Bài viết mô tả các khái niệm về quản lý định danh & quyền truy cập trong mô hình Microsoft Zero Trust Identity Access. Giúp hiểu rõ nguyên tác hoạt động để bảo vệ tổ chức, kết hợp sử dụng Azure AD trong gói Microsoft 365. Giúp truy cập bằng hình thức đa lớp xác thực MFA giảm nguy cơ vi phạm bảo mật.
Microsoft Zero Trust Identity Access là gì?
Ngày nay, thước đo tiêu chuẩn bảo mật trong doanh nghiệp ngày đang chuyển đổi nhanh chóng. Ứng dụng trên đám mây, thiết bị cá nhân, dữ liệu on-premise đến hybrid hoặc cloud. Nhân viên làm việc từ xa, trên thiết bị cá nhân, chia sẻ dữ liệu cho đối tác. Dù qua VPN tương tác dữ liệu, vẫn thiếu khả năng bảo mật hoặc giải pháp ứng phó kịp thời. Giải pháp Microsoft Zero Trust Identity & Access giúp định danh đúng người nhân viên sử dụng dữ liệu.
Identity and access management
Quản lý định danh và truy cập là xác định người dùng với các thông tin được cấp cho họ. Có thể thông qua gói Microsoft 365 có các phương thức MFA, xác định người truy cập thông qua vị trí truy cập, thiết bị đang dùng, thời gian truy xuất. Tất cả yếu tố này sẽ quyết định người dùng có được truy cập hay không.
Identity chính là trung tâm điều khiển & kiểm soát trong việc bảo vệ dữ liệu doanh nghiệp. Bên cạnh bảo vệ, nó giúp doanh nghiệp xây chiến lực quản lý định danh người truy cập.
Hybrid Identity
Hybrid Identity là sử dụng các tài khoản có trong hệ thống Active Directory. Sau đó, sao chép copy các tài khoản này lên Azure AD trong các gói Microsoft 365.
Triển khai định danh dạng hybrid thì AD on-premise là nguồn xác thực thông tin. Kết hợp Azure AD Connect để đồng bộ với tài khoản người dùng trên Azure AD. Việc này giúp định danh cùng lúc cho người dùng truy cập vào các cloud và lẫn mạng nội bộ.
Cloud Identity
Cloud Identity là việc chỉ định danh cho người dùng truy cập các dịch vụ trên cloud thông qua Azure AD. Theo cách này người dùng trong doanh nghiệp sử dụng tài khoản Microsoft 365 để đăng nhập.
Triển khai định danh theo Zero Trust
Trong mô hình Zero Trust, mọi yêu cầu truy cập đều được xác thực mạnh mẽ. Được ủy quyền thực thi chính sách và kiểm tra các điểm bất thường trước khi cấp quyền truy cập. Mọi thông tin lấy để danh tính người dùng vào ứng dụng đều được sử dụng để ngăn vi phạm. Áp dụng nguyên tắc phân nhỏ và nguyên tắc truy cập đồng nhất để giảm sai phạm. Phân nhỏ là tạo vùng an toàn để phân chia khối lượng công việc, mỗi khối lượng công việc đều có thể được bảo mật. Cuối cùng, thuật toán phân tích giúp xác định điều gì đã xảy ra, điều gì đã bị xâm phạm và cách ngăn điều đó xảy ra lần nữa.
Các nguyên tắc của Zero Trust (Nhắc lại)
Verify explicitly. Luôn luôn xác thực. Định danh người dùng xảy ra ở nguyên tắc này. Bên cạnh xác định các yếu tố vị trí tọa độ, tình trạng thiết bị, trước khi cấp quyền.
Use the least privileged access. Giới hạn quyền truy cập, để phân nhỏ công việc đảm bảo bảo mật tuyệt đối.
Assume breach. Luôn giả sử là truy cập vi phạm để lưu giữ phương thức tránh bị lập lại.
Zero Trust sử dụng biện pháp kiểm soát truy cập thông minh. Xem xét các tín hiệu nguy hiểm hoặc rủi ro từ người dùng và thiết bị động. Trong từng trường hợp cụ thể, sẽ cấp phép truy ứng dụng & tài nguyên của doanh nghiệp.
Zero Trust xem xét dựa trên 3 khía cạnh
Signals to inform decisions. Quyết định cho truy cập dựa trên các tín hiệu thu thập được từ người dùng hoặc thiết bị.
Policies to make access decisions. Dựa theo các chính sách thiết lập trước để kiểm soát việc truy cập tài nguyên.
Enforcement capabilities to implement. Buộc thực thi các hành động để có quyền truy cập tài nguyên. Chỉ cho phép đọc Read-Only khi sử dụng một số dịch vụ SaaS. Hoặc yêu cầu reset mật khẩu, khi xét thấy mật khẩu đã bị lộ.
