Chuyển đổi kỹ thuật số là một hành trình và cũng giống như bất kỳ cuộc phiêu lưu nào, một chút chuẩn bị có thể giúp bạn đạt được thành công trong một chặng đường dài. Chuẩn bị cho bất kỳ cuộc phiêu lưu nào bao gồm xác định nơi bạn muốn đến, quyết định cách tốt nhất để đến đó và thu thập thiết bị, dịch vụ và nguồn cung cấp bạn sẽ cần trên đường đi.
Hành trình chuyển đổi CNTT thường bắt đầu bằng chuyển đổi ứng dụng, trong đó bạn di chuyển các ứng dụng ra khỏi trung tâm dữ liệu và đưa vào đám mây. Sau đó, việc chuyển đổi mạng trở nên cần thiết để cho phép người dùng truy cập các ứng dụng hiện đang được phân tán rộng rãi—chuyển từ kiến trúc mạng trung tâm và nan hoa sang phương pháp kết nối trực tiếp. Đổi lại, điều này thúc đẩy nhu cầu chuyển đổi bảo mật, trong đó bạn chuyển từ cách tiếp cận bảo mật lâu đài và hào sang kiến trúc không tin cậy.
Mặc dù thứ tự nói trên là điển hình, nhưng có một số cách khác nhau để đạt được kết quả tương tự. Bạn nên bắt đầu cuộc hành trình hướng tới không tin tưởng bất cứ nơi nào bạn cảm thấy thoải mái nhất hoặc chuẩn bị sẵn sàng. Nếu tổ chức của bạn bắt đầu chuyển đổi bảo mật trước khi chuyển đổi ứng dụng hợp lý hơn thì bạn có thể.
Đánh giá thiết bị của bạn
Kiến trúc bảo mật lâu đài và hào, tận dụng tường lửa, VPN và các thiết bị bảo mật tập trung, hoạt động tốt khi các ứng dụng nằm trong trung tâm dữ liệu và người dùng làm việc trong văn phòng. Đó là thiết bị phù hợp cho công việc vào thời điểm đó. Tuy nhiên, ngày nay, lực lượng lao động của bạn làm việc từ mọi nơi và các ứng dụng đã chuyển ra khỏi trung tâm dữ liệu và đưa vào các đám mây công cộng, SaaS và các phần khác của internet. Các ngăn xếp tường lửa, VPN và phần cứng bảo mật kế thừa đó không được thiết kế để đáp ứng nhu cầu của doanh nghiệp phân tán cao ngày nay và đã không còn hữu dụng.
Để cấp cho người dùng quyền truy cập vào các ứng dụng, VPN và tường lửa phải kết nối người dùng với mạng của bạn, về cơ bản là mở rộng mạng tới tất cả người dùng, thiết bị và vị trí từ xa của bạn. Điều này khiến tổ chức của bạn gặp rủi ro cao hơn bằng cách tạo cho kẻ tấn công nhiều cơ hội hơn để xâm phạm người dùng, thiết bị và khối lượng công việc cũng như nhiều cách di chuyển ngang để tiếp cận tài sản có giá trị cao, trích xuất dữ liệu nhạy cảm và gây thiệt hại cho doanh nghiệp của bạn. Việc bảo vệ người dùng, dữ liệu và ứng dụng phân tán cao của bạn yêu cầu một cách tiếp cận mới—một cách tiếp cận tốt hơn.
Lập bản đồ tuyến đường tốt nhất
Khi nói đến chuyển đổi bảo mật, các nhà lãnh đạo đổi mới đang chuyển sang không tin tưởng. Không giống như các phương pháp bảo mật dựa trên vành đai dựa trên tường lửa và niềm tin ngầm và cung cấp quyền truy cập rộng rãi sau khi niềm tin được thiết lập, không tin cậy là một cách tiếp cận toàn diện đối với bảo mật dựa trên nguyên tắc truy cập có đặc quyền thấp nhất và ý tưởng không có người dùng, thiết bị hoặc khối lượng công việc nên được tin tưởng vốn có. Nó bắt đầu với giả định rằng mọi thứ đều thù địch và chỉ cấp quyền truy cập sau khi danh tính và ngữ cảnh được xác minh cũng như kiểm tra chính sách được thực thi.
Đạt được độ tin cậy bằng không thực sự đòi hỏi nhiều hơn là đẩy tường lửa lên đám mây. Nó yêu cầu một kiến trúc mới, được tạo ra trên đám mây và được phân phối nguyên bản qua đám mây, để kết nối người dùng, thiết bị và khối lượng công việc một cách an toàn với các ứng dụng mà không cần kết nối với mạng.
Như với bất kỳ hành trình quan trọng nào, sẽ rất hữu ích nếu bạn chia hành trình không tin tưởng của mình thành nhiều chặng khác nhau để xác định rõ ràng con đường trong khi vẫn ghi nhớ điểm đến cuối cùng. Khi xem xét cách tiếp cận của bạn, bảy yếu tố cần thiết sẽ cho phép bạn đánh giá rủi ro một cách linh hoạt và liên tục cũng như thông tin liên lạc của nhà môi giới một cách an toàn qua bất kỳ mạng nào, từ bất kỳ vị trí nào.
