Quyền truy nhập mạng Zero Trust (ZTNA) là gì?

Quyền truy nhập mạng Zero Trust (ZTNA) có ý nghĩa quan trọng vì mô hình này phù hợp với nhu cầu ngày càng tăng về giải pháp an ninh mạng có khả năng thích ứng và phục hồi ở nơi làm việc ngày càng phân tán và ưu tiên kỹ thuật số.

Dưới đây là lý do tại sao ZTNA đã trở thành một khuôn khổ quan trọng:

Khả năng bảo vệ trước các mối đe dọa ngày càng gia tăng. Các mô hình bảo mật truyền thống cấp quyền truy nhập mạng rộng rãi cho người dùng nội bộ là không đủ để chống lại các mối đe dọa trên mạng tinh vi hiện nay, đặc biệt là các mối đe dọa từ nội bộ hoặc các mối đe dọa phát sinh từ thông tin xác thực bị xâm phạm. ZTNA giả định rằng không có thực thể nào vốn đáng tin cậy, hạn chế các véc-tơ tấn công tiềm ẩn.

Hỗ trợ cho các tài nguyên làm việc từ xa và tài nguyên trên nền điện toán đám mây. Với sự gia tăng của xu hướng làm việc từ xa và tiếp nhận đám mây, các doanh nghiệp đang chuyển dịch từ mạng tại chỗ truyền thống sang cơ sở hạ tầng kết hợp hoặc hoàn toàn trên nền điện toán đám mây. ZTNA cung cấp quyền truy nhập an toàn vào các tài nguyên từ mọi vị trí, thực thi các chính sách bảo mật một cách nhất quán trên môi trường tại chỗ và đám mây.

Giảm thiểu hoạt động di chuyển ngang trong các cuộc tấn công qua mạng. Trong tình huống vi phạm bảo mật, quyền truy nhập phân đoạn của ZTNA ngăn kẻ tấn công di chuyển ngang, giúp hạn chế phạm vi của thiệt hại tiềm ẩn. Vì quyền truy nhập chỉ được cấp khi cần thiết nên kẻ tấn công sẽ gặp nhiều khó khăn hơn khi di chuyển giữa các hệ thống và truy nhập vào các tài sản quan trọng.

ZTNA mang lại nhiều lợi ích cho doanh nghiệp, bao gồm:

Bảo mật nâng cao. Mô hình xác minh danh tính và thiết bị liên tục của ZTNA giúp giảm rủi ro truy nhập trái phép và giảm thiểu các mối đe dọa từ thông tin xác thực bị xâm phạm. Bằng việc xác minh từng nỗ lực truy nhập dựa trên các yếu tố như danh tính, vị trí và tình trạng thiết bị, ZTNA tăng cường vị thế bảo mật tổng thể và giảm thiểu truy nhập trái phép.

Cải thiện khả năng kiểm soát truy nhập và thực thi chính sách. ZTNA cho phép các tổ chức thực thi các chính sách truy nhập chi tiết dựa trên vai trò. Người dùng chỉ được cấp quyền truy nhập vào các ứng dụng hoặc tài nguyên họ cần, giúp giảm nguy cơ vô tình hoặc cố ý truy nhập vào dữ liệu nhạy cảm. ZTNA còn đơn giản hóa việc tuân thủ quy định bảo vệ dữ liệu và quy định về quyền riêng tư bằng cách đảm bảo rằng quyền truy nhập bị hạn chế và được ghi nhật ký.

Giảm bề mặt tấn công. Vì ZTNA không để lộ toàn bộ mạng cho bất kỳ người dùng hoặc thiết bị nào nên bề mặt tấn công bị giảm đáng kể. Chỉ những người dùng và thiết bị được ủy quyền mới có thể truy nhập các tài nguyên cụ thể và họ chỉ có thể truy nhập các tài nguyên đó thông qua các kết nối an toàn được mã hóa, giúp giảm nguy cơ xảy ra hành vi vi phạm dữ liệu hoặc tiết lộ trái phép.