Quản lý Microsoft Zero Trust Identity Access qua Azure AD của Microsoft 365
Trong các gói Microsoft 365, Azure AD giúp quản lý truy cập và kiếm soát tài nguyên của doanh nghiệp. Điều này phù hợp với mô hình Zero Trust với việc quản lý định danh và truy cập.
Conditional Access là gì?
Là việc quản lý định danh, cấp quyền truy cập an toàn & bảo vệ dữ liệu nhạy cảm. Từ Signals người dùng, thiết bị, ứng dụng, vị trí, đánh giá rủi ro trước khi cho truy cập. Conditional Access được thực hiện theo câu điều kiện, hay gọi là lệnh nếu thì (if- then). Nếu người dùng muốn truy cập một tài nguyên, thì họ phải hoàn thành một hành động. Ví dụ người quản lý bảng lương muốn truy cập ứng dụng tính lương. Thì cần được yêu cầu thực hiện các bước xác thực (đa yếu tố MFA) để truy cập ứng dụng. (xem minh họa bên dưới)
Conditional Access – Truy cập có điều kiện
Các Signals cho Conditional Access
Khi có một yêu cầu xin truy cập, Conditional Access sẽ xét thông tin từ các Signal. Phân tích & xác định rủi ro có thể xảy ra, để quyết định cho hoặc từ chối yêu cầu. Các Signal thường được dùng bao gồm:
User hoặc group membership. Lập chính sách truy cập cho người dùng hoặc nhóm nhất định để kiểm việc truy cập.
IP Location. Có thể chọn chặn hoặc cho phép lưu lượng truy cập từ toàn bộ dải IP hoặc IP quốc gia.
Device. Người dùng với thiết bị cụ thể sẽ được đánh dấu tình trạng thực thi chính sách truy cập.
Application. Người dùng cố truy cập một ứng dụng có thể sẽ cần thực thi chính sách.
Real-time and calculated risk detection. Kết hợp với định danh Azure, thực thi chính sách Conditional Access khi có hành vi bất thường.
Microsoft Cloud App Security. Cho phép truy cập ứng dụng, sẽ được theo dõi và kiểm soát real-time.
Các quyết định được đưa ra từ Conditional Access
Conditional Access sẽ giúp quyết định cho phép người dùng truy cập vào tài nguyên của tổ chức. Có thể cấu hình chính sách để kiểm soát một cách chi tiết những trường hợp gửi yêu cầu. Các quyết định được đưa ra bao gồm:
Block Access. Chặn không cho truy cập.
Grant Access. Cấp quyền truy cập. Có thể tiếp tục yêu cầu kiểm tra thêm như sau:
Xác thực đa yếu tố.
Thiết bị phải tuân thủ chính sách.
Thiết bị kết nối Azure.
Yêu cầu xác thực bằng ứng dụng.
Mua bản quyền Identity và Conditional Access
Như đã biết Identity và Conditional Access liên quan đến dịch vụ Azure AD. Dịch vụ này có thể miễn phí trong gói Microsoft 365 hoặc Azure Premium P1 vs P2. Hiện tại, Azure Premium P1 có sẵn trong các gói Microsoft 365 Enterprise E3, F1 & F3. Có thể trang bị Azure Premium P2 qua các gói Microsoft 365 E5, F5.
Azure AD Free cho self-service password change (tự đổi mật khẩu), MFA, báo cáo security basic và B2B collaboration.
Dịch vụ Azure AD Premium P1 sẽ có cả Azure AD Free, Conditional Access cho nhóm, location, device status.
Cao cấp nhât là Azure AD Premium P2 sẽ bao gồm cả P1, và nâng cấp các tính năng lên mức độ cao hơn.
Secure authentication – Xác thực bảo mật
Giúp giảm nguy cơ bị kẻ xấu tấn công qua phương thức đánh cấp định danh người dùng. Hầu hết các cuộc đánh cấp đều là do đánh cấp mật khẩu. Azure AD với Microsoft 365 giúp cải thiện tình trạng này hiệu quả hơn với MFA hoặc xác thực không cần mật khẩu.Người dùng thường phải nhớ hay đối mặt với nhiều vấn đề mật khẩu như sau:
Tạo mật khẩu mạnh sẽ có thể khó nhớ.
Người dùng thường sử dụng lại mật khẩu trên nhiều trang web khác nhau.
Máy chủ bị tấn công có thể làm lộ thông tin xác thực mạng đối xứng (mật khẩu).
Người dùng vô tình để lộ mật khẩu do dạng cuộc tấn công lừa đảo.
Sử dụng đa xác thực Multi-Factor Authentication
Multi-factor authentication (MFA) là quy trình người dùng được nhắc khi đăng nhập về một hình thức nhận dạng bổ sung. Chẳng hạn như, sử dụng Code được gửi đến điện thoại hoặc quét vân tay.
