Bảo mật mạnh mẽ từ chip tới đám mây

Tính năng bảo vệ Zero Trust

Theo dữ liệu mới từ báo cáo "Tín hiệu bảo mật" do Microsoft ủy quyền, 75% những người ra quyết định về bảo mật từ cấp phó chủ tịch trở lên cảm thấy rằng việc chuyển sang mô hình làm việc kết hợp khiến tổ chức của họ dễ bị tổn thương hơn trước các mối đe dọa bảo mật.

"Với hơn 1 tỷ USD đầu tư vào bảo mật mỗi năm, hơn 3.500 chuyên gia bảo mật nhiệt huyết và khoảng 1,3 tỷ thiết bị Windows 10 được sử dụng trên khắp thế giới, chúng tôi có hiểu biết sâu sắc về các mối đe dọa mà khách hàng phải đối mặt", ông Adi Hariharan - Giám đốc tiếp thị sản phẩm, Microsoft - chia sẻ tại một hội thảo trực tuyến diễn ra mới đây.

Zero Trust là một mô hình bảo mật dựa trên tiền đề rằng không người dùng hoặc thiết bị nào ở bất kỳ đâu có thể có quyền truy cập cho đến khi sự an toàn và tính minh bạch được kiểm chứng. Windows 11 nâng cao cơ sở bảo mật với các yêu cầu mới được tích hợp trong cả phần cứng và phần mềm để bảo vệ nâng cao từ chip đến đám mây. Với Windows 11, người dùng có thể đạt năng suất kết hợp và trải nghiệm mới mà không ảnh hưởng đến bảo mật.

Các nguyên tắc Zero Trust gồm 3 phần. Đầu tiên, hãy xác minh một cách rõ ràng. Điều đó có nghĩa là luôn xác thực và ủy quyền dựa trên tất cả các điểm dữ liệu có sẵn, bao gồm danh tính người dùng, vị trí, tình trạng thiết bị, khối lượng công việc hoặc dịch vụ, phân loại dữ liệu và các điểm bất thường. 

Thứ hai,sử dụng quyền truy cập ít đặc quyền nhất, giới hạn quyền truy cập của người dùng với Just-In-Time và Just-Enough Access, các chính sách thích ứng dựa trên rủi ro và bảo vệ dữ liệu để giúp bảo mật cả dữ liệu và năng suất. 

Và cuối cùng, giả lập vi phạm: Hoạt động theo cách giảm thiểu phạm vi vi phạm và khả năng tiếp cận các phân đoạn. Xác minh mã hóa đầu cuối và sử dụng phân tích để có được khả năng hiển thị để có được khả năng hiển thị, phát hiện các mối đe dọa và cải thiện khả năng phòng thủ.

Với Windows 11, nguyên tắc Zero Trust xác minh rõ ràng được áp dụng cho các rủi ro được gây ra bởi cả thiết bị và người dùng. Việc cung cấp bảo mật từ chip đến đám mây, giúp quản trị viên CNTT chứng thực và đo lường để xác định xem thiết bị có đáp ứng các yêu cầu và có đáng tin cậy hay không. Hệ điều hành này hoạt động hiệu quả với Microsoft Intune và Azure Active Directory, do đó, các quyết định truy cập và thực thi là liền mạch. 

Ngoài ra, quản trị viên CNTT có thể dễ dàng tùy chỉnh Windows 11 để đáp ứng các yêu cầu cụ thể của người dùng và chính sách về quyền truy cập, quyền riêng tư, tuân thủ và hơn thế nữa.

Người dùng cá nhân cũng được hưởng lợi từ các biện pháp bảo vệ mạnh mẽ bao gồm các tiêu chuẩn mới về bảo mật dựa trên phần cứng và bảo vệ không mật khẩu. Giờ đây, tất cả người dùng có thể thay thế mật khẩu rủi ro bằng cách cung cấp bằng chứng nhận dạng an toàn với ứng dụng Microsoft Authenticator, đăng nhập bằng khuôn mặt hoặc vân tay, khóa bảo mật hoặc mã xác minh được gửi tới điện thoại hoặc email.

"Tính năng bảo mật của Windows 11 mở rộng Zero-trust lên tận đám mây, cho phép các chính sách, kiểm soát, quy trình và công nghệ hoạt động cùng nhau để bảo vệ thiết bị, dữ liệu, ứng dụng và danh tính từ mọi nơi", ông Adi Hariharan khẳng định.

