SDP là một phương thức bảo mật dùng để ẩn cơ sở hạ tầng được kết nối với Internet (như servers, routers,…) được lưu trữ trên cloud nhằm tránh các xâm nhập, tấn công từ bên ngoài, với tên gọi đầy ẩn ý là “Đám mây đen”.
SDP có thể là một phần quan trọng để Zero Trust thực thi quyền truy cập mạng, nhưng trước tiên hãy cùng xem qua kiến trúc Zero Trust và những thay đổi có ý nghĩa đối với mạng và bảo mật.
Zero Trust dựa vào việc liên tục cấp quyền lại cho người dùng, ứng dụng và thiết bị để thiết lập vô số “phạm vi của một cá thể” trong môi trường mạng, nhưng Zero Trust không hoàn toàn chính xác theo nghĩa đen
Zero Trust không nên hiểu theo nghĩa đen là “không tin tưởng”; nó có nghĩa là không nên có sự tin tưởng ngầm. Bạn (có thể là một người, hay một hệ thống phần mềm hoặc phần cứng) không nhận được tin cậy chỉ đơn giản là do bạn đang hiện diện trên mạng; không có chu vi mạng mà bạn được tự động tin cậy để kết nối với các dịch vụ. Và bạn cũng sẽ không được tin cậy chỉ vì bạn đã có quyền truy cập vào mạng lần đầu; được chấp nhận một lần không đồng nghĩa với sự tin tưởng dài lâu. Và bạn không đáng tin cậy để kết nối tới một dịch vụ mới mà hiện bạn đang cố gắng thực hiện chỉ vì bạn đã được tin tưởng khi thực hiện một kết nối trước đó.
Vì vậy, trong môi trường Zero Trust, mỗi khi ai đó cố gắng kết nối với một dịch vụ, một lần nữa họ được yêu cầu xác thực (authentication) và quyền sử dụng dịch vụ đó của họ theo phương thức đó, vào thời điểm đó, dù họ đang ở đâu tại thời điểm này đó được gọi là xác minh lại (re-verified). Về mặt kiến trúc, các điểm quyết định chính sách (policy decision points) sử dụng bản đồ tin cậy (trust map) để đánh giá các yêu cầu trước khi hướng dẫn một hoặc nhiều điểm thực thi chính sách (policy enforcement points) chặn hoặc cho phép các phiên làm việc (sessions) được yêu cầu. “At that time - Tại thời điểm đó” là một khía cạnh quan trọng của Zero Trust. Bản đồ tin cậy (trust map) là bản đồ động và được cập nhật theo thời gian thực một cách lý tưởng dựa trên các phân tích về mối đe dọa hành vi được thực hiện dựa trên các hoạt động mạng thực tế đang diễn ra.
Một điểm cần lưu ý: Zero Trust là một cách tiếp cận, không phải là một sản phẩm. ZT có thể được triển khai ở lớp mạng (Zero Trust Network Access, ZTNA), ở lớp ứng dụng hay lớp dữ liệu, trong khi các sản phẩm riêng lẻ không phát triển trên ba vùng trên.
Software- defined perimeter: Zero Trust without the feedback loop (SDP: Zero Trust không đi kèm với feedback loop)
Khái niệm “Đám mây đen” - SDP là một khái niệm có trước Zero Trust. Nên triển khai toàn bộ kiến trúc điểm quyết định (decision point)/ bản đồ tin cậy (trust map)/ điểm thực thi (enforcement point) ở lớp mạng. Nó liên quan đến việc kiểm soát khi nào các gói tin được phép lưu chuyển. Khi nút A không được phép truy cập các dịch vụ trên nút B, nên thậm chí sẽ không thể phát hiện ra rằng nút B đang ở đó trên mạng; các gói tin được gửi đến nút B sẽ đơn giản bị loại bỏ. Nếu nút A được phép truy cập, chẳng hạn các dịch vụ web được mã hoá qua cổng 443, thì nó sẽ không thể nhận các gửi được gửi đến bất kỳ cổng nào khác. Đó “gần như “ là zero trust bởi vậy, như đã định nghĩa, SDP không yêu cầu feedback loop theo hành vi mà Zero Trust sử dụng để giữ cho bản đồ tin cậy được cập nhật. Tuy nhiên, các hãng cung cấp đang thu hẹp khoảng cách này, biến các giải pháp của họ thành các hệ thống ZTNA chính thức.