Nếu chỉ sử dụng mật khẩu để xác thực người dùng, thì sẽ không an toàn tuyệt đối. Mật khẩu yếu hoặc đã bị lộ ở nơi khác, thì đó có là người dùng đăng nhập hay đó là kẻ tấn công? Khi được yêu cầu xác thực lần hai, tính bảo mật sẽ được tăng lên, kẻ tấn công không dễ lấy được.
Azure MFA sẽ yêu cầu xác thực lần hai hoặc nhiều hơn:
Something you know. Thông thường là chỉ yêu cầu mật khẩu của người dùng.
Something you have. Yêu cầu sử dụng trên các thiết bị tin cậy, hoặc mã xác thực điện thoại.
Cuối cùng, Something you are. Dùng sinh trắc hoặc nhận diện khuôn mặt, vân tay.
Người dùng có thể được Azure MFA yêu cầu đăng ký sử dụng một trong các phương thức sau:
Microsoft Authenticator app. Phần mềm tải trên mobile.
SMS. Tin nhắn từ sim.
Voice call. Cuộc gọi báo mã số
OATH Hardware token. Thiết bị cứng, có thể mã truy cập.
Sử dụng phương thức xác thực không mật khẩu – Passwordless Authentication là gì?
Xác thực Đa yếu tố thay thế mật khẩu bằng một giải pháp thay thế an toàn. Sử dụng phương pháp xác thực không cần mật khẩu sẽ loại bỏ hoàn toàn các mật khẩu dễ bị tấn công. Người dùng xác thực bằng cách sử dụng thứ họ có như điện thoại thông minh, sinh trắc học. Hoặc thứ họ biết mã PIN gắn với một thiết bị cụ thể.
Loại bỏ lỗ hổng bảo mật: mật khẩu yếu có thể bị đánh cắp.
Sử dụng nhận dạng khuôn mặt và xác thực sinh trắc học để giúp đảm bảo đúng người có quyền truy cập.
Gắn mã PIN vào thiết bị để tin tặc cần đánh cắp cả hai.
Azure AD hỗ trợ Fast Identity Online 2 (FIDO2). FIDO2 là một tiêu chuẩn mở để xác thực không cần mật khẩu. Đây tiêu chuẩn để đăng nhập vào tài nguyên không cần ID & PW. Dạng này áp dụng cho các máy tính dùng chung và thiết bị di động. Phù hợp với dạng nhân sự làm việc theo ca, hoặc phải di chuyển như trong bệnh viện, hoặc nhân viên floor salesman.
Microsoft Authenticator
Một trong các xác thực không mật khẩu, sử dụng qua ứng dụng trên thiết bị di động. Tải Microsoft Authentication tại đây
Windows Hello & Biometric sign-in
Phương thức xác thực quá quen thuộc với tổ chức sử dụng hệ điều hành Windows 10. Nhận diện khuôn mặt hoặc vân tay, được tích hợp sẵn trên các thiết bị phần cứng.
Như vậy, Microsoft Zero Trust Identity Access giúp dễ dàng truy cập từ thiết bị đến ứng dụng một cách an toàn. Dữ liệu và tài nguyên của doanh nghiệp sẽ giảm bớt các vấn đề bị xâm phạm. Azure AD chính là một dịch vụ đắc lực giúp doanh nghiệp có thể triển khai phần Identity trong mô hình Zero Trust.
Đây là chương trình đánh giá rủi ro an ninh mạng dành cho doanh nghiệp SMB. Với tên gọi Cyber Security Assessment Tool (CSAT), trước đây Microsoft chỉ áp dụng cho đối tượng doanh nghiệp Enterprise.
Cyber Security Assessment Tool – Đánh giá rủi ro an ninh mạng là gì?
Là một công cụ để kiểm tra nhanh chóng & dễ dàng tình trạng bảo mật môi trường IT. Dựa trên cơ sở dữ liệ từ hạ tầng cơ sở của doanh nghiệp hoặc Microsoft 365. Công cụ đánh giá An Ninh Mạng CSAT sẽ quét và phân tích hoàn toàn tự động. Từ đó, đưa ra các khuyến nghị và kế hoạch triển khai tình trạng bảo mật. Giúp doanh nghiệp giải quyết vấn đề vốn quan trọng & tối đa hóa việc bảo mật cho tổ chức.
Với CSAT, là một phần mềm được các chuyên gia giàu kinh nghiệm phát triển. CSAT thu thập thông tin liên quan thông qua một cách tự động. Tự xóa sau quá trình quét điểm cuối, không cần bộ phận CNTT xử lý.Hoạt động dựa trên việc quét/scan:
Máy trạm endpoints và hệ thống trong mạng network.