Các mô hình bảo mật truyền thống chủ yếu phụ thuộc vào khái niệm mạng nội bộ "đáng tin cậy" và mạng bên ngoài "không đáng tin cậy", được bảo mật bằng tường lửa và VPN. Những điểm khác biệt chính giữa Quyền truy nhập mạng Zero Trust (ZTNA) và các mô hình truyền thống này bao gồm:

Cách tiếp cận dựa trên vành đai so với cách tiếp cận dựa trên danh tính. Mô hình bảo mật truyền thống phụ thuộc vào việc bảo mật vành đai mạng, giả định rằng người dùng trong mạng đều đáng tin cậy. ZTNA coi mọi nỗ lực truy nhập đều là những rủi ro tiềm ẩn, bất kể vị trí nào, yêu cầu xác minh danh tính mỗi lần truy nhập.

Sự tin cậy ngầm định so với sự tin cậy rõ ràng. Ở các mô hình truyền thống, sau khi được xác thực, người dùng sẽ được tin cậy và thường di chuyển ngang bên trong mạng mà gần như không bị giới hạn. Tuy nhiên, ZTNA triển khai quyền truy nhập phân đoạn vi mô và đặc quyền tối thiểu để giới hạn việc di chuyển ngang và giảm rủi ro liên quan đến thông tin xác thực bị xâm phạm.

Biện pháp kiểm soát truy nhập tĩnh so với biện pháp kiểm soát truy nhập động. Mô hình bảo mật thừa tự thường có các quy tắc tĩnh, ít linh hoạt và thường lỗi thời trong môi trường ngày nay. ZTNA sử dụng các chính sách động, thích ứng dựa trên các yếu tố rủi ro, hành vi của người dùng và các dấu hiệu theo ngữ cảnh khác.

VPN so với quyền truy nhập trực tiếp, an toàn. Mô hình kết nối mạng truyền thống thường sử dụng VPN để truy nhập từ xa, điều này có thể gây ra độ trễ và khó điều chỉnh quy mô. Các giải pháp ZTNA cung cấp quyền truy nhập an toàn trực tiếp vào các ứng dụng mà không định tuyến tất cả lưu lượng truy cập thông qua VPN, giúp cải thiện hiệu suất và khả năng mở rộng.

Quyền truy nhập mạng Zero Trust (ZTNA), được xây dựng dựa trên nguyên tắc Zero Trust, là một phần của khuôn khổ Biên dịch vụ bảo mật và được sử dụng để bảo mật quyền truy nhập vào các tài nguyên riêng tư. Trong môi trường ZTNA, người dùng, thiết bị và ứng dụng phải liên tục chứng minh tính chính đáng trước khi truy nhập tài nguyên, bất kể vị trí ở trong hay ngoài mạng. Các cơ chế hoạt động chính bao gồm:

Quản lý truy cập và danh tính. Đầu tiên, ZTNA sẽ xác minh danh tính thật nghiêm ngặt. Mỗi người dùng hoặc thiết bị phải xác thực danh tính của mình, thường là thông qua tính năng xác thực đa yếu tố (MFA), rồi mới có quyền truy nhập vào ứng dụng hoặc tài nguyên bất kỳ. Điều này đảm bảo chỉ những người dùng chính đáng mới được nhận dạng và cấp quyền truy nhập.

Phân đoạn vi mô. Thay vì phụ thuộc vào một vành đai mạng duy nhất, ZTNA chia mạng thành các phân đoạn nhỏ hơn và tách biệt. Mỗi phân đoạn có chứa các tài nguyên hoặc ứng dụng cụ thể, khiến kẻ tấn công khó có thể di chuyển ngang bên trong mạng nếu chúng xâm phạm một phân đoạn.

