Mô hình bảo mật Zero Trust không phải là mới. Nó xuất hiện kể từ khi John Kindervag từ Forrester Research viết bài báo của mình “Không còn Trung tâm Chewy:Giới thiệu Mô hình Zero Trust về Bảo mật Thông tin” vào năm 2010.
Phương pháp Zero Trust tập trung vào niềm tin rằng không có người dùng hoặc ứng dụng nào nên đáng tin cậy, ngay cả những người đã nằm trong chu vi mạng.
Ý tưởng này đã được các công ty và tổ chức lớn như Google, Coca-Cola và NSA chấp nhận để chống lại các mối đe dọa tấn công mạng ngày càng tăng. Tuy nhiên, vẫn có những rào cản cản trở việc áp dụng chính thống của nó.
Những lầm tưởng về Zero Trust Security
Khi sự quan tâm của các tổ chức đối với phương pháp tiếp cận mô hình Zero-Trust tăng lên, một số quan niệm sai lầm về các nguyên tắc cơ bản của khuôn khổ đã cản trở việc áp dụng. Dưới đây là một vài lầm tưởng mà bạn không nên tin.
Myth One:Zero Trust tạo ra một nền văn hóa không tin tưởng
Một quan niệm sai lầm phổ biến về Zero Trust là nó thúc đẩy ý tưởng không tin tưởng nhân viên của bạn. Mặc dù khuôn khổ Zero Trust yêu cầu các công ty xem xét kỹ lưỡng người dùng truy cập tài nguyên mạng của họ, nhưng nó không nên bị hiểu sai thành một thứ gì đó mang tính cá nhân.
Thực tế là niềm tin đại diện cho một lỗ hổng có thể khiến tổ chức của bạn có nguy cơ bị tấn công. Tội phạm mạng đặc biệt khai thác lòng tin cho các công ty mục tiêu và Zero Trust cung cấp một cách để giảm thiểu điều này. Nó tương đương với một thẻ chìa khóa vào cửa thay vì cho phép mọi người vào một tòa nhà.
Bằng cách sử dụng Nguyên tắc ít đặc quyền nhất (POLP), các tổ chức có thể cá nhân hóa các chính sách ngưỡng của họ để người dùng chỉ được cấp quyền truy cập vào các tài nguyên họ cần dựa trên sự tin tưởng mà họ đã kiếm được.
Huyền thoại thứ hai:Zero Trust là một sản phẩm
Zero Trust là một chiến lược hoặc khuôn khổ, không phải là một sản phẩm. Nó được xây dựng dựa trên ý tưởng không bao giờ tin tưởng và luôn xác minh.
Các sản phẩm khác nhau được cung cấp bởi các nhà cung cấp có thể giúp đạt được Zero Trust; tuy nhiên, chúng không phải là sản phẩm của Zero Trust. Chúng chỉ đơn thuần là những sản phẩm hoạt động tốt trong môi trường Zero Trust. Vì vậy, nếu một nhà cung cấp yêu cầu bạn mua sản phẩm Zero Trust của họ, đó là dấu hiệu họ không hiểu khái niệm cơ bản.
Khi được tích hợp đúng cách với kiến trúc Zero Trust, các sản phẩm khác nhau có thể giảm thiểu hiệu quả bề mặt tấn công và chứa bán kính vụ nổ trong trường hợp vi phạm. Sau khi được triển khai đầy đủ, giải pháp Zero Trust với xác minh liên tục có thể loại bỏ hoàn toàn bề mặt tấn công.
Huyền thoại thứ ba:Chỉ có một cách để thực hiện Zero Trust
Zero Trust là một tập hợp các nguyên tắc bảo mật liên quan đến việc xác minh liên tục, Nguyên tắc về quyền truy cập ít đặc quyền nhất và giảm thiểu bề mặt tấn công.
Trong những năm qua, hai cách tiếp cận đã xuất hiện để bắt đầu với mô hình Zero Trust. Cách tiếp cận đầu tiên bắt đầu với danh tính và liên quan đến xác thực đa yếu tố, mang lại kết quả nhanh chóng.
Cách tiếp cận thứ hai là lấy mạng làm trung tâm và bắt đầu với việc phân đoạn mạng. Khái niệm liên quan đến việc tạo các phân đoạn mạng để kiểm soát lưu lượng trong và giữa các phân đoạn đó. Sau đó, quản trị viên mạng có thể duy trì ủy quyền riêng biệt cho từng phân đoạn, do đó hạn chế sự lây lan của các mối đe dọa bên trong hệ thống.
Huyền thoại thứ tư:Zero Trust Chỉ phục vụ các doanh nghiệp lớn
Google là một trong những công ty đầu tiên triển khai kiến trúc Zero Trust để đối phó với Chiến dịch Aurora vào năm 2009. Đây là một loạt các cuộc tấn công nhằm vào các doanh nghiệp lớn như Google, Yahoo, Morgan Stanley và Adobe Systems.