Xu thế chuyển đổi mô hình truyền thống sang mô hình số có thể đối đầu với thách thức an toàn mạng. Các hành vi người dùng chưa thích ứng, hoặc thiết bị truy cập nhiều nơi chưa đúng cách. Môi trường làm việc trực tuyến không còn trong phạm vi doanh nghiệp mà mở rộng sang với đối tác.
Trong môi trường IT không chỉ có user nội bộ mà còn bên ngoài, guest, external… cùng cộng tác.
Thiết bị truy cập dữ liệu không chỉ là thiết bị được cấp, mà cả trên thiết bị cá nhân.
Các ứng dụng doanh nghiệp on-prem và cả ứng dụng từ các nhà cung cấp khác trên cloud.
Các ứng dụng liên kết với nhau qua API mở rộng.
Môi trường mạng ngày càng có nhiều mã độc, và các cuộc tấn công phá hoại hoặc tống tiền. Là các thách thức liên quan đến ngân sách của doanh nghiệp. Doanh nghiệp cần biết sử dụng ngân sách để đầu tư cho việc bảo mật hay là phần tiền chuộc các cuộc tống tiền.
Microsoft nổ lực đưa chương trình đánh giá rủi ro & xây dựng chiến lược an ninh thông tin cho doanh nghiệp SMB. Dựa vào tiêu chuẩn an toàn Microsoft Zero Trust và CIS Control version 8.0 hoàn toàn miễn phí tại Việt Nam.
Điều kiện doanh nghiệp SMB đăng ký đánh giá CSAT
Doanh nghiệp có từ 100 nhân viên đến 300 nhân viên.
Khách hàng cảm thấy có vấn đề về hệ thống bảo mật.
Khách hàng có sử dụng các dịch vụ Microsoft như Microsoft 365 chẳng hạn.
Thời gian triển khai – Đánh giá rủi ro an ninh mạng
Để triển khai cần thời gian từ 3 – 5 ngày làm việc, liên quan từ 2-4 vấn đề.
Bước 1: Ngày đầu tiên, dành cho công tác chuẩn bị: 3 -4 giờ kiểm tra các yếu tố kỹ thuật.
Bước 2: Thiết lập cài đặt, quét và khảo sát. Thời gian thực hiện trong 3-4 giờ làm việc, có thể kéo dài hết ngày thứ 2.
Bước 3: Báo cáo và Khuyến Nghị. Thời gian từ 30 – 45 phút. Bắt đầu từ ngày làm việc thứ 3 hoặc kéo dài đến ngày thứ 5.
Các quý khách hàng có nhu cầu tham gia chương trình này từ nay đến 30/06/2022. Vui lòng liên hệ với VinSEP
Hướng dẫn mua bản quyền phần mềm Microsoft 365 Business Standard Retail. Đây một gói bản quyền rút gọn của gói Microsoft 365 Business – Standard dành cho doanh nghiệp. Phù hợp với các công ty nhỏ, trang bị và sử dụng ngay không mất nhiều thời gian.
Microsoft 365 Business Standard Retail là gì?
Đây là gói bản quyền dành cho doanh nghiệp nhỏ. Được trang bị đầy đủ các dịch vụ OneDrive, SharePoint, Exchange kèm với bộ cài đặt Office.
Bộ cài đặt Office cao cấp bao gồm Word, Excel, PowerPoint, Outlook.
Mỗi người có không gian lưu trữ 1TB OneDrive (cá nhân), phát hiện mã độc tống tiền ransomeware
Bổ sung các ứng dụng doanh nghiệp như Bookings bên cạnh Editor và Microsoft Teams.
Mỗi license dành cho một người dùng, cài đặt lên hầu hết thiết bị của người dùng.
Máy tính để bàn, máy tính xách tay, Macbook, điện thoại thông tin, và máy tính bảng.
Các thiết bị khác có hệ điều hành lần lượt là Windows, iOS, MacOS, Android.
Mỗi dạng thiết bị cá nhân có thể đăng nhập trên 5 thiết bị.
Dịch vụ và ứng dụng doanh nghiệp sẽ được triển khai đồng bộ theo tên miền.
Exchange Online với 50GB lưu trữ thư
Microsoft Teams, SharePoint Online và OneDrive.
Phân tích nhu cầu & lợi ích mua Microsoft 365
Trước đây, Doanh nghiệp có thể mua Microsoft 365 Personal hay gói Family để sử dụng. Nay có nhiều thêm các dịch vụ tiện ích như SharePoint bổ sung và Exchange doanh nghiệp.
Outlook với 50GB Exchange lưu trữ
Gia tăng khả năng lưu trữ các email cá nhân với Outlook cao cấp.
Microsoft Teams – dành cho cá nhân
Thời lượng họp được mở rộng trong thời kỳ Covid-19 diễn biến phức tạp. Hiện nay, Microsoft Teams đã điều chỉnh lại trạng thái ban đầu. Các cá nhân với nhu cầu sử dụng trên 60 phút có thể mua gói Personal để sử dụng.