Bằng cách sử dụng các yếu tố này, tổ chức của bạn có thể triển khai true zero trust để loại bỏ bề mặt tấn công của bạn, ngăn chặn sự di chuyển ngang của các mối đe dọa và bảo vệ doanh nghiệp của bạn khỏi bị xâm phạm và mất dữ liệu.
Những yếu tố này có thể được nhóm thành ba phần:
- Xác minh danh tính và bối cảnh
- Kiểm soát nội dung và quyền truy cập
- Thực thi chính sách
Hãy xem xét kỹ hơn.
Xác minh danh tính và bối cảnh
Cuộc phiêu lưu bắt đầu khi có yêu cầu kết nối. Kiến trúc không tin cậy sẽ bắt đầu bằng cách chấm dứt kết nối và xác minh danh tính cũng như ngữ cảnh. Nó xem ai, cái gì và ở đâu của kết nối được yêu cầu.
1. Ai đang kết nối?—Yếu tố cần thiết đầu tiên là xác minh danh tính người dùng/thiết bị, thiết bị IoT/OT hoặc khối lượng công việc. Điều này đạt được thông qua việc tích hợp với các nhà cung cấp danh tính bên thứ ba (IdP) như một phần của nhà cung cấp quản lý truy cập danh tính doanh nghiệp (IAM).
2. Bối cảnh truy cập là gì?—Tiếp theo, giải pháp phải xác thực ngữ cảnh của người yêu cầu kết nối bằng cách xem xét các chi tiết như vai trò, trách nhiệm, thời gian trong ngày, địa điểm, loại thiết bị và hoàn cảnh của yêu cầu.
3. Kết nối sẽ đi đến đâu?—Giải pháp tiếp theo cần xác nhận rằng chủ sở hữu danh tính có quyền và đáp ứng ngữ cảnh bắt buộc để truy cập vào ứng dụng hoặc tài nguyên dựa trên các quy tắc phân đoạn giữa thực thể với tài nguyên—nền tảng của sự tin cậy bằng không.
Kiểm soát nội dung và quyền truy cập
Sau khi xác minh danh tính và bối cảnh, kiến trúc không tin cậy sẽ đánh giá rủi ro liên quan đến kết nối được yêu cầu và kiểm tra lưu lượng truy cập để bảo vệ chống lại các mối đe dọa trên mạng và mất dữ liệu nhạy cảm.
4. Đánh giá rủi ro—Giải pháp nên sử dụng AI để tự động tính điểm rủi ro. Các yếu tố bao gồm tư thế thiết bị, các mối đe dọa, đích đến, hành vi và chính sách phải được đánh giá liên tục trong suốt thời gian kết nối để đảm bảo điểm số rủi ro luôn được cập nhật.
5. Ngăn chặn sự thỏa hiệp—Để xác định và chặn nội dung độc hại cũng như ngăn chặn thỏa hiệp, một kiến trúc không tin cậy hiệu quả phải giải mã lưu lượng truy cập nội tuyến và thúc đẩy kiểm tra nội dung chuyên sâu của lưu lượng truy cập từ thực thể đến tài nguyên trên quy mô lớn.
6. Ngăn chặn mất dữ liệu—Lưu lượng gửi đi phải được giải mã và kiểm tra để xác định dữ liệu nhạy cảm và ngăn chặn việc rò rỉ dữ liệu đó bằng cách sử dụng các biện pháp kiểm soát nội tuyến hoặc bằng cách cách ly quyền truy cập trong môi trường được kiểm soát.
Thực thi chính sách
Trước khi kết thúc hành trình và cuối cùng là thiết lập kết nối với ứng dụng bên trong hoặc bên ngoài được yêu cầu, một yếu tố cuối cùng phải được triển khai: thực thi chính sách.
7. Thực thi chính sách—Sử dụng kết quả đầu ra của các phần tử trước đó, phần tử này xác định hành động cần thực hiện đối với kết nối được yêu cầu. Mục tiêu cuối cùng không phải là một quyết định chuyền/không chuyền đơn giản. Thay vào đó, giải pháp phải áp dụng chính sách liên tục và thống nhất trên cơ sở mỗi phiên—bất kể vị trí hoặc điểm thực thi—để cung cấp các biện pháp kiểm soát chi tiết mà cuối cùng dẫn đến quyết định cho phép có điều kiện hoặc quyết định chặn có điều kiện.
Sau khi đạt được quyết định cho phép, người dùng được cấp kết nối an toàn với internet, ứng dụng SaaS hoặc ứng dụng nội bộ.
Đến đích an toàn
Hành trình đạt đến mức độ tin cậy bằng không của bạn có thể gặp nguy hiểm nếu bạn đang cố gắng đạt được điều đó bằng các thiết bị cũ không được thiết kế cho nó. Mặc dù việc tìm kiếm một giải pháp cho phép niềm tin bằng không thực sự thoạt đầu có vẻ khó khăn, nhưng hãy bắt đầu ở nơi có ý nghĩa nhất đối với tổ chức của bạn và để bảy yếu tố được nêu ở đây làm hướng dẫn cho bạn.
Tìm hiểu thêm Quan điểm đối tác từ Zscaler.
