- Author: Brandon Fang
- Translator: Maeve
Zero Trust: Kiến trúc bảo mật và lợi ích cho doanh nghiệp
Nội dung
Vào tháng 8 năm 2022, trong chuyến thăm Đài Loan của Nancy Pelosi, nhiều trang web của các cơ quan chính phủ như Văn phòng Tổng thống, Bộ Quốc phòng và Công ty Điện lực Đài Loan đã bị tấn công từ chối dịch vụ phân tán (DDoS) với quy mô lớn, trong khi các cửa hàng tiện lợi và bảng quảng cáo của Đường sắt Đài Loan cũng là đối tượng của các cuộc tấn công thay đổi nội dung (Deface). Những cuộc tấn công này đặt ra những mối đe dọa và thách thức đối với an ninh mạng của chính phủ và doanh nghiệp.
Đối mặt với những thách thức về an toàn thông tin, đến cuối năm 2023, Bộ Kỹ thuật số đã triển khai Kiến trúc Zero Trust (ZTA) cho 20 cơ quan an ninh cấp cao, bao gồm Bộ Kinh tế, Cục Bảo hiểm Lao động và Cục Đường cao tốc, lập kế hoạch để hoàn thành việc triển khai cho các cơ quan khác vào năm 2024. Hơn nữa, không chỉ ở Đài Loan mà còn ở Hoa Kỳ, việc phát triển kiến trúc Zero Trust đang được Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Bộ Quốc phòng tích cực ủng hộ.
Zero Trust là gì?
Zero Trust là một khái niệm bảo mật được xây dựng trên nguyên tắc cốt lõi “không bao giờ tin tưởng, luôn xác minh”.
Nền tảng của kiến trúc Zero Trust thừa nhận “các mối đe dọa có thể xuất hiện từ bất kỳ nguồn nào và người dùng cũng như thiết bị không được tin theo mặc định”. Do đó, mọi yêu cầu hệ thống phải trải qua các quy trình mã hóa, xác thực và ủy quyền để đảm bảo quyền truy cập duy nhất đối với người dùng đã được xác thực, từ đó bảo vệ các dữ liệu nhạy cảm. Ngoài ra, việc ghi nhật ký hoạt động tỉ mỉ là điều cần thiết để theo dõi và giám sát các tương tác trên hệ thống một cách hiệu quả.
Kiến trúc Zero Trust giống như thiết lập lớp bảo vệ mật khẩu thứ hai ngoài mật khẩu khởi động để bảo mật dữ liệu nhạy cảm như ứng dụng nhắn tin tức thì (IM) và album ảnh trên điện thoại di động. Điều này nhằm mục đích ngăn chặn truy cập trái phép vào tin nhắn riêng tư hoặc ảnh cá nhân ngay cả khi điện thoại đã được mở khóa.
Kiến trúc Zero Trust có thể ngăn chặn sự gia tăng thiệt hại về an ninh thông tin. Ví dụ, ngay cả khi kẻ trộm đột nhập thành công vào một ngôi nhà, nếu ví, sổ tiết kiệm, thẻ ATM và giấy tờ tùy thân đều được lưu trữ trong các két riêng biệt, kẻ trộm vẫn không thể lấy cắp dữ liệu quan trọng nếu không có mật khẩu cho từng két sắt, từ đó giúp giảm thiểu thiệt hại.
Triển khai Kiến trúc Zero Trust: Tăng cường bảo mật và nâng cao tối đa khả năng bảo vệ
Khung bảo mật 3A là concept của kiến trúc bảo mật Zero Trust, bao gồm Xác thực, Ủy quyền và Ghi chép. “Xác thực” không giả định người đăng nhập là người dùng đích thực mà cần sử dụng các phương pháp như FIDO, xác thực sinh trắc học hoặc xác thực hai yếu tố (2FA) để xác minh danh tính người dùng; “Ủy quyền” cấp cho người dùng những đặc quyền tối thiểu để ngăn dữ liệu bị truy cập bất thường và ngăn chặn các mối đe dọa bên cạnh các trường hợp vi phạm; “Ghi chép” liên quan đến việc theo dõi các hành động của người dùng để có thể truy tìm thủ phạm khi cần thiết.