Tương tự, phiên bản Teams Essentials dành cho doanh nghiệp nhỏ, thiếu tính năng Recording Meeting.
Microsoft Bookings – Đặt lịch hẹn
Lên lịch hẹn làm việc với khách hàng, đồng bộ với lịch làm việc của Outlook của người dùng.
Bookings gồm ba dạng ứng dụng:
Booking Page: Trang đăng ký lịch hẹn
Web app – Web based: Dạng app trên web browser đăng ký lịch hẹn
Mobile App: Dạng ứng dụng đăng ký lịch hện trên thiết bị di động
Người dùng hoặc doanh nghiệp có thể quản lý, theo dõi các lịch hẹn dễ dàng. Khách hàng đặt lịch hẹn cũng thấy được thời gian trống và phù hợp với họ tại thời điểm thực tế.
Microsoft SharePoint Online
Lưu trữ dữ liệu trực tuyến dành cho doanh nghiệp. Khác với OneDrive lưu trữ dữ liệu chỉ thuộc các nhân. Các dữ liệu trên SharePoint được phân chia theo sơ đồ tổ chức, phòng ban hoặc đội nhóm.
Phân quyền truy cập dữ liệu của SharePoint Site
Phân nhóm người dùng tổ chức sử dụng dữ liệu.
Cộng tác sử dụng dữ liệu dễ dàng với Microsoft Teams
Microsoft Editor – Công cụ hỗ trợ viết văn bản mạnh mẽ
Là một công cụ giúp quá trình tạo và chỉnh sửa các đoạn text, văn bản trở nên dễ dàng hơn.
Kết hợp với ứng dụng Word để kiểm tra ngữ pháp, lỗi chính tả, hỗ trợ đa ngôn ngữ.
Add-on cho trình duyệt Chrome hoặc Edge để chỉnh sửa văn bản tương tự như trên Word.
Lợi ích ở đây là mang tới công cụ mới, cần thiết cho những người thường xuyên soạn văn bản.
Introducing Microsoft Editor: Write confidently across your Office apps and favorite websites
Bảo mật nâng cao
Trang bị lớp bảo mật dành cho dữ liệu trên thiết bị người dùng cá nhân.
OneDrive 1TB giúp backup tự động các tệp, hình ảnh, văn bản trên toàn bộ thiết bị của cá nhân.
Bảo mật với 2 lớp xác minh/xác thực cho các dữ liệu quan trọng.
Phát hiện và phục hồi dữ liệu đối với mã độc tống tiền.
Liên tục được hỗ trợ kỹ thuật, khi mua đúng bản quyền chính hãng.
Như vậy, bên cạnh lợi ích sử dụng nhiều thiết bị, đa nền tảng, vẫn an toàn dữ liệu. Luôn được cập nhật những bộ công cụ mới nhất, giúp người dùng thoải mái và tự tin.
Trang bị bản quyền chính hãng.
Cách 1: Mua bằng thể ngân hàng trực tiếp trên trang quản trị tài khoản Microsoft cá nhân.
Cách 2: Mua từ các trang thương mại điện tử Official/Mall/Nhà cung cấp uy tín.
Hoặc
Mua Microsoft 365 Bus Std Retail All Lng APAC EM SubPKL 1YR Onln DwnLd NR (KLQ-00209) tại VinSEP
Mua bản quyền Microsoft 365 Business Standard Retail hình thức ESD.(Không hoàn lại)
Key được gửi nhanh qua email, không tốn phí Ship.
Kích hoạt trực tiếp với tài khoản Microsoft cá nhân.
Zero Trust Microsoft (ZTM) – Cách tiếp cận bảo mật mới. Nhằm bảo vệ người dùng, thiết bị, dữ liệu cho doanh nghiệp hiện đại. ZTM là không phân định vùng an toàn, so với mô hình bảo vệ truyền thống Firewall, DMZ. Đáp ứng sự thay đổi môi trường làm việc, ở bất cứ nơi đâu, bất kỳ thiết bị nào.
Khi người dùng và thiết bị không còn nằm trong vùng an toàn của Corporate Network
Zero Trust là gì? Tại sao cần giải pháp bảo mật này?
Môi trường làm việc hiện đại, không còn chỉ tại văn phòng, mà ở nhà, hoặc trong khách sạn (khu cách ly). Bên cạnh đó, làm việc trên các thiết bị thông minh. Để có thể kiểm soát được dữ liệu, cũng như hỗ trợ người dùng dễ dàng hơn, Microsoft đưa ra các công cụ giúp ích và bảo vệ cho:
Tài khoản người dùng, thông tin đăng nhập, dữ liệu làm việc.