Khi Google áp dụng mô hình Zero Trust ngay sau các cuộc tấn công, nhiều doanh nghiệp đã nghĩ (và vẫn nghĩ) nó chỉ áp dụng cho các tổ chức lớn. Khái niệm này sẽ chỉ đúng nếu các cuộc tấn công mạng chỉ giới hạn trong các doanh nghiệp lớn, điều này không đúng. Trên thực tế, khoảng 46% các vụ vi phạm dữ liệu vào năm 2021 là nhằm vào các doanh nghiệp nhỏ.
Trong khi các phương tiện truyền thông có xu hướng đưa tin về các vụ vi phạm dữ liệu ảnh hưởng đến các doanh nghiệp lớn, không nghi ngờ gì khi các doanh nghiệp nhỏ cũng cần được bảo vệ trước các cuộc tấn công mạng.
Tin tốt là các tổ chức nhỏ không phải phá vỡ ngân hàng để triển khai mô hình Zero Trust. Vì nó không phải là một sản phẩm, các doanh nghiệp có thể giới thiệu nó dần dần bằng cách phân bổ một khoản đầu tư hàng năm khiêm tốn vào kiến trúc Zero Trust.
Myth Five:Zero Trust Impedes User Experience
Một trong những trở ngại đối với việc áp dụng Zero Trust là tác động nhận thức được đối với trải nghiệm người dùng. Có thể hiểu được khi cho rằng năng suất và sự nhanh nhẹn của người dùng sẽ bị ảnh hưởng khi liên tục xác minh danh tính của người dùng. Tuy nhiên, khi được triển khai một cách thích hợp, Zero Trust có thể mang lại trải nghiệm thân thiện với người dùng.
Các tổ chức có thể đánh giá hồ sơ người dùng và kết hợp xác thực dựa trên rủi ro với học máy để xác định rủi ro và đưa ra quyết định truy cập nhanh chóng. Nếu rủi ro cao, hệ thống có thể yêu cầu một bước xác thực bổ sung hoặc chặn hoàn toàn quyền truy cập để bảo vệ tài nguyên của nó. Ngược lại, nó có thể loại bỏ các thách thức xác thực nếu rủi ro thấp.
Phương pháp tiếp cận Zero Trust cũng làm giảm sự phức tạp về mặt quản trị của mọi việc. Các nhà thầu và nhân viên sẽ không còn là nghĩa vụ bảo đảm trong trường hợp họ ngừng kinh doanh với bạn. Theo mô hình Zero Trust hiệu quả, hệ thống sẽ ngay lập tức chấm dứt quyền truy cập của họ vào các tài sản chính, loại bỏ các cửa sau.
Myth Six:Zero Trust chỉ giới hạn trong môi trường On-Prem
Nhiều doanh nghiệp vẫn xem Zero Trust là mô hình chỉ có thể quản lý tại chỗ. Điều này trở thành một vấn đề lớn vì dữ liệu nhạy cảm hiện nằm trong các môi trường kết hợp và đám mây. Với sự gia tăng của các cuộc tấn công và tấn công mạng ảnh hưởng đến kiến trúc tại chỗ, ngày càng có nhiều doanh nghiệp chuyển sang sử dụng đám mây.
Tin tốt là Zero Trust đang nhanh chóng phát triển cùng với nó.
Bằng cách thiết lập kiến trúc Zero Trust trên đám mây, các công ty có thể bảo vệ dữ liệu nhạy cảm và giảm khả năng hiển thị các tài sản dễ bị tấn công trong mạng của họ.
Ngoài ra, khi văn hóa làm việc từ xa tăng cường và tội phạm mạng phát triển các cách mới để khai thác các lỗ hổng bảo mật, các doanh nghiệp dựa vào cơ sở hạ tầng tại chỗ có nguy cơ bị gián đoạn.
Không bao giờ tin cậy; Luôn xác minh
Dựa trên số lượng vi phạm dữ liệu nhắm mục tiêu vào các tổ chức, rõ ràng là phương pháp tiếp cận bảo mật kiểu cũ đối với vấn đề bảo mật là không đủ. Mặc dù nhiều người cho rằng Zero Trust tốn kém và tốn thời gian, nhưng đó là một liều thuốc giải độc tuyệt vời cho các vấn đề bảo mật hiện nay.
Mô hình Zero Trust tìm cách loại bỏ các hệ thống dựa trên niềm tin chỉ vì nó bị khai thác quá thường xuyên trong các cuộc tấn công mạng. Nó hoạt động trên nguyên tắc rằng mọi người và mọi thứ phải được xác minh trước khi có quyền truy cập vào các tài nguyên mạng. Đây là một mục tiêu đáng theo đuổi cho các công ty đang tìm cách giảm thiểu rủi ro và cải thiện tình hình bảo mật của họ.