Quyền truy nhập đặc quyền tối thiểu. Mỗi người dùng và thiết bị chỉ được cấp quyền truy nhập vào các ứng dụng hoặc dữ liệu cụ thể cần thiết cho vai trò của họ, hạn chế mức rủi ro tiềm ẩn. Cách tiếp cận đặc quyền tối thiểu này giúp giảm thiểu rủi ro vi phạm dữ liệu hoặc truy nhập trái phép bằng cách hạn chế quyền truy nhập của bất kỳ tài khoản bị xâm phạm nào.

Quyền truy nhập ở cấp độ ứng dụng. Thay vì cấp quyền truy nhập rộng rãi ở cấp độ mạng, ZTNA hỗ trợ kết nối ứng dụng cụ thể. Điều này có nghĩa là ngay cả khi được cấp quyền truy nhập, thiết bị vẫn chỉ giao tiếp với ứng dụng hoặc tài nguyên cụ thể mà thiết bị được phép truy nhập. Cơ chế này giúp giảm bớt bề mặt tấn công vì người dùng và thiết bị không có khả năng quan sát hoặc quyền truy nhập vào toàn bộ mạng.

Đánh giá liên tục quyền truy nhập. Đánh giá liên tục hành vi của người dùng và thiết bị là cấu phần trung tâm của ZTNA. Việc đánh giá này bao gồm theo dõi mọi mẫu hoạt động bất thường, vị thế bảo mật của thiết bị (chẳng hạn như đã cài đặt bản cập nhật bảo mật hay chưa) và những thay đổi về vị trí. Nếu bị phát hiện có hành vi bất thường, người dùng có thể bị thu hồi quyền truy nhập hoặc cần xác thực bổ sung.

Mạng Zero Trust không ngừng phát triển để giải quyết sự phức tạp ngày càng tăng của mối đe dọa hiện đại trên mạng và môi trường làm việc từ xa. Ban đầu, ZTNA đã giới thiệu các nguyên tắc Zero Trust cốt lõi bằng cách cung cấp quyền truy nhập dựa trên danh tính của người dùng và vị thế bảo mật của thiết bị thay vì các biện pháp phòng thủ vành đai mạng truyền thống. Tuy nhiên, khi các mối đe dọa trên mạng ngày càng phát triển thì nhu cầu về một cách tiếp cận toàn diện và có khả năng thích ứng tốt hơn cũng tăng lên, dẫn đến sự phát triển của những tiến bộ trong ZTNA bao gồm:

Biện pháp kiểm soát truy nhập ứng dụng chi tiết. ZTNA hiện cung cấp biện pháp kiểm soát truy nhập chi tiết hơn ở cấp độ ứng dụng, vượt xa so với quyền truy nhập dựa trên mạng hoặc IP đơn giản. Biện pháp đó đảm bảo rằng người dùng chỉ có quyền truy nhập vào các ứng dụng cũng như tài nguyên cụ thể mà họ cần và chỉ trong phạm vi các ứng dụng đó, hạn chế để họ chỉ có thể thao tác với dữ liệu và hoạt động cụ thể mà họ được phép.

Đánh giá độ tin cậy liên tục. ZTNA truyền thống thường phụ thuộc vào đánh giá độ tin cậy một lần ở đầu phiên. ZTNA hiện áp dụng mô hình tin cậy liên tục, đánh giá hành vi của người dùng và thiết bị một cách linh hoạt trong suốt phiên. Hoạt động giám sát liên tục giúp phát hiện và ứng phó với các hành vi bất thường hoặc hành vi rủi ro theo thời gian thực.

Tích hợp chức năng ngăn ngừa mối đe dọa. ZTNA hiện tích hợp trực tiếp vào mô hình truy nhập các chức năng ngăn ngừa mối đe dọa, như phát hiện phần mềm độc hại, ngăn ngừa xâm nhập và các chức năng kiểm tra bảo mật khác. Lớp bảo mật chủ động này giúp ngăn kẻ tấn công di chuyển ngang bên trong mạng ngay cả khi chúng chiếm được quyền truy nhập ban đầu.