Thiết bị được cấp phát, thiết bị đáng tin cậy.
Phần mềm ứng dụng của doanh nghiệp.
Nguyên tắc hoạt động của Zero Trust là gì?
Luôn luôn xác minh. Luôn yêu cầu xác thực dựa trên danh tính người dùng, vị trí, tình trạng thiết bị, dịch vụ hoặc khối lượng dữ liệu bất thường.
Giới hạn Quyền truy cập dữ liệu. Người dùng cần truy cập sẽ được giới hạn theo chính sách bảo vệ được thiết lập, đảm bảo làm việc an toàn.
Giả định tất cả phiên truy cập là mối nguy hại. Nhằm phát hiện các mối nguy hại sớm, sau đó tiến hành phòng vệ. Bằng cách mã hóa toàn bộ dữ liệu dựa trên kết quả phân tích được.
Cơ chế làm việc của ZTM
Đó là việc bảo vệ môi trường làm việc của doanh nghiệp mà không bỏ qua bất kỳ điều gì. Dù người truy cập định danh, hợp pháp nhưng nếu có hành vi khác thường cũng sẽ được xử lý.
Zero Trust giống như các nhân viên người bảo vệ trong một trụ sở làm việc. Người này kiểm tra việc các đối tượng tuân theo các chính sách/policy bảo mật của tổ chức đối.
Từ khi tiếp xúc với người dùng (khách hàng & nhân viên), các Zero Trust tiến hành xác minh các thông tin.
Thư mời làm việc/giấy hẹn/Mục đích đến để làm việc. (Định danh Multi factor authentication & Risk user)
Kiểm tra các trang thiết bị/hành trang mang theo đến văn phòng. (Device Risk & Inventory của doanh nghiệp)
Hoặc người dùng cần tiếp xúc hoặc cùng làm việc.
Tiếp tục, theo dõi & giám sát hành vi của người dùng. Theo sát vị trí hiện tại & tiếp xúc người dùng khác.
Theo minh họa bên dưới, Zero Trust chính là vòng tròn xanh ở giữa “Security policy enforcement”. Người dùng truy cập cần cung cấp Identities hay hành trang là devices. Sau đó, người dùng đi đến sử dụng các dữ liệu/Data hoặc ứng dụng/ Apps. Tất cả hoạt động diễn ra, trong và ngoài network, đều được quan sát và phân tích bởi Zero Trust.
Mô hình Zero Trust – Microsoft
Lợi ích triển khai mô hình bảo mật ZTM
Tăng cường Bảo mật
Giúp giảm thiểu tối đa các thiết bị và người dùng bị khai thác.
Loại bỏ/Xóa các user/endpoint này khỏi hệ thống network của doanh nghiệp
Giảm việc sử dụng VPN, yếu tổ bị tấn công dạng attack surface.
Mở rộng tầm nhìn kiểm soát bảo mật
No Blind Spot – Dạng đăng nhập không tương tác non-interactive login cách Azure AD quản lý đăng nhập. Dùng mã thông báo dạng mã xác thực từ các thiết bị khác để truy cập.
Centralized View – Các chính sách, các mối nguy hại và các yêu cầu truy cập được quản lý tập trung.
Deep insight – Kiểm soát thiết bị từ các mối nguy hại đến tất cả các phiên hoạt động của người dùng.
Tăng cường hiệu quả công việc
Làm việc mọi lúc mọi nơi đảm bảo an toàn truy cập
Truy cập ứng dụng & dữ liệu doanh nghiệp hợp pháp & dễ dàng.
Không còn lo lắng khi sử dụng dữ liệu dù ở bất kỳ hệ thống mạng nào.
Thoải mái làm việc trên bất kỳ thiết bị nào
Người dùng có thể sử dụng bất kỳ thiết bị nào tuân thủ để hoàn thành công việc.
Đảm bảo cơ chế đăng nhậpSingle Sign On
Đăng nhập sử dụng cùng một cách xác thực vào nhiều phần mềm và dịch vụ độc lập.
Làm quen với việc từ chối truy cập
Sử dụng các giao thích xác thực đa cấp, an toàn.
Giới hạn sử dụng các ứng dụng và dữ liệu
Thành phần & Tính năng chính
Identities – Các giải pháp quản lý truy cập & định danh người dùng
Để triển khai Zero Trust, cần quản lý tập trung tất cả giải pháp định danh người dùng. Hoặc quản lý tập trung các giải pháp định danh khác doanh nghiệp đang triển khai. Sử dụng dịch vụ Azure AD với tính năng quản lý định danh người dùng, và đồng bộ các giải pháp định danh khác.
Dịch vụ Single Sign On, đăng nhập được cho tất cả dịch vụ bao gồm
Cloud Apps & Data như Office 365, Box, Salesforces.
Các ứng dụng nội bộ, SSO kết hợp với Azure App Proxy, hoặc Networking and delivery controllers.
