Zero Trust (Không tin cậy, “Không tin ai”) là một chiến lược an ninh mạng để xác thực mọi người dùng, thiết bị, ứng dụng và giao dịch với niềm tin rằng không có người dùng hoặc quy trình nào đáng tin cậy.

Với tất cả sự phức tạp của nó, Internet hiện đại đã mang đến một loạt các nguy cơ xâm phạm bảo mật trên nền tảng số. Hoạt động đều đặn của các vụ đánh cắp dữ liệu và hồ sơ cá nhân đã tạo ra một xu hướng mới và một “câu thần chú” của thời đại Internet mà thậm chí nó còn là một chủ đề của nhiệm kỳ tổng thống Mỹ – “không tin tưởng một ai”.

Vậy Zero Trust là gì?

Zero Trust là một chiến lược an ninh mạng để xác thực mọi người dùng, thiết bị, ứng dụng và giao dịch với niềm tin rằng không có người dùng hoặc quy trình nào đáng tin cậy. Định nghĩa đó xuất phát từ báo cáo NSTAC, một tài liệu dài 56 trang về Zero Trust được biên soạn vào năm 2021 bởi Ủy ban Cố vấn Viễn thông An ninh Quốc gia Hoa Kỳ.

Trong một cuộc phỏng vấn, John Kindervag, cựu nhà phân tích của Forrester Research, người đã tạo ra thuật ngữ này, lưu ý rằng ông định nghĩa nó theo cách này trong Từ điển Zero Trust của mình: Zero Trust là một sáng kiến ​​chiến lược giúp ngăn chặn vi phạm dữ liệu bằng cách loại bỏ sự tin tưởng (vô điều kiện) trên nền tảng số theo cách có thể được triển khai bằng các công nghệ có sẵn, và sẽ cải thiện theo thời gian.

>>> Xem thêm: máy chủ dell r260

Những điểm cơ bản của Zero Trust là gì?

Trong báo cáo năm 2010, Kindervag đã đưa ra ba nguyên lý cơ bản của Zero Trust. Vì tất cả các trao đổi trên mạng đều không nên được tin cậy, ông nói rằng người dùng phải:

• Xác minh và bảo mật tất cả các tài nguyên.

• Giới hạn và thực thi kiểm soát nghiêm ngặt các truy cập.

• Kiểm tra và ghi lại tất cả lưu lượng mạng.

Đó là lý do tại sao Zero Trust đôi khi được biết đến với phương châm, “Không bao giờ tin tưởng, Luôn luôn xác minh.”

Làm thế nào để bạn thực hiện Zero Trust?

Như các định nghĩa cho thấy, không tin cậy không phải là một kỹ thuật hoặc sản phẩm đơn lẻ, mà là một tập hợp các nguyên tắc cho chính sách bảo mật hiện đại.

Trong báo cáo năm 2020 , Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã có hướng dẫn chi tiết về việc thực hiện không tin cậy.

Cách tiếp cận chung của nó được mô tả trong biểu đồ trên. Nó sử dụng hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) để thu thập dữ liệu và chẩn đoán liên tục và giảm thiểu (CDM) để phân tích nó và phản hồi với những thông tin chi tiết và sự kiện mà nó phát hiện.

Đó là một ví dụ về kế hoạch bảo mật còn được gọi là kiến ​​trúc không tin cậy (ZTA) tạo ra một mạng an toàn hơn được gọi là môi trường tin cậy không.

Nhưng một kích thước không phù hợp với tất cả trong độ tin cậy bằng không. Không có “kế hoạch triển khai duy nhất cho ZTA vì mỗi doanh nghiệp sẽ có các trường hợp sử dụng và tài sản dữ liệu duy nhất,” báo cáo của NIST cho biết.

>>> Xem thêm: máy chủ dell r360

Năm bước để thực hiện Zero Trust

Công việc triển khai không tin cậy Zero Trust có thể được tóm tắt thành năm bước chính:

Nó bắt đầu bằng cách xác định cái gọi là bề mặt bảo vệ, những gì người dùng muốn bảo mật. Bề mặt bảo vệ có thể mở rộng các hệ thống bên trong văn phòng công ty, đám mây và biên.

Từ đó, người dùng tạo bản đồ các giao dịch thường xuyên qua mạng của họ và kiến ​​trúc không tin cậy để bảo vệ chúng. Sau đó, họ thiết lập các chính sách bảo mật cho mạng.

Cuối cùng, họ giám sát lưu lượng mạng để đảm bảo các giao dịch nằm trong các chính sách.

Cả báo cáo NSTAC và Kindervag đều đề xuất các bước thực hiện này để tạo ra một môi trường không tin cậy.

Điều quan trọng cần lưu ý là không tin tưởng là một cuộc hành trình không phải là một điểm đến. Các nhà tư vấn và các cơ quan chính phủ khuyến nghị người dùng áp dụng mô hình đáo hạn bằng không để ghi lại các cải tiến bảo mật của tổ chức theo thời gian.

Cơ quan An ninh Cơ sở hạ tầng An ninh Mạng, thuộc Bộ An ninh Nội địa Hoa Kỳ, đã mô tả một mô hình như vậy (xem biểu đồ bên dưới) trong một tài liệu năm 2021 .

Trên thực tế, người dùng trong môi trường không tin cậy yêu cầu quyền truy cập vào từng tài nguyên được bảo vệ riêng biệt. Họ thường sử dụng xác thực đa yếu tố (MFA) chẳng hạn như cung cấp mật khẩu trên máy tính, sau đó là mã được gửi đến điện thoại thông minh.

Báo cáo NIST liệt kê các thành phần cho một thuật toán (bên dưới) xác định xem người dùng có được quyền truy cập vào tài nguyên hay không.

“Tốt nhất, một thuật toán ủy thác nên theo ngữ cảnh, nhưng điều này không phải lúc nào cũng có thể thực hiện được”, nguồn lực của một công ty cho biết.

Một số người cho rằng việc tìm kiếm một thuật toán để đo lường mức độ đáng tin cậy là đi ngược lại với triết lý về độ tin cậy. Những người khác lưu ý rằng học máy có nhiều thứ để cung cấp ở đây, nắm bắt ngữ cảnh của nhiều sự kiện trên mạng để giúp đưa ra quyết định đúng đắn về quyền truy cập.