Mục lục
Zero Trust Security: Không tin ai, luôn xác minh
"Tin chứng, không tin lời" — câu nói này của bà ngoại tôi đã không bao giờ sai. Và nó cũng chính là triết lý đằng sau Zero Trust Security. Sau 7 năm làm trong lĩnh vực bảo mật, tôi đã thấy quá nhiều công ty bị hack, không phải vì hacker giỏi lắm, mà đơn giản vì họ quá tin tưởng những gì nên là an toàn.
Năm 2023, Gartner báo cáo rằng 67% các cuộc tấn công thành công bắt đầu từ các tài khoản user hợp lệ, không phải từ lỗi ngày 0 hay công nghệ khủng khiếp nào cả. Đúng vậy — kẻ tấn công không cần phá vào cửa khi họ có chìa khóa. Hoặc tệ hơn, họ đánh cắp chìa khóa từ một nhân viên phòng IT nào đó.
Cái bẫy của VPN thời kỳ khiến
Gần 10 năm trước, chúng tôi vẫn tin rằng VPN là giải pháp cuối cùng. Kết nối được VPN → trong mạng nội bộ → an toàn. Sai hoàn toàn.
Tôi từng làm việc tại một ngân hàng ở TP.HCM. Họ có VPN khá chặt. Nhưng sau một cuộc xâm nhập được phát hiện (phần tử được thuê của competitor cài malware), chúng tôi nhận ra: khi một nhân viên bộ phận A kết nối VPN, anh ta có thể truy cập mọi thứ trong mạng. Database khách hàng, mã nguồn dự án ghi nợ, thậm chí cả hệ thống điều hành. Đó gọi là lateral movement — di chuyển ngang trong mạng nội bộ sau khi đã vào.
Zero Trust dập tắt cái tư duy đó. Thay vì tin là an toàn vì đã vào mạng nội bộ, nó nói: mỗi lần truy cập tài nguyên, bạn phải chứng minh bạn là ai, từ đâu, và đó là lần truy cập hợp lệ không.
Công thức tối thiểu của Zero Trust
Đó không phải một sản phẩm mà là một mindset. Các yếu tố chính:
Verify mọi người, mọi thứ: Không có "trong mạng nội bộ = an toàn". Lần truy cập đầu tiên cần MFA, lần tiếp theo cũng cần xác minh lại nếu context thay đổi (IP khác, device mới, thời gian lạ).
Chia mạng thành những segment nhỏ, mỗi segment bảo vệ như một pháo đài. Kẻ tấn công xâm nhập được segment A thì không tự động vào được segment B.
Chia sẻ bài viết