Tiếp theo triển khai Azure AD với My Apps Portal. Đăng nhập để sử dụng các ứng dụng doanh nghiệp cấp quyền hoặc cho phép theo từng cấp độ người dùng.
Các công cụ Passwordless như Microsoft Authenticator, Windows Hello, FIDO2, Biometrics
Conditional Access của Azure AD, đưa ra các điều kiện (Signal) để cấp quyền truy cập. Giới hạn vùng truy cập – user location truy cập từ Việt Nam. Hay các device được công ty quản lý, và có Real-time Risk.
My Apps Portal
Conditional Access
Zero Trust Quản lý thiết bị – Devices
Cho phép những thiết bị tuân thủ chính sách & điều kiện để truy cập vào dữ liệu và ứng dụng doanh nghiệp.
Microsoft Endpoint Manager
Hỗ trợ quản lý tất cả thiết bị bên trong hệ thống của doanh nghiệp, bao gồm Laptop/Desktop, Mobile, Android/iOS. Quản lý tình trạng theo số lượng thiết bị, hỗ trợ triển khai chính sách và điều kiện. Các thành phần của Microsoft Endpoint Manager bao gồm:
Intune. Giúp quản lý việc tuân thủ và triển khai phần mềm ứng dụng trên thiết bị thông qua cloud.
Configuration Manager. Cập nhật phần mềm và hệ điều hành của thiết bị real-time. Có thể kết hợp với Intune và Azure AD và Microsoft Defender for Endpoint để bảo vệ thiết bị từ xa.
Co-management. Giúp kết nối hệ thống on-prem hiện hữu với các dịch vụ Intune từ cloud.
Desktop Analytics. Dịch vụ phân tích dữ liệu trên thiết bị của doanh nghiệp, đối chiếu với các thiết bị khác kết nối cloud của Microsoft. Đưa ra các đề xuất bảo mật thông minh để bảo vệ thiết bị của doanh nghiệp.
Windows Autopilot. Hỗ trợ triển khai nhanh các thiết bị mới, với cấu hình được định sẵn.
Azure Active Directory (AD). Giúp định danh người dùng liên kết với thiết bị nào.
Endpoint Manager admin center. Thành phần tạo chính sách và quản lý thiết bị tập trung. Bao gồm xem các báo cáo, các thiết bị truy cập dữ liệu .v.v
Triển khai Endpoint Manager
Có thể triển khai Endpoint Manager theo 3 cách, tùy theo điều kiện đặt ra:
Trên cloud hoàn toàn với Azure. Không cần Data center sử dụng các lợi thế của Azure để triển khai và quản lý.
On-Premises khi doanh nghiệp đã có sẵn. Kết hợp với Configuration Manager.
Cloud + On-prem. Cách kết hợp của hai cách trên tùy vào điều kiện và hoàn cảnh của doanh nghiệp.
Trang bị bản quyền cho khách hàng Microsoft 365 Business
Khách hàng đang sử Microsoft 365 Business Basic hoặc Standard có thể triển khai Zero Trust theo dạng Standalone hoặc nâng cấp lên Microsoft 365 Business Premium.
Trang bị Microsoft Zero Trust dạng Standalone
Để khởi đầu khách hàng Microsoft 365 Business có thể triển khai Intune trước. Quản lý thiết bị theo người dùng MDM hoặc ứng dụng được sử dụng MAM.
Khi phát sinh các nhu cầu về Identity, có thể triển khai mua Azure AD Premium Plan 1.
Kết hợp các thành phần mua Standalone kể trên để triển khai giải pháp Zero Trust cho doanh nghiệp. Kết hợp với Microsoft Defender for Business để bảo vệ toàn diện môi trường làm việc.
Mua Microsoft 365 Business Premium triển khai Zero Trust
Hướng dẫn mua bản quyền phần mềm Microsoft 365 Family. Cấp quyền sử dụng cho nhiều tài khoản, mỗi tài khoản đăng nhập trên nhiều thiết bị. Liên tục cập nhật tính năng mới trong suốt 12 tháng thuê bao.
Microsoft 365 Family là gì?
Là bản quyền Office dùng trong 365 ngày/12 tháng, chia sẻ với những người thân quen.
Bộ cài phần mềm office Word, Excel, PowerPoint và Outlook.
Mỗi người có không gian lưu trữ 1TB OneDrive (cá nhân), phát hiện mã độc tống tiền ransomeware.
Bảo mật nâng cao cho dữ liệu và thư từ, tính năng cảnh báo được tăng cường trên thiết bị di động.
Mỗi người sẽ có bản quyền giống nhau và giống với Microsoft 365 Personal. Hỗ trợ số lượng lên tới 6 người sử dụng như nhau:
Máy tính để bàn, máy tính xách tay, Macbook, điện thoại thông tin, và máy tính bảng.