Đối với các doanh nghiệp, tường lửa và phần mềm chống vi-rút không còn đủ khả năng để chống lại các cuộc tấn công mạng ngày càng tinh vi. Ngoài việc giảm thiểu nguy cơ tấn công bảo mật thông tin, kiến trúc Zero Trust còn có thể giảm thiểu các mối đe dọa từ các cuộc tấn công của tin tặc đến hệ thống mạng công ty.
Lấy ngành tài chính làm ví dụ: nếu đăng nhập vào ngân hàng trực tuyến chỉ yêu cầu tên người dùng và mật khẩu thì khi những thông tin đăng nhập này bị rò rỉ, dữ liệu người dùng cũng sẽ bị xâm phạm theo giả định rằng người dùng đăng nhập có thể không phải là chủ tài khoản đích thật, kết hợp các phương pháp xác minh sinh trắc học như nhận dạng dấu vân tay hoặc mống mắt, cũng như sử dụng mã xác minh SMS để xác nhận danh tính người dùng và liên kết thiết bị. Ví dụ: trong quá trình chuyển khoản ngân hàng trực tuyến, người dùng thường nhận được mã xác minh SMS, phù hợp với nguyên tắc Zero Trust, người gửi mặc định có thể không phải là người dùng xác thực, do đó cần phải xác nhận xem giao dịch có phải do chủ sở hữu thiết bị thực hiện hay không.
Với kiến trúc bảo mật Zero Trust, doanh nghiệp tăng cường khả năng phòng bị trước các mối đe dọa bảo mật dữ liệu bằng cách thực hiện xác thực và ủy quyền nghiêm ngặt. Cách tiếp cận này giảm thiểu tác động của việc vi phạm bảo mật, doanh nghiệp không chỉ giảm thiểu rủi ro mà còn đảm bảo tuân thủ các quy định. Kiến trúc Zero Trust liên quan đến việc triển khai nhiều công nghệ với độ phức tạp khác nhau, vì vậy doanh nghiệp nên lập kế hoạch toàn diện trước khi triển khai.
Các phương pháp thực hành tốt nhất để triển khai Kiến trúc bảo mật Zero Trust - digiRunner
digiRunner được phát triển bởi TPIsoftware, triển khai kiến trúc bảo mật Zero Trust, đảm bảo xác thực danh tính và ủy quyền mạnh mẽ trong giao dịch và bảo mật dữ liệu. digiRunner tuân thủ các tiêu chuẩn quốc tế và yêu cầu pháp lý đối với các lĩnh vực tài chính, bảo hiểm và chính phủ, digiRunner đảm bảo tuân thủ 100% các tiêu chuẩn kiểm tra.
Ngoài ra, digiRunner còn quản lý vòng đời API một cách toàn diện, phân loại API và dễ dàng phân quyền để giám sát tính bảo mật của môi trường API theo thời gian thực, đảm bảo dữ liệu backend không bị hack và phòng tránh các phần mềm độc hại.
Vào năm 2023, Viện Lập pháp đã thông qua điều thứ 48 của Đạo luật bảo vệ thông tin cá nhân, tăng mức phạt đối với các hành vi vi phạm. Đối với các vi phạm nghiêm trọng, có thể áp dụng mức phạt từ 150.000 Đài tệ đến 15.000.000 Đài tệ nếu một công ty rò rỉ thông tin cá nhân do lỗ hổng bảo mật thông tin, nó không chỉ gây tổn hại đến uy tín mà còn phải đối mặt với những khoản phạt nặng.
Bảo vệ dữ liệu người dùng, tăng cường bảo vệ an ninh dữ liệu và giảm nguy cơ bị hack là những vấn đề quan trọng đối với doanh nghiệp. Nếu bạn cần thiết lập kiến trúc bảo mật Zero Trust bảo mật cao, vui lòng liên hệ với TPIsoftware để được tư vấn miễn phí.