Sơ đồ trên mô tả kiến trúc Cisco Secure Access, một giải pháp SASE (Secure Access Service Edge) được xây dựng dựa trên nguyên lý Zero Trust. Thay vì chỉ bảo vệ mạng tại biên như mô hình truyền thống, toàn bộ lưu lượng của người dùng sẽ được đưa lên nền tảng bảo mật trên cloud để kiểm tra trước khi được phép truy cập ứng dụng. SASE (Secure Access Service Edge) là gì?
SASE là kiến trúc kết hợp dịch vụ mạng (Networking) và dịch vụ bảo mật (Security) trên cùng một nền tảng cloud. Thay vì kết nối VPN về Data Center rồi mới truy cập Internet hoặc ứng dụng, người dùng sẽ được kết nối tới Cisco Secure Cloud gần nhất. Tại đây, mọi lưu lượng đều được kiểm tra và áp dụng chính sách bảo mật trước khi đi tiếp.
Kiến trúc trong sơ đồ có thể chia thành bốn bước.
1. Thu thập thông tin từ điểm đầu cuối
Hệ thống hỗ trợ nhiều đối tượng như nhân viên, nhà thầu, người dùng làm việc từ xa hoặc trong văn phòng. Ngay khi kết nối, nền tảng sẽ thu thập các thông tin quan trọng như danh tính người dùng, trạng thái thiết bị, vị trí kết nối và ứng dụng đang truy cập. Đây là dữ liệu đầu vào để thực hiện các chính sách Zero Trust.
2. Đưa lưu lượng vào Cisco Secure Cloud
Thay vì đi trực tiếp ra Internet, toàn bộ traffic sẽ được chuyển vào Cisco Secure Cloud (SASE Fabric). Có thể xem đây là một lớp kiểm tra tập trung, nơi mọi kết nối đều phải đi qua trước khi được phép truy cập tài nguyên.
3. Xác minh và cấp quyền truy cập
Đây là bước quan trọng nhất của kiến trúc.
Nền tảng sẽ kết hợp nhiều dịch vụ như Identity, Posture và Cloud-control plane để đánh giá người dùng và thiết bị. Sau đó, Zero Trust Proxy cùng các dịch vụ Cloud Security sẽ thực thi chính sách và quyết định có cho phép phiên kết nối tiếp tục hay không.
4. Truy cập ứng dụng
Chỉ sau khi vượt qua các bước xác minh, người dùng mới được phép truy cập các dịch vụ như Microsoft 365, Salesforce, Internet, ứng dụng nội bộ, Data Center hoặc các chi nhánh. Dù ứng dụng đặt ở đâu, chính sách bảo mật vẫn được áp dụng thống nhất. Zero Trust hoạt động như thế nào?
Zero Trust dựa trên nguyên tắc:
Không có người dùng hay thiết bị nào được mặc định tin cậy, kể cả khi đang ở trong mạng nội bộ.
Mỗi phiên truy cập đều phải trải qua quá trình xác thực danh tính, kiểm tra trạng thái thiết bị, đánh giá mức độ rủi ro và đối chiếu với chính sách truy cập. Người dùng chỉ được cấp đúng quyền cần thiết (Least Privilege). Ví dụ, nhân viên có thể truy cập Microsoft 365 nhưng không được vào hệ thống ERP, hoặc một thiết bị không đáp ứng yêu cầu bảo mật sẽ bị từ chối kết nối. Vai trò của Zero Trust Proxy
Zero Trust Proxy là thành phần thực thi các chính sách truy cập. Thay vì cho phép người dùng kết nối trực tiếp đến máy chủ, proxy sẽ đứng ở giữa để xác thực, kiểm tra thiết bị, áp dụng chính sách và chỉ thiết lập kết nối tới đúng ứng dụng được cấp quyền. Nhờ đó, các ứng dụng nội bộ không cần công khai trên Internet nhưng vẫn có thể được truy cập một cách an toàn. SASE và Zero Trust bổ trợ cho nhau
Có thể hiểu đơn giản rằng SASE là nền tảng kết nối và bảo mật trên cloud, còn Zero Trust là mô hình kiểm soát truy cập hoạt động trên nền tảng đó. SASE đảm bảo mọi lưu lượng đều đi qua lớp bảo mật tập trung, trong khi Zero Trust quyết định có cho phép truy cập hay không dựa trên danh tính người dùng, trạng thái thiết bị và chính sách bảo mật, thay vì chỉ dựa vào vị trí mạng như các mô hình truyền thống.
