Nền tảng zero-trust bao gồm nhiều yếu tố cần được bảo mật, trong đó có yếu tố hệ thống mạng. Đối với yếu tố này, cần tạo ra vành đai vật lý và logic để tách biệt cơ sở hạ tầng tin cậy với các thiết bị và người dùng cuối không tin cậy.
Các phân đoạn mạng bao gồm: mạng LAN, mạng LAN không dây, mạng WAN và mạng có các kết nối truy cập từ xa. Các quy trình, kiểm soát và công nghệ thích hợp cần phải được áp dụng trong từng phân đoạn mạng để quản lý ứng dụng và truy cập dữ liệu một cách an toàn.
Dưới đây là một số phương thức xây dựng và quản lý mạng zero-trust cho TC/DN mà đội ngũ hệ thống mạng và đội ngũ bảo mật có thể áp dụng.
Nhận diện người dùng và thiết bị
Bước đầu tiên trong việc xây dựng mạng zero-trust là nhận diện người dùng và thiết bị đang cố gắng kết nối với mạng. Hầu hết, các TC/DN sử dụng một hoặc nhiều công cụ nhận dạng và quản lý truy cập. Người dùng hoặc thiết bị lạ cần phải chứng minh nhận dạng của mình, bằng cách sử dụng các phương thức xác thực như: mật khẩu hoặc xác thực đa yếu tố. Đối với người dùng cuối, điều quan trọng là quy trình này phải đơn giản, liền mạch và thống nhất, bất kể họ đang kết nối ở đâu, khi nào và bằng cách thức nào.
Thiết lập kiểm soát truy cập và phân đoạn mạng vi mô
Khi nền tảng zero-trust nhận dạng thành công người dùng hoặc thiết bị, bước tiếp theo cần phải có là kiểm soát việc cấp quyền cho ứng dụng, tập tin và dịch vụ để truy cập tới những gì thực sự cần thiết. Tùy thuộc vào công nghệ được sử dụng, kiểm soát truy cập có thể hoàn toàn dựa trên danh tính người dùng, hoặc có thể kết hợp với một số hình thức phân đoạn mạng. Một trong số đó là phân đoạn vi mô (microsegmentation) với mục đích tạo các tập hợp con rất nhỏ và bảo mật trong mạng lưới, mà người dùng hoặc thiết bị chỉ có thể kết nối và truy cập tới các tài nguyên và dịch vụ cần thiết.
Phân đoạn vi mô là giải pháp hiệu quả về góc độ bảo mật, vì nó làm giảm đáng kể các tác động tiêu cực đến cơ sở hạ tầng nếu xảy ra vi phạm an toàn mạng. Tường lửa thế hệ tiếp theo (next-generation firewall) là công nghệ phổ biến nhất được sử dụng để tạo và kiểm soát các phân đoạn vi mô trong mạng của TC/DN. Loại tường lửa này cung cấp khả năng hiển thị mạng tới tầng ứng dụng của mô hình OSI (hay còn gọi là Tầng 7). Từ đó, các đội ngũ có thể xây dựng và quản lý chính sách truy cập logic đối với mỗi ứng dụng đi qua mạng.
Các bước và công cụ tương ứng có thể sử dụng trong việc xây dựng hệ thống mạng zero-trust
Triển khai giám sát mạng liên tục
Giám sát hành vi thiết bị là một nhiệm vụ khác trong hệ thống mạng zero-trust. Khi đã cấp quyền truy cập, các đội ngũ cần triển khai các công cụ giám sát liên tục hành vi thiết bị trên mạng. Nắm rõ được người dùng hoặc thiết bị nào đang trao đổi với ai và ở tần số nào có thể giúp xác định xem hệ thống mạng có đang hoạt động bình thường hay không, hay đang xuất hiện hành vi độc hại. Các công cụ giám sát hiện đại ứng dụng các công nghệ trí tuệ nhân tạo, học máy và phân tích dữ liệu giúp phát hiện chính xác các hoạt động trên các nền tảng ứng dụng công nghệ thông tin.
Xem xét việc truy cập từ xa
Truy cập từ xa là tác vụ ngày càng quan trọng trong cơ sở hạ tầng mạng của bất kỳ TC/DN nào. Kết nối mạng riêng ảo (VPN) truyền thống đã được chứng minh là cồng kềnh và kém hiệu quả trong kỷ nguyên điện toán đám mây lai (hybrid cloud computing). Ngoài ra, kiểm soát truy cập VPN vẫn cho phép quyền truy cập mạng quá nhiều so với những gì doanh nghiệp cần, từ đó có thể khiến truy cập từ xa trở thành một rủi ro bảo mật lớn.