Các thiết bị khác có hệ điều hành lần lượt là Windows, iOS, MacOS, Android.
Mỗi dạng thiết bị cá nhân có thể đăng nhập trên 5 thiết bị.
Mỗi cá nhân cần tạo tài khoản Microsoft riêng để tiến hành liên kết sử dụng Microsoft 365.
ID/username đăng nhập là một địa chỉ email, dùng đăng ký tài khoản Microsoft cá nhân.
Người mua chính, dùng tài khoản Microsoft cá nhân để kích hoạt bản quyền Microsoft 365 Family.
Đăng nhập ID & mật khẩu vừa đăng ký, tiến hành tạo Nhóm Family để chia sẻ quyền sử dụng.
Chủ nhóm quản lý và gửi thư mời đến các tài khoản Microsoft cá nhân khác làm thành viên. Chủ nhóm cũng có thể thu hồi hoặc xóa thành viên ra khỏi nhóm.
Phân tích nhu cầu & lợi ích mua Microsoft 365
Trước đây, mua Microsoft 365 Personal là vì Outlook bản quyền dùng để tải email. Nay có nhiều thêm các lợi ích cho người dùng Microsoft 365 nói chung hoặc Personal nói riêng.
Outlook với 50GB lưu trữ
Gia tăng khả năng lưu trữ các email cá nhân với Outlook cao cấp.
Microsoft Teams – dành cho cá nhân
Thời lượng họp được mở rộng trong thời kỳ Covid-19 diễn biến phức tạp. Hiện nay, Microsoft Teams đã điều chỉnh lại trạng thái ban đầu. Các cá nhân với nhu cầu sử dụng trên 60 phút có thể mua gói Personal để sử dụng.
Tương tự, phiên bản Teams Essentials dành cho doanh nghiệp nhỏ, thiếu tính năng Recording Meeting.
Microsoft Family Safety – Bảo vệ gia đình & người thân yêu
Công cụ mới giúp định vị người thân hoặc bảo vệ trước nội dung xấu trên môi trường mạng.
Đặt giới hạn thời gian sử dụng các ứng dụng và thiết bị của Microsoft. Máy chơi game Xbox, Android và Windows được quản lý thời gian, hoặc thời lượng xem màn hình.
Bộ lọc nội dung số. Tránh các nội dung xấu, tìm kếm web hỗ trợ trình duyệt web Edge & thiết bị Xbox, Windows, Android.
Định vị bản đồ người thân tức thời, thông số thời gian và tốc độ duy chuyển, các điểm đã đi qua.
Microsoft Editor – Công cụ hỗ trợ viết văn bản mạnh mẽ
Là một công cụ giúp quá trình tạo và chỉnh sửa các đoạn text, văn bản trở nên dễ dàng hơn.
Kết hợp với ứng dụng Word để kiểm tra ngữ pháp, lỗi chính tả, hỗ trợ đa ngôn ngữ.
Add-on cho trình duyệt Chrome hoặc Edge để chỉnh sửa văn bản tương tự như trên Word.
Lợi ích ở đây là mang tới công cụ mới, cần thiết cho những người thường xuyên soạn văn bản.
Introducing Microsoft Editor: Write confidently across your Office apps and favorite websites
Bảo mật nâng cao
Trang bị lớp bảo mật dành cho dữ liệu trên thiết bị người dùng cá nhân.
OneDrive 1TB giúp backup tự động các tệp, hình ảnh, văn bản trên toàn bộ thiết bị của cá nhân.
Bảo mật với 2 lớp xác minh/xác thực cho các dữ liệu quan trọng.
Phát hiện và phục hồi dữ liệu đối với mã độc tống tiền.
Liên tục được hỗ trợ kỹ thuật, khi mua đúng bản quyền chính hãng.
Như vậy, bên cạnh lợi ích sử dụng nhiều thiết bị, đa nền tảng, vẫn an toàn dữ liệu. Luôn được cập nhật những bộ công cụ mới nhất, giúp người dùng thoải mái và tự tin.
Trang bị bản quyền chính hãng.
Cách 1: Mua bằng thể ngân hàng trực tiếp trên trang quản trị tài khoản Microsoft cá nhân.
Cách 2: Mua từ các trang thương mại điện tử Official/Mall/Nhà cung cấp uy tín.
Hoặc
Mua Microsoft 365 Family AllLng Sub PK Lic 1YR Online APAC EM C2R NR (6GQ-00083) tại VinSEP
Bản quyền Microsoft 365 Family hình thức ESD.(Không hoàn lại)
Key được gửi nhanh qua email, không tốn phí Ship.
Kích hoạt trực tiếp với tài khoản Microsoft cá nhân.
Doanh nghiệp cũng có thể trang bị Microsoft 365 Family
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
