Zero Trust là gì, nói đơn giản?

Zero trust là cách thiết lập công nghệ để việc truy cập được kiểm tra mỗi lần, dựa trên bạn là ai, bạn đang dùng thiết bị gì, bạn đang cố gắng truy cập vào gì, và liệu có điều gì bất thường hay không.

Nói một cách dễ hiểu, nghĩa là “không bao giờ mặc định tin tưởng, luôn luôn xác minh.” Một nhân viên có thể được phép sử dụng email và hệ thống lương, nhưng không được phép vào hệ thống camera phòng máy chủ hoặc thư mục ngân hàng của chủ sở hữu. Một laptop có thể được phép kết nối nếu đã được cập nhật và có bảo vệ phù hợp, nhưng không được phép nếu máy đã cũ, thiếu cập nhật bảo mật, hoặc truy cập từ một vị trí không quen.

Điều này không có nghĩa là không ai được làm việc. Điều đó có nghĩa là mọi người chỉ nhận quyền truy cập mà họ thực sự cần, theo cách an toàn nhất ở mức khả thi. Với một doanh nghiệp nhỏ, zero trust thường không phải là mua một sản phẩm “lớn” duy nhất, mà là đặt ra một vài quy tắc hợp lý.

Nhiều doanh nghiệp nhỏ vẫn vận hành dựa trên một giả định cũ: bất cứ thứ gì nằm trong văn phòng, hoặc bất cứ ai có mật khẩu, có lẽ là an toàn. Điều này hợp lý hơn trong những năm trước, khi công việc diễn ra trong một tòa nhà, trên vài máy tính để bàn.

Ngày nay, người ta làm việc từ nhà, trên điện thoại, laptop, máy tính bảng, ứng dụng điện toán đám mây và các tệp dùng chung. Nhà cung cấp có thể đăng nhập từ xa. Chủ doanh nghiệp có thể phê duyệt thanh toán ngay khi đang di chuyển. Nếu một mật khẩu bị đánh cắp, hoặc một thiết bị có mức bảo vệ yếu, thì việc cấp quyền truy cập rộng có thể tạo ra một rủi ro lớn hơn.

Zero trust giúp giới hạn rủi ro đó. Nó có thể giảm phạm vi mà một sai sót, một mật khẩu bị đánh cắp, hoặc một thiết bị bị nhiễm có thể lan rộng. Không nhà cung cấp uy tín nào hứa rằng mạng “không thể bị hack”, nhưng các quy tắc truy cập tốt hơn có thể làm các vấn đề hằng ngày nhỏ hơn và dễ kiểm soát hơn.

Zero trust cũng giúp tăng kỷ luật vận hành cơ bản cho doanh nghiệp. Khi quyền truy cập được tổ chức rõ ràng, việc onboarding nhân sự mới sẽ dễ hơn, việc thu hồi quyền truy cập khi ai đó nghỉ việc cũng nhanh hơn, và bạn có thể thấy ai là người cần được phép dùng những hệ thống nào.

Một thiết lập zero trust thực tế thường bắt đầu từ danh tính (identity). Nghĩa là xác nhận ai là người đó trước khi họ được truy cập email, tệp, phần mềm kế toán hoặc các ứng dụng nghiệp vụ.

Một bước phổ biến là MFA, xác thực đa yếu tố (multi-factor authentication). MFA yêu cầu bằng chứng thứ hai như mã số, lời nhắc từ ứng dụng, hoặc khóa bảo mật, bên cạnh mật khẩu.

Phần tiếp theo là độ tin cậy của thiết bị (device trust). Doanh nghiệp có thể yêu cầu laptop và điện thoại phải đáp ứng một số tiêu chuẩn nhất định trước khi được phép kết nối. Ví dụ, thiết bị phải có các bản cập nhật hiện hành, mã hóa ổ đĩa (disk encryption) và phần mềm bảo mật. Bạn có thể nghe đến từ endpoint, đơn giản là chỉ thiết bị của người dùng như laptop, máy tính để bàn, điện thoại hoặc máy tính bảng.

Sau đó, quyền truy cập được giới hạn theo vai trò (role). Nhân viên chỉ nên nhận quyền truy cập tối thiểu cần cho công việc của họ. Điều này thường gọi là nguyên tắc đặc quyền tối thiểu (least privilege). Kế toán không cần quyền giống như quản lý vận hành. Một nhân viên cũ không nên vẫn còn quyền truy cập vào các thư mục dùng chung sau 6 tháng.