SDP là một bước tiến lớn đối với Zero Trust đầy đủ và có thể được sử dụng để kiểm soát quyền truy cập tới các dịch vụ của công ty từ các thiết bị đã biết, cho dù trên mạng công ty hay truy cập mạng từ xa, cho dù trong trung tâm dữ liệu hay trên đám mây.
SDP a good place to start (SDP một khởi đầu tốt)
Sử dụng SDP thay thế VPN để truy cập từ xa vào các tài nguyên của công ty làm cho ZT trở thành trường hợp sử dụng đầu tiên tuyệt vời trong nhiều mạng lưới mạng bởi vì:
Đó là một vấn đề được xác định rõ ràng cần giải quyết, bao gồm các trường hợp sử dụng phổ biến và hạn chế.
Các giải pháp VPN hiện tại thường gây khó chịu cho cả quản trị viên và người dùng, những người dùng cho chúng tôi biết họ đang gặp phải các vấn đề:
- Dễ bị hỏng, do đó, các phiên làm việc của user bị drop.
- Dễ cấu hình sai.
- Phức tạp để quản lý khi có nhiều nhóm với nhu cầu truy cập khác nhau chia sẻ chung, đồng thời có nhiều lỗ hổng bảo mật trong cơ sở hạ tầng để quản lý quyền truy cập.
Thường là trở ngại cho việc truy cập nhanh chóng, đáng tin cậy với các hệ thống được bảo mật. Quản lý các nhóm và cá nhân có nhu cầu tiếp cận khác nhau rộng rãi là trọng tâm của những gì một SDP được thiết kế để thực hiện.
Các cấp độ kiểm soát truy cập giống như VPN rất dễ sao chép.
SDP giúp bạn dễ dàng hiểu chi tiết hơn về quyền truy cập nhanh chóng.
Plan ZTNA thoroughly first (Thiết lập ZTNA đầu tiên một cách triệt để)
Nghiên cứu gần đây nhất của Nemertes về an ninh mạng, nghiên cứu thực thi chính sách và truy cập đám mây an toàn từ năm 2021 đến 2022, phát hiện ra rằng các tổ chức bảo mật áp dụng Zero Trust thành công nhất đều tiếp cận một cách khác biệt so với phần còn lại. Đa số các tổ chức đều “nhảy bổ vào”, đảm nhận không chỉ xác định kiến trúc Zero Trust của họ trong giai đoạn đầu tiên mà còn bắt đầu tái cơ cấu lại hạ tầng mạng và bảo mật, mua các công cụ, tập hợp các nhóm triển khai của họ. Ngược lại, các tổ chức càng thành công càng hạn chế giai đoạn đầu trong việc xác định kiến trúc ZT. Thay vào đó, họ theo đuổi việc cấu trúc lại mạng và bảo mật, rồi sau đó họ mới theo đuổi việc triển khai Điều cần làm là, đưa Zero Trust vào suy nghĩ của các nhân viên an ninh mạng trong tương lai, ngay bây giờ. Bắt đầu hành trình Zero Trust của bạn bằng cách xác định kiến trúc Zero Trust cho tổ chức của bạn, sau đó đánh giá lại kiến trúc mạng và bảo mật. Khi bạn đến thời điểm quyết định bắt đầu triển khai ở đâu, hãy xem xét kỹ SDP. Nó không chỉ là một bước khởi đầu hợp lý để cải thiện tình trạng bảo mật của bạn, nó có thể mang lại lợi ích đáng kể về mặt cải thiện trải nghiệm người dùng và giảm khối lượng công việc của nhân viên an ninh mạng.
Nam Khánh