Zero Trust là gì?
Zero Trust (ZT) có lẽ là một trong những chủ đề được nhắc đến nhiều nhất trên thị trường an ninh mạng hiện nay. Nếu bạn đã tham dự bất kỳ hội nghị thuộc mạng lưới mạng nào trên thế giới trong 2 năm qua, rất có khả năng bạn đã nghe qua “thứ" Zero Trust này. Nhưng Zero Trust là gì? Khái niệm và ý tưởng này bắt nguồn từ đâu? Và tại sao chúng ta lại đang đối mặt với rất nhiều thông tin của các “shenanigans Zero Trust” này?
Để hiểu Zero Trust là gì, chúng ta phải quay lại thời gian vào khoảng 16 năm tại Diễn đàn Jericho. Đây là một nhóm các học giả ngồi thảo luận về các vấn đề tiếp tuyến (tangential issues) trong an ninh mạng và cách họ sử dụng kiến thức của mình để giải quyết vấn đề cốt lõi đó. Vào thời điểm này, ở gần hai thập kỷ trước, các doanh nghiệp chính là NGFW, tường lửa dành thế hệ mới. Thiết bị toàn năng này được dự đoán sẽ thay đổi toàn bộ cuộc chơi trong việc loại bỏ những mối đe doạ và giúp phân mảnh hệ thống on-perimeter và hạ tầng on-perimeter.
Mặc dù đây là điều khá mới mẻ thời điểm đó, nhưng nó không khác gì một công cụ phân mảnh hạ tầng mạnh mẽ hơn hẳn các công cụ thời điểm đó. Đó đã trở thành một trường hợp được các thành viên của Diễn đàn Jericho sử dụng khái niệm nghiên cứu về "An ninh khử nhiễu". Về cơ bản, NGFW được tận dụng triệt để để mở rộng kiểm soát và phân mảnh trong toàn bộ cơ sở hạ tầng một cách linh hoạt hơn hẳn không chỉ tập trung vào một “wall" lớn ở rìa mạng. Thay vào đó, đây sẽ là một chuỗi các phân mảnh chi tiết hơn với các điều khiển tập trung hơn và giám sát được cải thiện. Đây sẽ là một bước ngoặt trong cơ sở hạ tầng an toàn được dự đoán từ trước, tuy nhiên, trong thực tế, không ai chú ý đến điều này trừ các các thành viên của Diễn đàn Jericho, và một nhà phân tích của Forrester - John Kindervag.
Jon đủ tầm nhìn để nhìn thấy ứng dụng của phương pháp này là có giá trị, và có thể thay đổi trò chơi, từ đó có cơ sở hạ tầng an toàn hơn và dễ kiểm soát hơn ở quy mô. Jon nhìn thấy sức mạnh sắp tới của “cloud" và tiềm năng cho các vấn đề mà cơ sở hạ tầng đa dạng và ngày càng phát triển có thể tạo ra. Ông cũng có tầm nhìn xa để nhận ra rằng thế giới đang chuyển sang một không gian BYOD (Mang theo thiết bị của riêng bạn) như một phương pháp chính để tạo ra không gian làm việc.
Với nhận thức đó, nền tảng của ông về an ninh mạng, Jon đã tìm kiếm điểm thất bại đơn lẻ nhất trong trạng thái tương lai đó. Sau một năm nghiên cứu, ông đã kết luận rằng sự “tin tưởng” được thiết lập ngay từ đầu với ngụ ý trong tình trạng kiến trúc tương lai này sẽ là điềm báo cho sự thất bại của nó. Đối với nhiều chia sẻ mặc định, kết nối quá mức và truy cập không bị chặn sẽ là vấn đề đối với bất kỳ doanh nghiệp nào bị xâm phạm và Jon biết rằng thỏa hiệp là một điều chắc chắn, không phải là một khả năng.
Với cơ sở đó, Jon đã đặt ra thuật ngữ Zero Trust và bắt đầu sứ mệnh truyền bá Phúc âm của mình rằng, “Trust” là phần quan trọng nhất để kiểm soát trong bất kỳ cơ sở hạ tầng nào và tại thời điểm đó, sử dụng Tường lửa thế hệ tiếp theo (NGFW) là một cách để làm. Và đó là nơi Zero Trust tập trung trong thập kỷ tới hoặc lâu hơn, cho đến khoảng năm 2017 khi công nghệ cuối cùng đã bắt kịp và các phương pháp tiếp cận thực tế hơn đối với cơ sở hạ tầng an toàn hiện đại đã trở thành một phần của tình trạng Zero Trust năm 2020.
Khi cơ sở hạ tầng phát triển và nhu cầu kết nối an toàn của các nhân viên BYOD đã trở thành tiêu chuẩn cho nơi làm việc, VPN trở thành ứng dụng tiêu chuẩn bảo mật trực tuyến, được áp dụng để giúp kích hoạt làm việc từ xa trên mạng. Mặc dù lúc đầu, đó có vẻ là một khái niệm và cách tiếp cận vấn đề tuyệt vời, nhưng thực tế, nhờ vào những vi phạm lớn có chứa tên người dùng và mật khẩu và các vụ hack nhà nước quốc gia đã làm tổn hại đến các nhà cung cấp VPN, VPN trở thành một trở ngại không nhỏ cho người dùng tốt nhất và một con đường trực tiếp cho tin tặc vào hack trong trường hợp tồi tệ nhất.