Để khắc phục vấn đề này, các nhà cung cấp đã đưa ra các phương pháp và dịch vụ truy cập từ xa mới như truy cập từ xa dựa trên đám mây, để đưa kết nối từ xa phù hợp với lý thuyết zero-trust hơn. Lợi ích của phương thức truy cập từ xa dựa trên đám mây bao gồm: cải thiện khả năng xác thực; cung cấp khả năng phân đoạn vi mô cho tất cả người dùng truy cập từ xa; tăng khả năng hiển thị, giám sát và ghi nhật ký; cung cấp khả năng kiểm soát tập trung tất cả các quyền truy cập (cả tại chỗ và trên đám mây).
Trong khi các TC/DN vẫn sử dụng VPN truy cập từ xa để kết nối an toàn, thì công nghệ này đang thay đổi mạnh mẽ để đáp ứng với nhu cầu của TC/DN.
Tác nhân nào nên quản lý mạng zero-trust?
Khi các TC/DN CNTT đang bắt đầu xem xét cách xây dựng hệ thống zero-trust trên cơ sở hạ tầng, thì câu hỏi đầu tiên thường là: Tác nhân nào nên quản lý các thành phần mạng zero-trust? Đây không phải là một câu hỏi dễ dàng vì phần lớn câu trả lời liên quan đến cách thức cấu trúc của bộ phận CNTT, tức là tác nhân nào sẽ có khả năng xử lý một số nhiệm vụ nhất định.
Đội ngũ bảo mật nên phát triển và duy trì kiến trúc zero-trust tổng thể. Điều này có nghĩa, đội ngũ hệ thống mạng nên triển khai và quản lý các phần nhất định của nền tảng zero-trust, chẳng hạn như các công cụ và dịch vụ mạng. Bởi đội ngũ hệ thống mạng có nhiều kinh nghiệm hơn trong việc định cấu hình và quản lý các công cụ mạng trong hệ thống mạng zero-trust, như bộ chuyển mạch mạng, bộ định tuyến, tường lửa, VPN truy cập từ xa và các công cụ giám sát mạng. Mặc dù vai trò và nhiệm vụ này có thể do đội ngũ hệ thống mạng đảm nhiệm, nhưng điều quan trọng là đội ngũ bảo mật cần thực hiện kiểm toán thường xuyên để đảm bảo hệ thống mạng tuân thủ đúng tất cả các quy trình để làm nên một hệ thống mạng zero-trust hoàn chỉnh.
T.U
(Theo Tech Target)
08:00 | 20/01/2020
08:00 | 07/05/2024
17:00 | 31/10/2019
13:00 | 23/06/2022
10:00 | 25/09/2020
14:00 | 02/08/2023
14:00 | 24/10/2019
14:00 | 04/02/2025
Hệ thống Internet vạn vật (IoT) đang được ứng dụng vào nông nghiệp, công nghiệp, quân sự và thiết lập hệ thống giám sát các thiết bị gia dụng trong gia đình. Đặc điểm chính của các hệ thống này phổ biến dùng vi điều khiển trên nền tảng arduino kết hợp với một server miễn phí. Đây là một nhược điểm rất lớn do độ ổn định theo thời gian dài của vi điều khiển là không cao, tính bảo mật thấp, khả năng bị tấn công và bị chiếm quyền điều khiển là rất cao. Vì vậy cần loại bỏ các nhược điểm này trong các hệ thống điều khiển thông qua chuẩn IoT công nghiệp. Bài viết trình bày nghiên cứu xây dựng một mạng SCADA (Supervisory Control and Data Acquisition) công nghiệp có thể giám sát và thu thập dữ liệu qua Internet, đảm bảo tính bảo mật và an toàn của hệ thống.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
09:00 | 25/07/2024
Thế vận hội Olympics – một sự kiện thể thao lớn nhất trong năm 2024 sẽ được bắt đầu vào ngày 27/7 tại Paris, Pháp. Đây sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công nhắm vào các tổ chức, cá nhân với động cơ trực tiếp là tài chính thông qua các hình thức như lừa đảo, gian lận kỹ thuật số hoặc thu thập dữ liệu có giá trị từ người tham dự, người xem và nhà tài trợ.
09:00 | 18/07/2024
Mới đây, Bộ Công an đã thông tin về tình trạng tin nhắn tin nhắn thương hiệu (SMS Brandname) giả mạo phần lớn xuất phát từ việc các đối tượng sử dụng trạm phát sóng BTS giả mạo để gửi hàng loạt tin nhắn lừa đảo tới người dùng với mục đích nhằm chiếm đoạt tài sản.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025