Mô hình Zero Trust Microsoft là gì? – Bảo vệ người dùng, thiết bị và ứng dụng thế nào?

Zero Trust Microsoft (ZTM) – Cách tiếp cận bảo mật mới. Nhằm bảo vệ người dùng, thiết bị, dữ liệu cho doanh nghiệp hiện đại. ZTM là không phân định vùng an toàn, so với mô hình bảo vệ truyền thống Firewall, DMZ. Đáp ứng sự thay đổi môi trường làm việc, ở bất cứ nơi đâu, bất kỳ thiết bị nào.

Zero Trust là gì? Tại sao cần giải pháp bảo mật này?

Môi trường làm việc hiện đại, không còn chỉ tại văn phòng, mà ở nhà, hoặc trong khách sạn (khu cách ly). Bên cạnh đó, làm việc trên các thiết bị thông minh. Để có thể kiểm soát được dữ liệu, cũng như hỗ trợ người dùng dễ dàng hơn, Microsoft đưa ra các công cụ giúp ích và bảo vệ cho:

• Tài khoản người dùng, thông tin đăng nhập, dữ liệu làm việc.
• Thiết bị được cấp phát, thiết bị đáng tin cậy.
• Phần mềm ứng dụng của doanh nghiệp.

Nguyên tắc hoạt động của Zero Trust là gì?

• Luôn luôn xác minh. Luôn yêu cầu xác thực dựa trên danh tính người dùng, vị trí, tình trạng thiết bị, dịch vụ hoặc khối lượng dữ liệu bất thường.
• Giới hạn Quyền truy cập dữ liệu. Người dùng cần truy cập sẽ được giới hạn theo chính sách bảo vệ được thiết lập, đảm bảo làm việc an toàn.
• Giả định tất cả phiên truy cập là mối nguy hại. Nhằm phát hiện các mối nguy hại sớm, sau đó tiến hành phòng vệ. Bằng cách mã hóa toàn bộ dữ liệu dựa trên kết quả phân tích được.

Cơ chế làm việc của ZTM

Đó là việc bảo vệ môi trường làm việc của doanh nghiệp mà không bỏ qua bất kỳ điều gì. Dù người truy cập định danh, hợp pháp nhưng nếu có hành vi khác thường cũng sẽ được xử lý.

• Zero Trust giống như các nhân viên người bảo vệ trong một trụ sở làm việc. Người này kiểm tra việc các đối tượng tuân theo các chính sách/policy bảo mật của tổ chức đối.
• Từ khi tiếp xúc với người dùng (khách hàng & nhân viên), các Zero Trust tiến hành xác minh các thông tin.
  • Thư mời làm việc/giấy hẹn/Mục đích đến để làm việc. (Định danh Multi factor authentication & Risk user)
  • Kiểm tra các trang thiết bị/hành trang mang theo đến văn phòng. (Device Risk & Inventory của doanh nghiệp)
  • Hoặc người dùng cần tiếp xúc hoặc cùng làm việc.
• Tiếp tục, theo dõi & giám sát hành vi của người dùng. Theo sát vị trí hiện tại & tiếp xúc người dùng khác.

Theo minh họa bên dưới, Zero Trust chính là vòng tròn xanh ở giữa “Security policy enforcement”. Người dùng truy cập cần cung cấp Identities hay hành trang là devices. Sau đó, người dùng đi đến sử dụng các dữ liệu/Data hoặc ứng dụng/ Apps. Tất cả hoạt động diễn ra, trong và ngoài network, đều được quan sát và phân tích bởi Zero Trust.

Lợi ích triển khai mô hình bảo mật ZTM

Tăng cường Bảo mật

Giúp giảm thiểu tối đa các thiết bị và người dùng bị khai thác.

• Loại bỏ/Xóa các user/endpoint này khỏi hệ thống network của doanh nghiệp
• Giảm việc sử dụng VPN, yếu tổ bị tấn công dạng attack surface.

Mở rộng tầm nhìn kiểm soát bảo mật

• No Blind Spot – Dạng đăng nhập không tương tác non-interactive login cách Azure AD quản lý đăng nhập. Dùng mã thông báo dạng mã xác thực từ các thiết bị khác để truy cập.
• Centralized View – Các chính sách, các mối nguy hại và các yêu cầu truy cập được quản lý tập trung.
• Deep insight – Kiểm soát thiết bị từ các mối nguy hại đến tất cả các phiên hoạt động của người dùng.

Tăng cường hiệu quả công việc

Làm việc mọi lúc mọi nơi đảm bảo an toàn truy cập

• Truy cập ứng dụng & dữ liệu doanh nghiệp hợp pháp & dễ dàng.
• Không còn lo lắng khi sử dụng dữ liệu dù ở bất kỳ hệ thống mạng nào.

Thoải mái làm việc trên bất kỳ thiết bị nào

• Người dùng có thể sử dụng bất kỳ thiết bị nào tuân thủ để hoàn thành công việc.

