🔐 TỔNG QUAN KIẾN TRÚC “CLOUD IDENTITY + SECURE REMOTE WORKER + BRANCH”


Mô hình này tập trung vào việc định danh người dùng và thiết bị, sau đó thực thi chính sách truy cập vào tài nguyên nội bộ (Private Application), hoặc truy cập trực tiếp đến các dịch vụ SaaS/Internet (Breakout) một cách an toàn. 🎯 Mục tiêu:

• Đảm bảo truy cập an toàn bất kể người dùng ở đâu, thiết bị nào.
• Loại bỏ nhu cầu quay về datacenter (backhaul) cho lưu lượng Internet/SaaS.
• Hợp nhất bảo mật, định danh và trải nghiệm người dùng trong một kiến trúc cloud-native.

---

1. Điểm vào hệ thống – Endpoint các loại

• Managed Endpoint: Thiết bị do tổ chức quản lý (laptop công ty, đã cài agent).
• Unmanaged: Thiết bị không quản lý (BYOD, thiết bị ngoài kiểm soát).
• On Premise Devices: Các thiết bị IoT, người dùng nội bộ, văn phòng chi nhánh dùng IPsec.

Cả 3 loại này đều có thể truy cập vào hệ thống qua ba hình thức:

• Client-based Access: Cài agent, định danh mạnh hơn, thường dùng cho thiết bị được quản lý.
• Clientless Access: Truy cập qua web, không cần cài gì, dùng cho thiết bị BYOD.
• IPsec Tunnels: Dành cho văn phòng chi nhánh, thiết bị on-prem truyền thống.

---

2. Cisco Secure Access – Trái tim của mô hình


Cisco Secure Access đóng vai trò là nền tảng trung tâm, xử lý mọi phiên kết nối trước khi truy cập tài nguyên:

• Xác thực (Auth): Có thể kết hợp SAML, OIDC, MFA…
• SWG (Secure Web Gateway): Chặn nội dung, lọc URL, kiểm soát truy cập web.
• DNS Security: Chặn tên miền độc hại ở tầng DNS.
• DLP (Data Loss Prevention): Ngăn rò rỉ dữ liệu nhạy cảm.
• CASB: Giám sát sử dụng ứng dụng SaaS và phát hiện Shadow IT.

Các thành phần khác:

• MFA Support + Device Posture: Định danh nâng cao kết hợp với trạng thái thiết bị (antivirus, OS patch, v.v).
• Service Router: Định tuyến lưu lượng.
• Firewall L3/4/7 with IPS: Áp dụng chính sách bảo mật theo lớp mạng, lớp ứng dụng, có khả năng ngăn chặn tấn công.

---

3. Secure Access PoPs – Điểm hiện diện toàn cầu


Cisco vận hành hệ thống các PoP (Point of Presence) phân tán toàn cầu giúp giảm độ trễ, cải thiện trải nghiệm người dùng và khả năng mở rộng.

---

4. Đích đến – Nơi người dùng cần truy cập

• Breakout Internet/SaaS: Truy cập trực tiếp Internet hoặc các dịch vụ SaaS đáng tin cậy như Microsoft 365, Zoom, Salesforce.
• Private Applications: Các ứng dụng nội bộ cần bảo vệ nghiêm ngặt.
• DC/Colo/Branch: Các trung tâm dữ liệu hoặc chi nhánh kết nối qua Resource Connector hoặc Backhaul VPN.

---

5. Lưu lượng và phân loại đường đi


Màu sắc đường đi được mã hóa rõ ràng:

• Xanh dương đậm: Secure Tunnel (VPN/IPsec/SSL)
• Xanh dương nhạt: Internet Traffic (Web, SaaS)
• Xanh lá: Private Traffic (Nội bộ, DC, ứng dụng riêng)

Lưu ý có một điểm cực kỳ quan trọng: Traffic đến SaaS/Internet đáng tin cậy có thể được Breakout trực tiếp tại PoP để giảm độ trễ, tránh vòng quay về trung tâm dữ liệu.

---

🎓 Ví dụ thực tế


Một nhân viên làm việc từ xa trên laptop công ty:

• Được cài Cisco Secure Client → tự động kết nối đến PoP gần nhất.
• Sau khi xác thực (SAML + MFA), chính sách dựa trên trạng thái thiết bị được áp dụng.
• Nếu họ mở Salesforce → đi theo hướng Breakout.
• Nếu họ mở ứng dụng nội bộ ERP → đi qua Resource Connector quay về DC.

---

📌 Kết luận


Đây là kiến trúc điển hình của Zero Trust Edge, nơi xác thực, bảo mật, định tuyến và trải nghiệm được xử lý đồng thời trên nền tảng cloud. Cisco Secure Access là một mảnh ghép quan trọng trong chiến lược SASE, giúp doanh nghiệp chuyển từ mô hình bảo mật truyền thống sang mô hình lấy người dùng và ứng dụng làm trung tâm – bất kể họ ở đâu, dùng thiết bị gì.

---

Bạn đang triển khai mô hình này? Hãy chia sẻ kinh nghiệm thực tế, đặc biệt khi kết hợp với ISE, Duo, hoặc Umbrella, để cùng nhau học hỏi trong cộng đồng!

sdwan #SASE #CloudIdentity #SecureAccess #VnProCommunity
​