Một phần khác là kiểm tra liên tục. Có thể bao gồm vá lỗi (patching), tức là áp dụng các bản cập nhật phần mềm và bảo mật; ghi log; cảnh báo; và các quy tắc chặn những lần đăng nhập bất thường. Một số nhà cung cấp IT quản lý cũng sử dụng EDR, endpoint detection and response (phát hiện và phản hồi trên thiết bị đầu cuối). Đây là phần mềm theo dõi các thiết bị của doanh nghiệp để phát hiện hành vi đáng ngờ và hỗ trợ điều tra hoặc khoanh vùng vấn đề.

Zero trust làm tốt thì không nên cảm giác như một mê cung. Nó cần rõ ràng, được ghi chép và phù hợp với cách đội ngũ của bạn làm việc. Nhân viên cần biết cách họ đăng nhập, khi nào cần MFA, họ có thể dùng những ứng dụng nào và phải làm gì nếu một thiết bị bị mất hoặc được thay thế.

Một thiết lập lành mạnh thường có tài khoản riêng cho công việc quản trị (admin), giảm số lần đăng nhập dùng chung và thu hồi quyền truy cập nhanh chóng khi thay đổi vai trò. Các hệ thống nhạy cảm như lương, ngân hàng, hồ sơ khách hàng hoặc thông tin y tế nên có kiểm soát chặt chẽ hơn so với một ổ đĩa dùng chung chung.

“Làm tốt” còn có nghĩa là phù hợp với quy mô và nhu cầu doanh nghiệp. Một văn phòng 12 người không cần thiết lập giống công ty đa địa điểm 200 người. Yêu cầu khác nhau theo ngành và theo từng bang. Nếu bạn xử lý thông tin y tế, HIPAA, Đạo luật về tính minh bạch và trách nhiệm giải trình về bảo hiểm y tế (Health Insurance Portability and Accountability Act), có thể là điều cần quan tâm. Nếu bạn nhận thanh toán bằng thẻ, PCI, Chuẩn Bảo mật Dữ liệu Thẻ Thanh toán (Payment Card Industry Data Security Standard), có thể là điều cần quan tâm. Một số khách hàng cũng có thể hỏi về SOC 2, đây là khung báo cáo phổ biến về cách một công ty quản lý các biện pháp kiểm soát bảo mật.

Nếu bạn đang làm việc với một nhà cung cấp IT quản lý, còn gọi là MSP, hãy hỏi họ tiếp cận thế nào về danh tính, tiêu chuẩn thiết bị, rà soát quyền truy cập và quy trình thu hồi truy cập khi nhân sự rời đi (offboarding). Hãy hỏi họ sẽ ưu tiên gì trước cho một doanh nghiệp như của bạn, và vì sao. Đồng thời hỏi phần nào có thể thực hiện sau, và phần nào thực sự khả thi theo quy mô của bạn.

Zero trust không phải là một sản phẩm thần kỳ duy nhất. Nếu ai đó giới thiệu theo kiểu đó, hãy cẩn trọng. Nó là một chiến lược, được tạo nên bởi các chính sách, cấu hình, công cụ và thói quen.

Zero trust cũng không phải là chặn mọi thứ. Một cách tiếp cận tốt sẽ cân bằng giữa an toàn và năng suất làm việc. Nếu đội của bạn không thể làm việc thường ngày mà không liên tục có ngoại lệ, có lẽ hệ thống cần được điều chỉnh.

Zero trust không chỉ dành cho các tập đoàn lớn. Doanh nghiệp nhỏ và vừa vẫn có thể áp dụng các ý tưởng cơ bản theo một hình thức đơn giản hơn. Thường các bước đầu tiên khá rõ ràng: quy tắc đăng nhập chặt chẽ hơn, quyền truy cập người dùng gọn gàng hơn, tiêu chuẩn thiết bị tốt hơn và ít tài khoản dùng chung hơn.

Nếu bạn đang tìm cách hiểu các lựa chọn, xem thêm các câu trả lời bằng ngôn ngữ dễ hiểu hoặc xem các chủ đề dịch vụ IT quản lý. Nếu bạn muốn được hỗ trợ tìm một nhà cung cấp độc lập để trao đổi, được ghép phù hợp. NodeBridge IT là một dịch vụ ghép nối miễn phí. Chúng tôi không quản lý, giám sát, bảo mật, sửa chữa, hoặc truy cập vào hệ thống của bạn.