- Lack of Visibility (Thiếu khả năng hiển thị): VPN không biết về lưu lượng và cách sử dụng mà nó đang tạo điều kiện cho việc hiển thị hoạt động của người dùng và việc sử dụng ứng dụng trở nên khó khăn hơn.
- User Experience (Trải nghiệm người dùng): VPN Client nổi tiếng là cung cấp trải nghiệm người dùng kém, thêm độ trễ hoặc tác động tiêu cực đến hiệu suất, gặp sự cố kết nối và thường là gánh nặng cho bộ phận helpdesk.
- Administration, Deployment and Enrollment (Quản trị, Triển khai và Đăng ký): Các VPN client rất khó thiết lập, triển khai, đăng ký người dùng mới, ngừng hoạt động của người dùng. VPN cũng là một thách thức để quản lý ở phía firewall hoặc gateway, đặc biệt là hệ thống mạng có nhiều node, các rule fireall, quản lý IP và các luồng traffice và định tuyến. Nó nhanh chóng trở thành một công việc chiếm rất nhiều thời gian.
ZTNA là gì và nó hoạt động như thế nào
ZTNA được thiết kế ngay từ đầu để giải quyết những thách thức và hạn chế với VPN, cung cấp giải pháp tốt hơn cho người dùng ở bất kỳ đâu, để kết nối an toàn với các ứng dụng và dữ liệu họ cần để thực hiện công việc của mình. Có một vài điểm khác biệt cơ bản khiến ZTNA trở nên khác biệt với VPN truy cập từ xa.
Như tên của nó, ZTNA được thành lập dựa trên nguyên tắc không tin tưởng - hoặc không tin tưởng gì, cần phải xác minh mọi thứ. Zero Trust về cơ bản loại bỏ khái niệm về chu vi bức tường lâu đài và hào cổ để làm cho mọi người dùng, mọi thiết bị và mọi ứng dụng được nối mạng đều có chu vi riêng của họ và chỉ kết nối chúng sau khi xác thực thông tin đăng nhập, xác minh tình trạng thiết bị và kiểm tra chính sách truy cập. Điều này cải thiện đáng kể bảo mật, phân đoạn và kiểm soát.
Người dùng cần phải được xác minh trước khi truy cập vào hệ thống
Một điểm khác biệt chính khác trong cách thức hoạt động của ZTNA là người dùng không thể hoàn toàn tự do di chuyển trong mạng. Thay vào đó, các đường hầm riêng lẻ được thiết lập giữa người dùng và cổng cụ thể cho ứng dụng mà họ được phép truy cập - cung cấp mức độ phân đoạn vi mô an toàn hơn nhiều. Điều này có một số lợi ích đối với bảo mật, kiểm soát, khả năng hiển thị, hiệu quả và hiệu suất.
Ví dụ: VPN không cung cấp thông tin chi tiết về ứng dụng mà người dùng đang truy cập, trong khi ZTNA có thể cung cấp trạng thái và hoạt động theo thời gian thực cho tất cả các ứng dụng của bạn. Phân đoạn vi mô được bổ sung mà ZTNA cung cấp đảm bảo không có sự di chuyển ngang của thiết bị hoặc quyền truy cập của người dùng giữa các tài nguyên trên mạng. Mỗi người dùng, thiết bị và ứng dụng hoặc tài nguyên thực sự là một vành đai an toàn của riêng nó và không còn bất kỳ khái niệm về sự tin tưởng ngầm nào như VPN nữa.
Mô hình ZTNA
Bản chất ZTNA cũng năng động và minh bạch hơn, hoạt động ở chế độ nền mà không yêu cầu sự tương tác từ người dùng ngoài việc xác thực danh tính ban đầu. Trải nghiệm này có thể mượt mà đến nỗi người dùng thậm chí không nhận ra rằng họ đang kết nối với các ứng dụng thông qua các đường hầm được mã hóa an toàn.
Ưu điểm của ZTNA
Zero Trust Network Access mang lại những lợi ích to lớn theo nhiều cách nhưng chủ yếu được sử dụng vì một hoặc nhiều lý do sau:
- Làm việc tại nhà (WFH): Các giải pháp ZTNA là một giải pháp dễ dàng hơn nhiều để quản lý truy cập từ xa cho nhân viên làm việc tại nhà. Chúng giúp việc triển khai và đăng ký trở nên dễ dàng và linh hoạt hơn, biến những công việc tốn rất nhiều thời gian với VPN thành công việc ít tốn tài nguyên hơn nhiều. Nó cũng minh bạch hơn và đơn giản hơn cho nhân viên của bạn làm việc từ xa.
