-
06/07/2013
-
797
-
1.308 bài viết
Tổng quan về Zero Trust
Zero Trust là gì?
Zero Trust là mô hình bảo mật yêu cầu xác minh danh tính nghiêm ngặt cho mọi người và thiết bị cố gắng truy cập tài nguyên trên mạng riêng, bất kể họ đang bên trong hay ngoài mạng. Zero Trust là một cách tiếp cận toàn diện đối với an ninh mạng kết hợp nhiều nguyên tắc và công nghệ khác nhau.
Nói một cách đơn giản hơn: bảo mật mạng truyền thống tin cậy mọi người và mọi thứ bên trong mạng. Một kiến trúc Zero Trust không tin tưởng bất kỳ ai và thứ gì.
An ninh mạng truyền thống hoạt động như lâu đài và hào. Trong bảo mật theo mô hình lâu đài và hào, thật khó để có được quyền truy cập từ bên ngoài mạng, nhưng mọi người bên trong mạng đều được tin cậy theo mặc định. Vấn đề với cách tiếp cận này là một khi kẻ tấn công có quyền truy cập vào mạng, chúng có quyền kiểm soát mọi thứ bên trong.
Lỗ hổng trong hệ thống bảo mật lâu đài và hào càng trở nên trầm trọng hơn do các công ty không còn lưu trữ dữ liệu của họ ở một nơi nữa. Ngày nay, thông tin thường được lan truyền giữa các nhà cung cấp dịch vụ đám mây, điều này khiến việc kiểm soát bảo mật duy nhất cho toàn bộ mạng trở nên khó khăn hơn.
Zero Trust có nghĩa là không có ai được tin cậy theo mặc định từ bên trong hoặc bên ngoài mạng và yêu cầu xác minh từ tất cả những người cố gắng truy cập vào các tài nguyên trên mạng. Lớp bảo mật bổ sung này đã được chứng minh là có thể ngăn chặn vi phạm dữ liệu. Các nghiên cứu từ IBM đã chỉ ra rằng chi phí trung bình cho một vụ vi phạm dữ liệu là hơn 3 triệu đô la. Con số thiệt hại biết nói này khiến nhiều tổ chức quan tâm hơn đến bảo mật và áp dụng Zero Trust.
Các nguyên tắc chính của bảo mật Zero Trust
Giám sát liên tục và xác minh
Triết lý phía sau mạng Zero Trust giả định rằng có những kẻ tấn công cả bên trong và bên ngoài mạng, vì vậy không có người dùng hoặc thiết bị nào được tự động tin cậy. Zero Trust xác minh danh tính và đặc quyền của người dùng cũng như danh tính và bảo mật của thiết bị. Quá trình đăng nhập và kết nối sẽ hết thời gian chờ định kỳ sau khi được thiết lập, buộc người dùng và thiết bị phải liên tục được xác minh lại.Đặc quyền tối thiểu
Một nguyên tắc khác của Zero Trust là sử dụng đặc quyền tối thiểu. Điều này có nghĩa là chỉ cung cấp cho người dùng quyền truy cập khi họ cần. Điều này giảm thiểu sự tiếp xúc của mỗi người dùng với các phần nhạy cảm của mạng. Việc triển khai đặc quyền tối thiểu liên quan đến việc quản lý cẩn thận các quyền của người dùng.
Kiểm soát truy cập thiết bị
Ngoài việc kiểm soát quyền truy cập của người dùng, Zero Trust cũng yêu cầu kiểm soát chặt chẽ quyền truy cập thiết bị. Hệ thống Zero Trust cần theo dõi có bao nhiêu thiết bị khác nhau đang cố gắng truy cập vào mạng, đảm bảo rằng mọi thiết bị đều được cấp phép và đánh giá tất cả các thiết bị để đảm bảo chúng không bị xâm phạm. Điều này tiếp tục giảm thiểu bề mặt tấn công (attack surface) của mạng.Phân đoạn vi mô (microsegmentation)
Phân đoạn vi mô (microsegmentation) là kỹ thuật giúp chia các trung tâm dữ liệu và môi trường đám mây thành các phân đoạn theo mức khối lượng công việc riêng lẻ. Các tổ chức thực hiện phân đoạn vi mô để giảm bề mặt tấn công, đạt được sự tuân thủ quy định và ngăn chặn các vi phạm.
Ví dụ: một mạng có các tập tin nằm trong một trung tâm dữ liệu sử dụng phân đoạn vi mô có thể chứa hàng chục vùng riêng biệt, an toàn. Một người hoặc chương trình có quyền truy cập vào một trong các khu vực đó sẽ không thể truy cập bất kỳ khu vực nào khác nếu không được cấp phép riêng.
Ngăn chặn “lateral movement”
Zero Trust được thiết kế để chứa những kẻ tấn công để chúng không tấn công theo chiều ngang. Vì quyền truy cập Zero Trust được phân đoạn và phải được thiết lập lại định kỳ, kẻ tấn công không thể tấn công sang các phân đoạn nhỏ khác trong mạng. Một khi sự hiện diện của kẻ tấn công được phát hiện, thiết bị hoặc tài khoản người dùng bị xâm nhập có thể bị cách ly, không cho truy cập nữa.Xác thực đa yếu tố (MFA)
Xác thực đa yếu tố (MFA) cũng là một giá trị cốt lõi của bảo mật Zero Trust. MFA có nghĩa là yêu cầu nhiều hơn một yếu tố để xác thực người dùng, chỉ nhập mật khẩu là không đủ để có được quyền truy cập. Một ứng dụng thường thấy của MFA là xác thực 2 yếu tố (2FA) được sử dụng trên các nền tảng trực tuyến như Facebook và Google. Ngoài việc nhập mật khẩu, người dùng bật 2FA cho các dịch vụ này cũng phải nhập mã được gửi đến một thiết bị khác, chẳng hạn như điện thoại di động, do đó cung cấp hai phần bằng chứng cho thấy là chính họ đăng nhập..
Lịch sử của Zero Trust
Thuật ngữ "Zero Trust" được đặt ra bởi một nhà phân tích tại Forrester Research vào năm 2010. Vài năm sau, Google thông báo rằng họ đã triển khai bảo mật Zero Trust trong mạng của mình, điều này khiến cộng đồng công nghệ ngày càng quan tâm đến việc áp dụng Zero Trust.
Chỉnh sửa lần cuối: