là một phương pháp tiếp cận toàn diện đối với bảo mật mạng, yêu cầu xác minh từng cá nhân và thiết bị mỗi khi cố gắng truy cập vào tài nguyên trên một mạng nội bộ. Điều này đúng trong mọi trường hợp, bất kể thiết bị hay người dùng đã nằm trong hay vẫn còn bên ngoài ranh giới của mạng.
Mô hình này giải quyết nhiều vấn đề của phương thức bảo mật truyền thống, vốn dựa trên khái niệm về một "vành đai bảo mật". Trong mô hình truyền thống, quyền truy cập vào mạng được kiểm soát chặt chẽ, nhưng một khi đã vào bên trong, các kết nối được tin cậy mặc định, điều này cho phép kẻ tấn công có thể gây ra các thiệt hại đáng kể.
Trong môi trường phân tán hiện nay, với dữ liệu và ứng dụng thực thi trên các dịch vụ đám mây từ xa, nhân viên làm việc tại nhà hoặc trên thiết bị cá nhân, cùng với sự gia tăng của các thiết bị di động và IoT, phương pháp bảo mật dựa trên vành đai đã trở nên lỗi thời, dần thay thế bằng mô hình Zero Trust.
Mô hình Zero Trust bao gồm một tập hợp các nguyên tắc và khuyến nghị việc sử dụng các công nghệ và kỹ thuật phù hợp với những nguyên tắc đó. Có nhiều cách tiếp cận kỹ thuật và vận hành khác nhau để triển khai mô hình Zero Trust.
Đánh giá chặt chẽ quyền truy cập: Mô hình Zero Trust giả định rằng các mối đe dọa tiềm ẩn có thể đến từ cả bên trong lẫn bên ngoài mạng và do đó không tin tưởng bất kỳ đối tượng nào. Bất kỳ người dùng hoặc thiết bị nào cố gắng truy cập vào tài nguyên mạng đều phải được xác thực và mỗi yêu cầu truy cập phải được ủy quyền cũng như mã hóa.
Các kỹ thuật phòng ngừa đa dạng: Để ngăn chặn các cuộc tấn công và giảm thiểu thiệt hại, nhiều kỹ thuật phòng ngừa có thể được sử dụng trong mô hình Zero Trust, có thẻ kể đến:
Phương pháp (Multi-factor Authentication - MFA) là cách phổ biến nhất để xác minh danh tính người dùng. Nó yêu cầu người dùng cung cấp ít nhất hai yếu tố xác thực, có thể bao gồm câu hỏi bảo mật, mã xác nhận qua SMS hoặc email, và/hoặc các bài kiểm tra logic. Số lượng phương thức xác thực càng nhiều, mức độ bảo mật của mạng càng cao.
Giới hạn quyền truy cập cho người dùng đã xác thực cũng là một lớp bảo mật giúp xây dựng lòng tin. Mỗi người dùng hoặc thiết bị chỉ được cấp quyền truy cập tối thiểu vào các tài nguyên cần thiết, qua đó giảm thiểu bề mặt tấn công của mạng bất cứ lúc nào. Các tài nguyên còn lại sẽ bị khóa, ngăn cản khả năng lây nhiễm ngang của các thực thể đã bị tấn công.
Phân đoạn nhỏ mạng (Micro-segmentation) là một kỹ thuật bảo mật, tách mạng thành các vùng riêng biệt, mỗi vùng yêu cầu quyền truy cập riêng. Ngay cả khi kẻ tấn công xâm nhập thành công, thiệt hại gây ra sẽ chỉ giới hạn trong phân đoạn mà chúng đã xâm nhập.
Giám sát thời gian thực để phát hiện hoạt động độc hại: Mô hình Zero Trust chủ yếu mang tính phòng ngừa. Tuy nhiên, bên cạnh các biện pháp phòng ngừa, giám sát thời gian thực cũng rất quan trọng, vì nó giúp giảm thiểu khoảng thời gian từ khi bị xâm nhập cho đến lúc mối đe dọa lan rộng ra các hệ thống khác trong mạng. Giám sát nhanh chóng giúp phát hiện, điều tra và khắc phục sự cố, qua đó giảm thiểu thời gian mà kẻ tấn công có thể tận dụng để gây hại.
Phối hợp với chiến lược bảo mật tổng thể: Mô hình Zero Trust không thể thay thế hoàn toàn một chiến lược bảo mật toàn diện. Các năng lực giám sát điểm cuối, phát hiện và phản ứng sự cố cũng rất cần thiết để đảm bảo an toàn cho mạng. Mặc dù các giải pháp công nghệ đóng vai trò quan trọng, nhưng chúng không thể thay thế cho cách tiếp cận bảo mật tổng thể, cần tính đến nhu cầu an ninh mạng rộng lớn hơn và các yêu cầu tuân thủ của tổ chức.