- Phân đoạn vi mô ứng dụng: Các giải pháp ZTNA cung cấp bảo mật ứng dụng tốt hơn nhiều với microsegmentation, tích hợp tình trạng thiết bị vào các chính sách truy cập, xác minh xác thực liên tục và chỉ là việc loại bỏ sự tin tưởng ngầm và chuyển động bên đi kèm với VPN.
- Ngăn chặn Ransomware: Các giải pháp ZTNA loại bỏ các vector tấn công phổ biến đối với Ransomware và các cuộc tấn công xâm nhập mạng khác. Vì người dùng ZTNA không còn "trên mạng", các mối đe dọa có thể có được chỗ đứng với VPN nhưng nó sẽ vô nghĩa với ZTNA.
- Ứng dụng mới và người dùng nhanh chóng đang có sẵn: ZTNA cho phép bảo mật tốt hơn và nhanh nhẹn hơn trong các môi trường thay đổi nhanh chóng với người dùng đến và đi. Hỗ trợ các ứng dụng mới một cách nhanh chóng và an toàn, dễ dàng đăng ký hoặc ngừng hoạt động của người dùng và thiết bị, đồng thời nhận được thông tin chi tiết về trạng thái và việc sử dụng ứng dụng.
Tóm lại, lợi thế của ZTNA so với các giải pháp VPN truy cập từ xa truyền thống bao gồm:
- Zero Trust – ZTNA được thành lập trên nguyên tắc không tin tưởng hoặc "không tin gì, xác minh mọi thứ". Điều này cung cấp bảo mật và phân khúc vi mô tốt hơn đáng kể bằng cách xử lý hiệu quả từng người dùng và thiết bị như chu vi riêng của họ và liên tục đánh giá và xác minh danh tính và sức khỏe để có quyền truy cập vào các ứng dụng và dữ liệu của công ty. Người dùng chỉ có quyền truy cập vào các ứng dụng và dữ liệu được xác định rõ ràng bởi chính sách của công ty, giảm chuyển động bên và những rủi ro đi kèm với nó.
- Device Health – ZTNA tích hợp tuân thủ và tình trạng của thiết bị vào các chính sách truy cập, cung cấp cho bạn tùy chọn loại trừ các hệ thống không tuân thủ, bị nhiễm hoặc bị xâm nhập truy cập các ứng dụng và dữ liệu của công ty và loại bỏ mối đe dọa quan trọng và giảm nguy cơ đánh cắp hoặc rò rỉ dữ liệu.
- Works Anywhere - ZTNA là mạng có thể hoạt động tốt và an toàn như nhau từ bất kỳ mạng nào, dù là mạng gia đình, khách sạn, quán cà phê hoặc văn phòng. Quản lý kết nối an toàn và minh bạch cho dù người dùng và thiết bị đang ở đâu, giúp trải nghiệm liền mạch.
- More Transparent - ZTNA cung cấp trải nghiệm người dùng cuối liền mạch bằng cách tự động thiết lập các kết nối an toàn theo yêu cầu khi cần thiết. Hầu hết người dùng sẽ không biết về giải pháp ZTNA đang giúp bảo vệ dữ liệu của họ.
- Better Visibility - ZTNA có thể cung cấp khả năng hiển thị tốt hơn vào hoạt động ứng dụng có thể quan trọng đối với việc theo dõi trạng thái ứng dụng, lập kế hoạch năng lực, quản lý cấp phép và kiểm toán.
- Easier Administration - Các giải pháp ZTNA thường gọn gàng, rõ ràng hơn, do đó dễ triển khai và quản lý hơn. ZTNA cũng có thể thao tác nhanh chóng hơn trong môi trường thường xuyên thay đổi với người dùng đến và đi - làm cho việc quản trị hàng ngày trở thành một công việc nhanh chóng và không tốn nhiều thời gian.
Để biết thêm chi tiết vui lòng liên hệ với chúng tôi theo các thông tin dưới đây.
EmeraldETL là Công Ty chuyên về Công Nghệ, là Đại lý của rất nhiều dòng sản phẩm bảo mật cao cấp tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.
- Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
- Hotline: 0913324060
Xem thêm các dòng sản phẩm đang được ưa chuộng tại đây: Sophos | Sophos Firewall | Tường lửa Sophos
