Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Case Study Zero Trust

    Hình này là một ví dụ điển hình cho thấy hành trình Zero Trust của một user ở chi nhánh (Branch Employee) khi truy cập vào ứng dụng Salesforce (SaaS) – và ta thấy rõ: không dễ dàng chút nào nếu muốn làm Zero Trust một cách bài bản.
    🔍 Phân Tích Từng Giai Đoạn Trên “Con Đường Tới Salesforce”

    1. Client-Based Security
    • Dùng FireEye, Trend Micro cho endpoint protection.
    • On-prem xác thực bằng ISE/AD (802.1X và Certificates).
    • MFA dùng RSA hoặc Microsoft.
    • Với BYOD thì… không có gì cả (!)
    2. User Identity
    • Xác thực người dùng vẫn là trụ cột: AD, RSA, MS O365.
    • Đây là “cửa đầu tiên” trong Zero Trust – xác minh danh tính.
    3. Device Posture
    • Có dùng fingerprint thiết bị (CERT), Airwatch cho thiết bị di động.
    • Nhưng rõ ràng ghi chú đỏ: "No device health/posture" – tức là không kiểm tra posture đầy đủ, một lỗ hổng trong kiến trúc Zero Trust.
    4. Micro Segmentation (Micro Seg)
    • Dùng Cisco TrustSec, phân tách dựa trên SGT (Security Group Tags).
    • Cho phép kiểm soát truy cập theo chính sách động.
    5. Macro Segmentation (Macro Seg)
    • Dùng mô hình VPN/VRF truyền thống – giúp tách lưu lượng chi nhánh với các phân vùng khác.
    6. DNS Security
    • Dùng Infoblox để kiểm soát DNS, chặn truy cập đến domain độc hại.
    7. SSL Decryption
    • KHÔNG làm SSL Decryption ở chặng này (None).
    • Điều này làm mất khả năng phân tích sâu các gói đã mã hóa – một điểm yếu đáng lưu ý.
    8. Firewall
    • Dùng Palo Alto, có thể cung cấp L7 App-ID, Threat, URL filtering.
    • Đây là tường lửa “middle mile” để kiểm soát hướng ra ngoài.
    9. Web Security (Websec)
    • Dùng Bluecoat, nhưng chỉ WebRep – chỉ tra danh tiếng tên miền, không phải web proxy đầy đủ.
    10. Threat Intelligence
    • Dùng FireEye nhưng không áp dụng cho SaaS – nghĩa là không kiểm tra mối đe dọa trực tiếp đến Salesforce.
    11. Anti-Malware
    • Cũng là FireEye, nhưng “not using for SaaS” – một lần nữa, thiếu bảo vệ cho ứng dụng đích.
    12. Application Visibility and Control (AVC)
    • Ghi rõ: None – không giám sát ứng dụng, một phần quan trọng trong quản lý rủi ro và hành vi.
    13. Data Loss Prevention (DLP)
    • Có dùng Symantec nhưng chỉ trên máy tính quản lý (managed Windows) – không bao phủ toàn bộ hệ sinh thái.
    14. User and Entity Behavior Analytics (UEBA)
    • Không có: None – thiếu lớp phân tích hành vi nâng cao.
    📌 Tổng Kết: Bài Học Thực Tế về Zero Trust


    Đây là minh họa chân thực cho thấy Zero Trust không phải là một sản phẩm, mà là một hành trình kỹ thuật liên tục với nhiều thành phần liên kết. Ngay cả khi đã có rất nhiều công nghệ bảo mật (FireEye, Palo, Cisco TrustSec, Infoblox...), thì:
    • Posture chưa đầy đủ,
    • Không SSL Decryption,
    • Không AVC, không UEBA,
    • Thiếu Threat Detection cho SaaS.

    => Tức là người dùng vẫn có thể là mắt xích yếu nhất nếu không giám sát xuyên suốt.
    💡 Gợi Ý Cho Anh Em Triển Khai Zero Trust
    1. Đừng chỉ lo "ngăn chặn" – hãy tập trung "nhìn xuyên" và "hiểu hành vi".
    2. Tích hợp thiết bị, danh tính, ứng dụng, và posture thành một bức tranh thống nhất.
    3. Đánh giá thật sự xem Zero Trust bạn đang làm có “end-to-end” hay chỉ là một mảng.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X