Nâng cao nhận thức về ngữ cảnh của người dùng và thiết bị. Giờ đây, ZTNA không chỉ xác minh danh tính của người dùng và vị thế bảo mật của thiết bị mà còn kết hợp các yếu tố ngữ cảnh khác như mẫu hành vi người dùng, lịch sử thiết bị và các yếu tố môi trường như vị trí địa lý và thời gian truy nhập. Điều này giúp tạo hồ sơ rủi ro chính xác hơn cho mỗi yêu cầu truy nhập.

Biên dịch vụ truy cập bảo mật (SASE) – Tìm hiểu về SASE, các cấu phần và lợi ích của khuôn khổ này đối với bảo mật doanh nghiệp.Biên dịch vụ truy cập bảo mật (SASE) là một khuôn khổ an ninh mạng kết hợp các dịch vụ mạng và dịch vụ bảo mật trong một mô hình hợp nhất trên nền tảng đám mây. Mục đích của khuôn khổ này là cung cấp quyền truy nhập an toàn cho người dùng, bất kể họ ở đâu, bằng cách tích hợp các chức năng bảo mật – như cổng kết nối web an toàn, trình cung cấp bảo mật truy nhập đám mây, tường lửa dưới dạng dịch vụ và Quyền truy nhập mạng Zero Trust – với khả năng kết nối mạng diện rộng. SASE cung cấp giải pháp có khả năng mở rộng và linh hoạt để bảo mật cho lực lượng lao động phân tán, đặc biệt có ích trong môi trường hiện đại, nơi mà phương thức làm việc từ xa và môi trường đa đám mây là tiêu chuẩn.

ZTNA là cấu phần chính trong mô hình SASE, tập trung cụ thể vào biện pháp kiểm soát truy nhập dựa trên kiến trúc Zero Trust. ZTNA thực thi biện pháp kiểm soát truy nhập chặt chẽ ở cấp độ ứng dụng và tài nguyên, còn SASE mở rộng phạm vi này bằng cách cung cấp mô hình bảo mật và mạng toàn diện. Về bản chất, ZTNA là một phần tử quan trọng của SASE, tập trung vào việc quản lý truy nhập chi tiết, trong khi SASE kết hợp ZTNA vào một bộ công cụ bảo mật lớn hơn để cung cấp khả năng bảo vệ hợp nhất, toàn diện trên toàn bộ mạng.

Giải pháp Quyền truy nhập mạng Zero Trust (ZTNA) của Microsoft được thiết kế để cung cấp quyền truy nhập an toàn vào các ứng dụng và tài nguyên, bất kể người dùng ở đâu.


Cấu phần cốt lõi của cách tiếp cận này là Microsoft Entra Truy cập Riêng tư, thay thế cho VPN truyền thống. Sản phẩm này giúp truy nhập an toàn vào tất cả các ứng dụng và tài nguyên riêng tư cho người dùng ở mọi nơi nhờ giải pháp ZTNA lấy danh tính làm trọng tâm. Microsoft Entra Truy cập Riêng tư cho phép bạn thay thế VPN thừa tự bằng ZTNA. Không cần thực hiện bất kỳ thay đổi nào đối với ứng dụng, bạn vẫn có thể mở rộng các chính sách Truy cập có điều kiện sang mạng của mình bằng cách sử dụng các biện pháp kiểm soát truy nhập lấy danh tính làm trọng tâm và bật tính năng đăng nhập một lần (SSO) cũng như xác thực đa yếu tố (MFA) trên tất cả các ứng dụng và tài nguyên riêng tư. Thông qua mạng nội bộ toàn cầu của Microsoft, nhân viên được tận hưởng trải nghiệm truy nhập nhanh chóng, liền mạch, cân bằng giữa bảo mật với năng suất.