Đây là sơ đồ mô tả quy trình truy cập ứng dụng nội bộ (Private Application Access) thông qua kiến trúc ZTNA (Zero Trust Network Access) sử dụng Secure Client và giao thức IPSec. Để giúp anh em cộng đồng SD-WAN, SD-Access, NFV, hiểu rõ, mình sẽ giải thích quy trình theo từng bước dựa trên hình này:

Truy cập Ứng Dụng Nội Bộ với ZTNA qua IPSec: Bảo mật đến tận gốc


Bối cảnh:


Người dùng làm việc từ xa (remote user) cần truy cập một ứng dụng nội bộ tên là appb.demo.com được lưu trữ tại DC/Colo hoặc cloud riêng. Thay vì dùng VPN truyền thống, hệ thống áp dụng ZTNA kết hợp với IPSec tunnel, đưa ra một mô hình bảo mật "Zero Trust" hiện đại.

Diễn giải chi tiết từng bước:


1. User kết nối tới ứng dụng – ZTNA Match

• Người dùng mở browser hoặc ứng dụng client để truy cập appb.demo.com.

• Thiết bị sẽ khởi động Secure Client (có thể là AnyConnect mới hoặc tương đương), bật chế độ ZTNA.

• Điểm đặc biệt: traffic đầu tiên không đi thẳng mà sẽ được redirect thông qua Service Edge.

2. Kết nối được khởi tạo qua ZTNA – dùng QUIC

• Traffic sử dụng giao thức QUIC (UDP-based, encrypted) để đi qua ZTNA proxy nằm tại Service Edge (điểm POP gần nhất).

• Điều này giúp tăng tốc độ kết nối và giảm độ trễ hơn so với TCP.

3. Xác thực thiết bị và đánh giá tư thế bảo mật

• Tại Service Edge, thiết bị của người dùng sẽ:
  Gửi thông tin posture (antivirus, patch level, OS version…).
  Thực hiện MFA nếu có cấu hình.
  Thông tin được xử lý bởi ZTNA Proxy & Auth service để ra quyết định.

• Lúc này chưa có traffic đi đến ứng dụng nội bộ – hệ thống đang xác thực trước khi cấp quyền.

4. Đánh giá chính sách truy cập và bảo mật

• Dựa trên kết quả posture check và thông tin người dùng:
  Chính sách bảo mật (Firewall L3/L4/L7, IPS, DLP…) được áp dụng.
  Dữ liệu được định tuyến qua Services Router và Network Tunnel.
  Từ đây, một đường hầm IPSec được thiết lập từ Service Edge đến tài nguyên nội bộ.

5. Thiết lập kết nối đến tài nguyên riêng (Private Resource)

• Cuối cùng, IPSec tunnel được khởi tạo đến nơi chứa ứng dụng appb.demo.com.

• Ứng dụng có thể nằm ở:
  DC, Colo, hoặc Branch office.
  Hoặc cloud riêng/public cloud.

• Người dùng giờ đây có kết nối end-to-end được mã hóa và kiểm soát hoàn toàn.

Một số điểm đáng chú ý trong kiến trúc này:

• Không dùng VPN always-on – chỉ bật tunnel khi có truy cập tài nguyên nội bộ.

• Traffic Internet không đi vào tunnel → tách biệt rõ Internet và Private.

• Dựa trên nguyên tắc Zero Trust:
  Không tin ai cả, kể cả thiết bị "nội bộ".
  Mọi yêu cầu phải xác thực, đánh giá chính sách mới cấp quyền.

Ví dụ thực tế:


Một nhân viên đang làm việc tại nhà truy cập ứng dụng quản lý tài chính nội bộ. Khi mở app, traffic sẽ:

• Bị redirect sang ZTNA Proxy → xác minh posture → xác thực 2FA.

• Sau khi đạt chuẩn, kết nối IPSec đến DC của công ty sẽ được mở.

• Ứng dụng chỉ cho phép truy cập nếu máy tính có antivirus cập nhật và thuộc domain của công ty.

CHỐT cho cộng đồng:


Mô hình ZTNA + IPSec giúp thay thế VPN truyền thống bằng cơ chế bảo mật hiện đại hơn, linh hoạt, tối ưu hiệu năng và phù hợp với môi trường làm việc hybrid/multi-cloud. Đây là một phần trong bảo mật Zero Trust Access – kiểm soát truy cập theo ngữ cảnh và posture chứ không đơn thuần theo IP.




​