Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Zero Trust là gì? Vì sao doanh nghiệp hiện đại đều đang chuyển sang mô hình này?

    Zero Trust là gì? Vì sao doanh nghiệp hiện đại đều đang chuyển sang mô hình này?


    Cloud, AI, làm việc từ xa, IoT và BYOD đang khiến "ranh giới mạng nội bộ" gần như biến mất. Trong bối cảnh đó, chỉ dựa vào firewall hay giả định rằng "đã vào được mạng thì đáng tin" không còn đủ để bảo vệ doanh nghiệp.

    Đó chính là lý do Zero Trust trở thành nền tảng của các kiến trúc bảo mật hiện đại.
    Zero Trust là gì?


    Zero Trust là mô hình bảo mật với nguyên tắc rất đơn giản:
    Không mặc định tin tưởng bất kỳ người dùng, thiết bị hay ứng dụng nào, dù họ đang ở trong hay ngoài mạng doanh nghiệp. Mọi yêu cầu truy cập đều phải được xác thực, đánh giá và cấp quyền theo đúng chính sách.

    Hay nói ngắn gọn:
    Never Trust, Always Verify.

    Thay vì cấp quyền dựa trên vị trí mạng hay địa chỉ IP, Zero Trust dựa trên danh tính (Identity), trạng thái thiết bị (Device Posture) và chính sách bảo mật (Policy).
    Ba trụ cột của Zero Trust


    Hình minh họa thể hiện ba thành phần cốt lõi giúp Cisco triển khai Zero Trust trong môi trường doanh nghiệp. 1. Endpoint Visibility


    Muốn bảo vệ hệ thống, trước tiên phải biết ai và thiết bị nào đang kết nối.

    Cisco Catalyst Center và Cisco ISE liên tục thu thập thông tin như:
    • Người dùng là ai?
    • Laptop công ty hay thiết bị cá nhân?
    • Camera, máy in hay máy chủ?
    • Thiết bị đang kết nối ở đâu?
    • Có đáp ứng yêu cầu bảo mật hay không?

    Không thể bảo vệ những gì mình không nhìn thấy.
    2. Segmentation


    Sau khi nhận diện endpoint, bước tiếp theo là giới hạn quyền truy cập.

    Thay vì mọi thiết bị đều có thể giao tiếp với nhau, mạng được chia thành nhiều vùng logic.

    Ví dụ:
    • Phòng Kế toán chỉ truy cập ERP.
    • Camera IP không được truy cập Database.
    • Thiết bị IoT không được phép truy cập máy chủ AI.

    Trong Cisco SD-Access, việc này được thực hiện bằng SGT (Security Group Tag); còn trong Cisco ACI là EPG (Endpoint Group).

    Nhờ đó, quyền truy cập được kiểm soát theo vai trò, không còn phụ thuộc vào VLAN hay địa chỉ IP.
    3. Trust Assessment


    Điểm mạnh nhất của Zero Trust là không chỉ kiểm tra một lần khi đăng nhập.

    Cisco ISE liên tục đánh giá mức độ tin cậy của thiết bị:
    • Đã bật antivirus chưa?
    • Hệ điều hành có được cập nhật?
    • Đã bật BitLocker?
    • Có vượt qua MFA?
    • Thiết bị có còn tuân thủ chính sách bảo mật?

    Nếu phát hiện rủi ro, ISE có thể tự động giảm quyền hoặc cô lập thiết bị thông qua Change of Authorization (CoA) mà không cần quản trị viên can thiệp.
    Catalyst Center và Cisco ISE đóng vai trò gì?


    Trong kiến trúc này:
    • Cisco Catalyst Center là nền tảng quản lý và tự động hóa toàn bộ hạ tầng mạng, đồng thời triển khai chính sách đến các switch và access point.
    • Cisco ISE là "bộ não" về danh tính và chính sách, chịu trách nhiệm xác thực người dùng, kiểm tra thiết bị, gán SGT và quyết định ai được phép truy cập tài nguyên nào.

    Hai hệ thống phối hợp với nhau để biến các chính sách Zero Trust thành cấu hình thực tế trên toàn bộ mạng.
    Một ví dụ thực tế


    Một bác sĩ mang laptop vào bệnh viện và kết nối Wi-Fi.

    Cisco ISE xác thực danh tính, kiểm tra tình trạng bảo mật của laptop rồi gán thiết bị vào nhóm Doctor. Catalyst Center ngay lập tức triển khai chính sách trên toàn bộ hạ tầng, chỉ cho phép laptop truy cập hệ thống hồ sơ bệnh án.

    Nếu sau đó antivirus bị tắt hoặc thiết bị không còn đạt chuẩn bảo mật, ISE sẽ tự động thu hẹp quyền truy cập hoặc chuyển thiết bị vào vùng cách ly chỉ trong vài giây.
    Kết luận


    Trong kỷ nguyên AI và điện toán đám mây, doanh nghiệp không còn bảo vệ một "mạng nội bộ" nữa mà phải bảo vệ mọi kết nối. Zero Trust giải quyết bài toán này bằng ba nguyên tắc cốt lõi: nhìn thấy mọi endpoint (Visibility), phân tách tài nguyên theo vai trò (Segmentation) và liên tục đánh giá mức độ tin cậy (Trust Assessment).

    Đó cũng là lý do Zero Trust đang trở thành nền tảng bảo mật của các kiến trúc hiện đại như Cisco SD-Access, Cisco ACI, SASE và hầu hết các hệ thống mạng sẵn sàng cho kỷ nguyên AI.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X