Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Mở đường cho giải pháp Zero-trust trong bảo mật với xác thực thích ứng

Các dự án zero-trust muốn thành công cần sự chuyển dịch có lộ trình cụ thể và rành mạch.

Trong nhiều năm, ngành công nghệ đã nhận ra sự thật rằng tên người dùng và mật khẩu là phương án kém nhất để xác minh danh tính của người dùng trực tuyến. Hầu hết các tổ chức được cho là tiến bộ nhất hiện nay đều nói rất hay hay về việc xây dựng một môi trường zero-trust để bảo mật các hệ thống. Nhưng triển khai môi trường đó lại là một công việc phức tạp.

Theo định nghĩa, một trong những nguyên tắc cốt lõi của kiến trúc không tin cậy (zero-trust) là "Không tin tưởng ai và xác thực mọi thứ." Zero-trust tạo ra một số khó khăn đối với trải nghiệm người dùng, vì các lớp xác thực bổ sung trở thành bắt buộc, chẳng hạn như xác thực đa yếu tố. Một cách để giải quyết vấn đề này là bằng cách triển khai xác thực thích ứng (adaptive authentication), một cách tiếp cận dựa trên hoàn cảnh không yêu cầu người dùng xác thực thêm danh tính của họ khi không cần thiết.

Với xác thực thích ứng, khi người dùng cố gắng truy cập một tài nguyên, hệ thống quản lý danh tính có khả năng tính toán việc người dùng đăng nhập từ đâu, trên mạng và thiết bị nào và thiết bị đó có được cấu hình chính xác hay không. Nếu bất kỳ điều kiện nào trong số đó không được đáp ứng - chẳng hạn như một thiết bị chưa được vá lỗi - xác thực thích ứng sẽ vẫn cấp quyền truy cập vào tài nguyên mà người dùng cần, nhưng nó sẽ yêu cầu thêm một bước để xác thực danh tính của họ. Xác thực thích ứng kết hợp với ngữ cảnh của người dùng và sau đó thay đổi các kiểm tra chính sách dựa trên các yếu tố đó để xác định người ở trước màn hình là người mà họ tuyên bố.

Mặc dù xác thực thích ứng cho phép tạo ra trải nghiệm người dùng tích cực trong môi trường zero-trust nơi mọi người đều bi nghi ngờ, nhưng việc triển khai vẫn còn những thách thức.

Thách thức đầu tiên và lớn nhất là nhiều ứng dụng được sử dụng bởi các tổ chức lâu đời đã tồn tài từ 10, 20, 30 năm nay nhưng khái niệm xác thực thích ứng là rất mới. Nói một cách đơn giản, các hệ thống cũ không biết cách gia nhập vào môi trường này, bởi vì chúng được thiết kế cứng để chỉ chấp nhận tên người dùng và mật khẩu. Việc viết lại các hệ thống cũ để hỗ trợ các phương pháp xác thực hiện đại có thể mất hàng tháng và tốn hàng triệu USD.

Hãy cân nhắc ví dụ những ngân hàng lớn điều hành hoạt động kinh doanh của mình trên một ứng dụng được xây dựng tốt đến mức trong 20 năm, họ không cần phải thay đổi nó. Hoặc một công ty giải trí sử dụng phần mềm 30 năm tuổi để vận hành hệ thống dây an toàn trong các trò chơi trong công viên giải trí của họ. Đây không hẳn là loại ứng dụng có sẵn dưới dạng nền tảng SaaS - không ai có thể xây dựng nó, cũng như nhiều người sẽ không cần mua nó.

Ngoài ra, zero-trust đòi hỏi việc kiểm tra thời gian chạy liên tục để thực thi các chính sách. Tuy nhiên, các hệ thống tập trung thường phụ thuộc vào hoạt động đồng bộ hàng loạt định kỳ để cập nhật thông tin của chúng. Điều này có thể dẫn đến việc thực thi chính sách sai nếu dữ liệu chính không đồng bộ.

Một rào cản khác đối với xác thực thích ứng là thách thức quen thuộc của việc xới tung tất cả. Để có được một môi trường zero-trust, một tổ chức thực sự phải thay đổi mọi thứ và mọi nguồn lực. Đây là một nhiệm vụ quá sức, nếu không muốn nói là bất khả thi. Để vượt qua những trở ngại này, hãy xem xét các phương pháp hay nhất sau đây.

Hãy thực tế: Bắt đầu bằng cách đánh giá các ứng dụng dựa trên rủi ro và độ phức tạp, để hiểu thách thức lớn như thế nào trước khi khởi động. Ưu tiên những ứng dụng có mức tin cậy cao nhất với mức cần kiểm tra ít nhất. Đó là điều quan trọng để hiểu được bắt đầu từ đâu.

Hiện đại hóa một cách nhẹ nhàng: Khi bạn cập nhật một quy trình, hãy thực hiện theo cách không làm thay đổi chính ứng dụng đó. Quay trở lại ví dụ về phần mềm vận hành dây an toàn của công viên giải trí: đừng xây dựng lại ứng dụng đó nếu không cần thiết. Sử dụng công nghệ trừu tượng để tách biệt danh tính khỏi chính ứng dụng và loại bỏ nhu cầu thay đổi các khả năng cốt lõi của ứng dụng đồng thời cung cấp cầu nối để triển khai xác thực thích ứng.

Bắt đầu với quy mô nhỏ: Tiếp đến chọn một số lượng nhỏ ứng dụng để bắt đầu cập nhật - 1, 5, có thể không quá 10. Lấy từng ứng dụng và áp dụng mô hình zero-trust. Sau khi hoàn thành nhóm này, nếu thấy hiệu quả hơn dự kiến, hãy chuyển sang nhóm 5 tiếp theo, rồi làm tiếp nhóm 10 khác. Hầu hết các dự án đều thất bại khi họ cố gắng làm quá nhiều và trở nên khó chịu với người dùng đến mức họ chỉ nói: "Điều này là không thể chấp nhận được. Tôi không thể làm công việc của mình."

Giữ những gì có thể: Cuối cùng, sử dụng lại các hệ thống và công nghệ hiện có nếu có thể. Đừng bỏ tất cả trứng vào một giỏ dựa trên tuyên bố của nhà cung cấp rằng nó sẽ giải quyết được mọi vấn đề của bạn. Tập trung hóa không còn phổ biến như trước - các hệ thống CNTT được phân tán ngày càng lớn hơn. Thay vào đó, hãy tận dụng các chính sách và cơ sở hạ tầng đang hoạt động và có khả năng phục hồi.

Xác thực thích ứng có thể làm cho việc bổ sung zero-trust trở thành trải nghiệm tốt hơn, nhẹ nhàng hơn cho người dùng. Thực hiện quá trình chuyển đổi có kiểm soát và dần dần sang một thế giới ngoài mật khẩu sẽ quyết định sự thành công hay thất bại của các dự án zero-trust./.

Nguồn: Theo https://ictvietnam.vn/