Đảm bảo cơ chế đăng nhập Single Sign On

• Đăng nhập sử dụng cùng một cách xác thực vào nhiều phần mềm và dịch vụ độc lập.

Làm quen với việc từ chối truy cập

• Sử dụng các giao thích xác thực đa cấp, an toàn.
• Giới hạn sử dụng các ứng dụng và dữ liệu

Thành phần & Tính năng chính

Identities – Các giải pháp quản lý truy cập & định danh người dùng

Để triển khai Zero Trust, cần quản lý tập trung tất cả giải pháp định danh người dùng. Hoặc quản lý tập trung các giải pháp định danh khác doanh nghiệp đang triển khai. Sử dụng dịch vụ Azure AD với tính năng quản lý định danh người dùng, và đồng bộ các giải pháp định danh khác.

1. Dịch vụ Single Sign On, đăng nhập được cho tất cả dịch vụ bao gồm
   • Cloud Apps & Data như Office 365, Box, Salesforces.
   • Các ứng dụng nội bộ, SSO kết hợp với Azure App Proxy, hoặc Networking and delivery controllers.
2. Tiếp theo triển khai Azure AD với My Apps Portal. Đăng nhập để sử dụng các ứng dụng doanh nghiệp cấp quyền hoặc cho phép theo từng cấp độ người dùng.
3. Tính năng Multi Factor Authentication (MFA). Cung cấp thêm lớp xác thực cho thiết bị của người dùng.
   • Các công cụ Passwordless như Microsoft Authenticator, Windows Hello, FIDO2, Biometrics
4. Conditional Access của Azure AD, đưa ra các điều kiện (Signal) để cấp quyền truy cập. Giới hạn vùng truy cập – user location truy cập từ Việt Nam. Hay các device được công ty quản lý, và có Real-time Risk.

Zero Trust Quản lý thiết bị – Devices

Cho phép những thiết bị tuân thủ chính sách & điều kiện để truy cập vào dữ liệu và ứng dụng doanh nghiệp.

Microsoft Endpoint Manager

Hỗ trợ quản lý tất cả thiết bị bên trong hệ thống của doanh nghiệp, bao gồm Laptop/Desktop, Mobile, Android/iOS. Quản lý tình trạng theo số lượng thiết bị, hỗ trợ triển khai chính sách và điều kiện. Các thành phần của Microsoft Endpoint Manager bao gồm:

• Intune. Giúp quản lý việc tuân thủ và triển khai phần mềm ứng dụng trên thiết bị thông qua cloud.
• Configuration Manager. Cập nhật phần mềm và hệ điều hành của thiết bị real-time. Có thể kết hợp với Intune và Azure AD và Microsoft Defender for Endpoint để bảo vệ thiết bị từ xa.
• Co-management. Giúp kết nối hệ thống on-prem hiện hữu với các dịch vụ Intune từ cloud.
• Desktop Analytics. Dịch vụ phân tích dữ liệu trên thiết bị của doanh nghiệp, đối chiếu với các thiết bị khác kết nối cloud của Microsoft. Đưa ra các đề xuất bảo mật thông minh để bảo vệ thiết bị của doanh nghiệp.
• Windows Autopilot. Hỗ trợ triển khai nhanh các thiết bị mới, với cấu hình được định sẵn.
• Azure Active Directory (AD). Giúp định danh người dùng liên kết với thiết bị nào.
• Endpoint Manager admin center. Thành phần tạo chính sách và quản lý thiết bị tập trung. Bao gồm xem các báo cáo, các thiết bị truy cập dữ liệu .v.v

Triển khai Endpoint Manager

Có thể triển khai Endpoint Manager theo 3 cách, tùy theo điều kiện đặt ra:

• Trên cloud hoàn toàn với Azure. Không cần Data center sử dụng các lợi thế của Azure để triển khai và quản lý.
• On-Premises khi doanh nghiệp đã có sẵn. Kết hợp với Configuration Manager.
• Cloud + On-prem. Cách kết hợp của hai cách trên tùy vào điều kiện và hoàn cảnh của doanh nghiệp.

Trang bị bản quyền cho khách hàng Microsoft 365 Business

Khách hàng đang sử Microsoft 365 Business Basic hoặc Standard có thể triển khai Zero Trust theo dạng Standalone hoặc nâng cấp lên Microsoft 365 Business Premium.

Trang bị Microsoft Zero Trust dạng Standalone

• Để khởi đầu khách hàng Microsoft 365 Business có thể triển khai Intune trước. Quản lý thiết bị theo người dùng MDM hoặc ứng dụng được sử dụng MAM.
• Khi phát sinh các nhu cầu về Identity, có thể triển khai mua Azure AD Premium Plan 1.

Kết hợp các thành phần mua Standalone kể trên để triển khai giải pháp Zero Trust cho doanh nghiệp. Kết hợp với Microsoft Defender for Business để bảo vệ toàn diện môi trường làm việc.

Mua Microsoft 365 Business Premium triển khai Zero Trust