VPN đã không làm gì nhiều hơn là chọc các lỗ hổng trong các hệ thống Zero Trust đầu tiên, và cho phép kết nối trực tiếp vào các hệ thống cho kẻ xấu. NGFW và phân đoạn không thể khắc phục sự cố của VPN khi người dùng BYOD bị xâm phạm với mật khẩu và quyền quản trị của các hacker. Công nghệ này đã gây đau đầu cho các doanh nghiệp trong gần một thập kỷ.
Trình duyệt cách ly, ảo hóa và SDN
Chúng ta đến trạng thái hiện đại của ngành công nghiệp vào thời điểm hiện tại, Software-Defined Networking, trình duyệt cách ly và ảo hóa cơ sở hạ tầng là chìa khóa cho bất kỳ hệ thống Zero Trust nào trong tương lai. Một không gian động, trong đó mọi thứ có thể làm việc từ xa an toàn và nhu cầu xác thực dựa trên mật khẩu không thành công có thể được loại bỏ. Cơ sở hạ tầng True Zero Trust cuối cùng có thể được triển khai vì các công cụ hoặc khả năng này đã phù hợp với thực tế của những gì cần thiết để kích hoạt sáng kiến chiến lược quan trọng này. Hiện tại, việc sử dụng kết hợp các kỹ thuật quan trọng này cho phép doanh nghiệp áp dụng các nguyên lý cơ bản của Zero Trust, loại bỏ các vấn đề cấu hình mặc định gây khó khăn cho cơ sở hạ tầng an toàn và có thể cho phép nhân viên năng động hơn.
Zero Trust không phải là một sáng kiến đơn độc, nó là một chiến lược bao gồm tất cả
Hãy suy nghĩ về cách bạn muốn làm việc, hoặc thậm chí tốt hơn cách bạn muốn nhân viên của mình làm việc. Đặc biệt như bây giờ chúng ta thấy rằng làm việc từ xa và BYOD là tiêu chuẩn mới, đây không phải là sự lựa chọn cho các doanh nghiệp. Để có thêm một doanh nghiệp sử dụng Zero Zero Trusty, và một doanh nghiệp thực sự hoạt động dễ dàng hơn, bạn sẽ muốn loại bỏ VPN, đẩy kiểm soát bảo mật từ bên trong cơ sở hạ tầng ra ngoài và cũng cho phép truy cập liên tục. Và làm tất cả điều đó trong khi không bao giờ ảnh hưởng đến trải nghiệm người dùng. Bạn sẽ muốn sử dụng các giao thức khó khăn hơn để sử dụng để khai thác. Điều này có nghĩa là HTTP thay vì RDP. Cuối cùng, bạn sẽ muốn loại bỏ các sự cố xảy ra xung quanh các máy cũ hoặc lỗi thời mà người dùng có thể muốn xử lý khi chúng hoạt động trong doanh nghiệp của bạn. Điều đó sẽ vô cùng khó khăn nếu bạn cố gắng tự mình xây dựng nó và cách tiếp cận đó sẽ đòi hỏi những khoản đầu tư lớn về thời gian và công sức để đi đến trạng thái cuối cùng đó.
Awingu, Zero Trust giúp bảo mật BYOD
Rất may, Awingu có chính xác loại khả năng này đã sẵn sàng để triển khai cho khách hàng của mình. Với Awingu, người dùng không bao giờ thực sự sử dụng mạng trên mạng và không cần VPN. Bằng cách sử dụng sức mạnh động của cơ sở hạ tầng ảo hóa kết hợp với cách ly trình duyệt, toàn bộ không gian làm việc cho người dùng đã được đẩy ra cho họ trong một kết nối ảo.
Người dùng cuối đăng nhập thông qua trình duyệt của thiết bị BYOD (hoặc được quản lý) của họ. Họ có quyền truy cập vào các ứng dụng, máy tính để bàn và tệp được xuất bản từ xa, trong HTML5. Không có dữ liệu nằm ở máy tính cá nhân. Ngay cả khi thiết bị bị xâm phạm, không có quyền truy cập trực tiếp vào tài sản của công ty bạn.
Không có đường truyền nào có thể được sử dụng bởi các tin tặc độc hại, tất cả các phiên đều được mã hóa và MFA là một ưu đãi tích hợp mặc định cho tất cả khách hàng. Người dùng cũng được xác thực liên tục khi họ hoạt động trong phiên từ xa an toàn đó và hệ thống được tích hợp khả năng Đăng nhập một lần (SSO) để đăng nhập và dễ sử dụng.
.jpg/fa9cc9e7-c551-71a2-e2ed-5394c66c561f)