SASE là kiến trúc kết hợp dịch vụ mạng (Networking) và dịch vụ bảo mật (Security) trên cùng một nền tảng cloud. Thay vì kết nối VPN về Data Center rồi mới truy cập Internet hoặc ứng dụng, người dùng sẽ được kết nối tới Cisco Secure Cloud gần nhất. Tại đây, mọi lưu lượng đều được kiểm tra và áp dụng chính sách bảo mật trước khi đi tiếp.
Kiến trúc trong sơ đồ có thể chia thành bốn bước.
1. Thu thập thông tin từ điểm đầu cuối
Hệ thống hỗ trợ nhiều đối tượng như nhân viên, nhà thầu, người dùng làm việc từ xa hoặc trong văn phòng. Ngay khi kết nối, nền tảng sẽ thu thập các thông tin quan trọng như danh tính người dùng, trạng thái thiết bị, vị trí kết nối và ứng dụng đang truy cập. Đây là dữ liệu đầu vào để thực hiện các chính sách Zero Trust.
2. Đưa lưu lượng vào Cisco Secure Cloud
Thay vì đi trực tiếp ra Internet, toàn bộ traffic sẽ được chuyển vào Cisco Secure Cloud (SASE Fabric). Có thể xem đây là một lớp kiểm tra tập trung, nơi mọi kết nối đều phải đi qua trước khi được phép truy cập tài nguyên.
3. Xác minh và cấp quyền truy cập
Đây là bước quan trọng nhất của kiến trúc.
Nền tảng sẽ kết hợp nhiều dịch vụ như Identity, Posture và Cloud-control plane để đánh giá người dùng và thiết bị. Sau đó, Zero Trust Proxy cùng các dịch vụ Cloud Security sẽ thực thi chính sách và quyết định có cho phép phiên kết nối tiếp tục hay không.
4. Truy cập ứng dụng
Chỉ sau khi vượt qua các bước xác minh, người dùng mới được phép truy cập các dịch vụ như Microsoft 365, Salesforce, Internet, ứng dụng nội bộ, Data Center hoặc các chi nhánh. Dù ứng dụng đặt ở đâu, chính sách bảo mật vẫn được áp dụng thống nhất. Zero Trust hoạt động như thế nào?
Zero Trust dựa trên nguyên tắc:
Never Trust – Always Verify
Không có người dùng hay thiết bị nào được mặc định tin cậy, kể cả khi đang ở trong mạng nội bộ.
Mỗi phiên truy cập đều phải trải qua quá trình xác thực danh tính, kiểm tra trạng thái thiết bị, đánh giá mức độ rủi ro và đối chiếu với chính sách truy cập. Người dùng chỉ được cấp đúng quyền cần thiết (Least Privilege). Ví dụ, nhân viên có thể truy cập Microsoft 365 nhưng không được vào hệ thống ERP, hoặc một thiết bị không đáp ứng yêu cầu bảo mật sẽ bị từ chối kết nối. Vai trò của Zero Trust Proxy
Zero Trust Proxy là thành phần thực thi các chính sách truy cập. Thay vì cho phép người dùng kết nối trực tiếp đến máy chủ, proxy sẽ đứng ở giữa để xác thực, kiểm tra thiết bị, áp dụng chính sách và chỉ thiết lập kết nối tới đúng ứng dụng được cấp quyền. Nhờ đó, các ứng dụng nội bộ không cần công khai trên Internet nhưng vẫn có thể được truy cập một cách an toàn. SASE và Zero Trust bổ trợ cho nhau
Có thể hiểu đơn giản rằng SASE là nền tảng kết nối và bảo mật trên cloud, còn Zero Trust là mô hình kiểm soát truy cập hoạt động trên nền tảng đó. SASE đảm bảo mọi lưu lượng đều đi qua lớp bảo mật tập trung, trong khi Zero Trust quyết định có cho phép truy cập hay không dựa trên danh tính người dùng, trạng thái thiết bị và chính sách bảo mật, thay vì chỉ dựa vào vị trí mạng như các mô hình truyền thống.