Microsoft cung cấp các dịch vụ đám mây toàn diện để quản lý danh tính, lưu trữ và truy cập cùng với các công cụ để chứng thực rằng bất kỳ thiết bị Windows nào kết nối với mạng của người dùng đều đáng tin cậy. Ngưởi dùng cũng có thể thực thi việc tuân thủ và quyền truy cập có điều kiện bằng dịch vụ quản lý thiết bị hiện đại (MDM) như Microsoft Intune hoạt động với Azure Active Directory để kiểm soát quyền truy cập vào các ứng dụng và dữ liệu thông qua đám mây.

Tăng cường bảo mật bằng sự kết hợp cả phần cứng và hệ điều hành

Khoảng 80% các nhà lãnh đạo chịu trách nhiệm vấn đề bảo mật cho rằng chỉ phần mềm thôi là không đủ khả năng bảo vệ trước các mối đe dọa mới nổi. Trong Windows 11, phần cứng và phần mềm hoạt động cùng nhau để bảo vệ toàn diện từ CPU tới đám mây. Đồng thời, gần 90% các nhà ra quyết định bảo mật cho rằng phần cứng lỗi thời khiến các tổ chức dễ đối mặt với các cuộc tấn công hơn và phần cứng hiện đại hơn sẽ giúp bảo vệ khỏi các mối đe dọa trong tương lai. 

Dựa trên những cải tiến của Windows 10, Microsoft đã làm việc với nhà sản xuất và các đối tác silicon để cung cấp các khả năng bảo mật phần cứng bổ sung nhằm thích ứng với bối cảnh mối đe dọa ngày càng gia tăng và cho phép công việc và học tập kết hợp nhiều hơn. Bộ yêu cầu bảo mật phần cứng mới của Windows 11 được thiết kế để xây dựng một nền tảng mạnh mẽ hơn và có khả năng phục hồi cao hơn trước các cuộc tấn công.

Trong Windows 11, phần cứng và phần mềm hoạt động cùng nhau để bảo vệ toàn diện từ CPU tới đám mây. Hãng đã phát hành PC lõi bảo mật (Secured-core PC) Windows 10. Một tiêu chuẩn mới trong bảo mật thiết bị Windows. Tích hợp sâu giữa phần cứng, firmware, Windows 10 Pro và danh tính, mang sự bảo vệ đáng tin cậy nhất tới firmware và ngăn chặn các cuộc tấn công vào firmware và hệ điều hành.

Bộ xử lý bảo mật Microsoft Pluton là một thiết kế silicon ưu tiên bảo mật hàng đầu mang đến sự bảo vệ toàn diện từ chip đến đám mây. Đây là bước tiến tiếp theo trong quá trình phát triển bảo mật Windows: Sự hợp tác với các đối tác silicon hàng đầu mang đến thiết kế bộ xử lý bảo mật đột phá. Bộ xử lý bảo mật được tích hợp trong CPU, giúp loại bỏ việc bị lộ thông tin và chống lại các cuộc tấn công vật lý. 

Chương trình cơ sở đo lường cho phép Pluton cung cấp xác minh và chứng thực toàn diện. Microsoft thường xuyên cung cấp các bản vá bảo mật đáng tin cậy và các bản cập nhật tính năng mới cho chương trình cơ sở với Windows Updates.

Ông Adi Hariharan cho biết: "Trong Windows 11, phần cứng và phần mềm làm việc cùng nhau để bảo vệ hệ điều hành, với tính năng bảo mật dựa trên ảo hóa (VBS) và Secure Boot được tích hợp sẵn và được bật theo mặc định trên các CPU mới. Ngay cả khi những kẻ xấu xâm nhập cũng không tiến sâu được. VBS sử dụng các tính năng ảo hóa phần cứng để tạo ra và cô lập vùng bộ nhớ an toàn khỏi hệ điều hành. Môi trường bị cô lập này lưu trữ nhiều giải pháp bảo mật, tăng cường mạnh mẽ khả năng bảo vệ khỏi các lỗ hổng trong hệ điều hành và ngăn chặn việc sử dụng các phần mềm khai thác độc hại".

Với bảo mật tách biệt dựa trên phần cứng bắt đầu từ chip, Windows 11 lưu trữ dữ liệu nhạy cảm đằng sau các hàng rào bảo mật bổ sung, tách biệt khỏi hệ điều hành. Thông tin xác thực được bảo mật bằng phần cứng cấp chip bao gồm TPM 2.0 kết hợp với VBS và Microsoft Credential Guard. Do đó, thông tin bao gồm khóa mã hóa và thông tin đăng nhập của người dùng được bảo vệ khỏi sự truy cập trái phép và giả mạo./.