.jpg)
Tính linh hoạt của người dùng và vai trò
Con người đang dần thay đổi cách thức học tập, sinh sống và làm việc, chuyển đổi từ nơi làm việc vật lý, tập trung đa số nhân viên sang cách thức làm việc từ xa, trao đổi nội dung qua môi trường mạng. Chính vì thế, ngày càng nhiều người truy cập dữ liệu từ xa, sử dụng IP cá nhân, router, Wi-Fi công cộng và dịch vụ VPN.
Khách hàng cũng cần truy cập vào các nguồn thông tin của tổ chức. Một người mua sắm trực tuyến cần truy cập vào kho hàng, dịch vụ giao hàng, bản demo và trang web của công ty. Các nhà cung cấp cũng phải có quyền truy cập vào các hoạt động, an toàn và thanh toán.
Cơ sở người dùng cần truy cập vào tài nguyên của công ty rất đa dạng và số lượng điểm truy cập ngày càng tăng. Mỗi nhóm người dùng cần một tập hợp chính sách cụ thể, điều này có thể tốn thời gian để xác định và duy trì. Với tốc độ thay đổi nhanh chóng của nhân viên và khách hàng, các đội ngũ bảo mật có thể nhanh chóng bị quá tải.
Sự gia tăng về số lượng thiết bị
Ngoài yếu tố con người, phần cứng cũng đóng một vai trò quan trọng. Có rất nhiều loại thiết bị di động và máy tính cá nhân mà nhân viên, khách hàng và nhà cung cấp sử dụng để truy cập vào hệ thống của công ty. Chính sách Mang theo thiết bị riêng (Bring your own device - BYOD) của các tổ chức, thiết bị IoT và tư duy "luôn kết nối" dẫn đến sự gia tăng về số lượng tài sản, yêu cầu và giao thức giao tiếp cần được theo dõi và bảo mật liên tục.
Sự tăng trưởng đột biến của ứng dụng
Số lượng thiết bị không thể so sánh với số lượng và sự đa dạng của các ứng dụng mà chúng thực thi. Trong đó, có những ứng dụng được tổ chức phê duyệt và yêu cầu, cũng như những ứng dụng có thể không an toàn. Trong môi trường công nghệ hiện nay, nhiều ứng dụng và dịch vụ hoạt động dựa trên đám mây.
Sự gia tăng lớn về ứng dụng và dịch vụ thúc đẩy năng suất, nhưng đồng thời cũng tạo ra một thách thức khác cho các đội ngũ an ninh , những người phải quyết định cái gì nên cho phép và cái gì nên bị chặn.
Các ứng dụng có thể được chia sẻ với các cơ quan khác, nhà cung cấp hoặc dịch vụ bên thứ ba. Các nền tảng giao tiếp có thể không chỉ giới hạn cho nhân viên mà còn hướng ra bên ngoài. Cần có những chính sách rõ ràng để không cản trở năng suất, nhưng cũng đảm bảo kiểm soát an ninh chặt chẽ và nhất quán.
Dữ liệu và dịch vụ phân tán
Các môi trường dựa trên đám mây được phân phối toàn cầu và có thể truy cập từ bất kỳ đâu, vừa là lợi thế vừa là bất lợi. Các công ty đang lưu trữ ngày càng nhiều tài nguyên nhạy cảm, dữ liệu và ứng dụng trong đám mây và mô hình bảo mật cũ, trong đó các điểm cuối do công ty kiểm soát và mạng doanh nghiệp có thể được bảo mật chặt chẽ sẽ không còn hiệu quả nữa.
Với sự chuyển dịch dần dần sang điện toán biên, các đội ngũ công nghệ thông tin cũng cần thích nghi lại từ các cấu trúc bảo mật tập trung sang các mô hình tin cậy phân tán. Các hệ thống dựa trên biên đại diện cho một rủi ro lớn đối với mô hình Zero Trust và cần được xem xét như các mạng riêng biệt, với các biện pháp kiểm soát và chính sách Zero Trust riêng.
(còn tiếp)
Trần Anh Tú
10:00 | 25/10/2024
07:00 | 17/10/2024
13:00 | 07/10/2024
10:00 | 14/11/2024
13:00 | 07/10/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
10:00 | 27/05/2024
Quản lý rủi ro chuỗi cung ứng (Supply Chain Risk Management - SCRM) là quá trình tìm kiếm và giải quyết các lỗ hổng tiềm ẩn trong chuỗi cung ứng của một doanh nghiệp. Mục đích của SCRM là nhằm giảm thiểu tác động của những rủi ro này đối với hoạt động, thương hiệu và hiệu quả tài chính của doanh nghiệp.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
13:00 | 11/11/2024
