Tin An Ninh Mạng

Những kế hoạch kinh doanh liên tục đạt hiệu quả đặt ra yêu cầu phải suy nghĩ lại về kết nối WAN đối với CISO

Khi nhiều doanh nghiệp tận dụng lực lượng lao động từ xa, mang tính tạm thời và linh hoạt, các yếu tố của kế hoạch liên tục kinh doanh đang phát triển và đòi hỏi các chuyên gia CNTT phải nhìn sâu vào các nuts và bolts của kết nối.

CISO và các thành viên trong nhóm của họ đang phải đối mặt với những thách thức mới mỗi ngày, nhiều trong số đó đã được thúc đẩy bởi chuyển đổi kỹ thuật số, cũng như việc áp dụng các công nghệ nâng cao năng suất khác.

Một trường hợp điển hình là nhu cầu phát triển nhanh chóng để hỗ trợ người dùng từ xa và di động (linh hoạt) khi các doanh nghiệp thay đổi cách họ tương tác với nhân viên.

Ví dụ, cuộc khủng hoảng COVID-19 gần đây đã buộc phần lớn các doanh nghiệp trên toàn thế giới phải hỗ trợ nhân viên làm việc tại nhà hoặc các địa điểm xa xôi khác.

Nhiều doanh nghiệp đang gặp phải nhiều vấn đề với độ tin cậy của kết nối, cũng như những thách thức được đưa ra bằng cách kết nối nhanh chóng để đáp ứng số lượng nhân viên từ xa ngày càng tăng.

Thêm vào đó là các vấn đề về bảo mật và quyền riêng tư, và rõ ràng là CISO phải đối mặt với những gì có thể trở thành những thách thức không thể vượt qua để giữ cho mọi thứ hoạt động và an toàn.

Đó là khả năng gây gián đoạn đang đưa Kế hoạch liên tục kinh doanh (BCP) lên hàng đầu trong nhiều cuộc thảo luận về CNTT. Hơn nữa, nhiều chuyên gia CNTT đang nhanh chóng đi đến kết luận rằng kết nối Internet và kết nối Internet bền bỉ chứng tỏ là nền tảng của một kế hoạch kinh doanh liên tục hiệu quả.

VPN không thể phân phối

Mạng riêng ảo (VPN) thường là lựa chọn đầu tiên để tạo kết nối an toàn vào mạng công ty từ thế giới bên ngoài.

Tuy nhiên, VPN ban đầu được thiết kế để cho phép điểm cuối từ xa gắn vào mạng cục bộ nội bộ và cấp cho hệ thống đó quyền truy cập vào dữ liệu và ứng dụng được lưu trữ trên mạng.

Đối với kết nối thường xuyên, tập trung vào dễ sử dụng.

Tuy nhiên, VPN đang nhanh chóng bắt đầu cho thấy những hạn chế của chúng khi được đặt dưới nhu cầu hỗ trợ lực lượng lao động từ xa được triển khai nhanh chóng.

Một trong những vấn đề quan trọng nhất xung quanh VPN đến trong bối cảnh khả năng mở rộng; nói cách khác, VPN khá phức tạp để mở rộng nhanh chóng.

Đối với hầu hết các phần, VPN được cấp phép bởi kết nối và được hỗ trợ bởi một thiết bị ở phía mạng để mã hóa và giải mã lưu lượng. Càng nhiều người dùng VPN được thêm vào, càng cần nhiều license và sức mạnh xử lý, điều này cuối cùng sẽ làm tăng thêm chi phí không lường trước, cũng như mạng sẽ bị chậm.

Cuối cùng, VPN có thể bị phá vỡ do quá tải và điều đó tạo ra một vấn đề xung quanh hoạt động kinh doanh liên tục. Nói một cách đơn giản, nếu VPN bị quá tải bởi lưu lượng truy cập tăng, kết nối có thể không thành công và khả năng nhân viên truy cập mạng có thể bị ảnh hưởng, do đó, khái niệm về tính liên tục trong kinh doanh bị ảnh hưởng.

VPN cũng được sử dụng để kết nối giữa các trang với nhau, nơi băng thông có thể được chia sẻ không chỉ từ một văn phòng chi nhánh đến văn phòng trụ sở mà còn với người dùng từ xa. Một tình huống như vậy hoàn toàn có thể làm hỏng khả năng kinh doanh của một tổ chức nếu các VPN đó thất bại.

Có lẽ một mối quan tâm thậm chí còn lớn hơn với VPN xuất hiện dưới hình thức an ninh mạng. VPN được sử dụng để cung cấp cho người dùng từ xa quyền truy cập vào mạng chỉ đáng tin cậy như thông tin đăng nhập được cung cấp cho những người dùng từ xa đó.

Trong một số trường hợp, người dùng có thể chia sẻ mật khẩu và thông tin đăng nhập với người khác hoặc vô tình để hệ thống của họ bị xâm nhập hoặc đánh cắp. Cuối cùng, VPN có thể mở đường cho các cuộc tấn công vào mạng công ty bằng cách cho phép các tác nhân xấu truy cập vào hệ thống.

ZTNA vượt ra ngoài VPN

Với công nghệ VPN đang trở nên không đáng tin cậy trong việc mở rộng nhanh chóng cho lực lượng lao động từ xa, CISO và IT đang tìm kiếm các giải pháp thay thế để đảm bảo các kết nối đáng tin cậy và an toàn vào mạng từ các nhân viên làm việc từ xa.

Mong muốn cầu nối an ninh và độ tin cậy được thúc đẩy bởi tính liên tục, cũng như các vấn đề hoạt động. CISO đang tìm cách giảm chi phí, cung cấp mức độ bảo mật, mà không ảnh hưởng đến hiệu suất và vẫn đáp ứng sự tăng trưởng dự kiến.

Nhiều doanh nghiệp nghĩ rằng câu trả lời cho vấn đề nan giải VPN có thể được tìm thấy trong SDP (Software Define Perimeters) hoặc ZTNA (Zero Trust Network Access), hai từ viết tắt đã có thể thay thế cho nhau trong lĩnh vực an ninh mạng.

ZTNA đã được xây dựng cho đám mây như một giải pháp chuyển bảo mật từ mạng sang các ứng dụng. Nói cách khác, ZTNA là trung tâm ứng dụng, nghĩa là người dùng được cấp quyền truy cập vào các ứng dụng chứ không phải mạng hoàn chỉnh.

Tất nhiên, ZTNA còn làm được nhiều hơn thế. ZTNA có thể “ẩn” các ứng dụng, trong khi vẫn cấp quyền truy cập cho người dùng được ủy quyền. Không giống như VPN, công nghệ ZTNA không phát bất kỳ thông tin nào bên ngoài mạng để xác thực, trong khi đó các bộ tập trung VPN nằm ở rìa mạng để mọi người nhìn thấy, biến chúng thành mục tiêu cho những kẻ tấn công.

Hơn nữa, ZTNA sử dụng các kết nối từ trong ra ngoài, điều đó có nghĩa là địa chỉ IP không bao giờ được tiếp xúc với internet. Thay vì cấp quyền truy cập vào mạng như VPN, công nghệ ZTNA sử dụng phương pháp phân đoạn vi mô, trong đó phân đoạn an toàn được tạo giữa người dùng cuối và ứng dụng được đặt tên.

ZTNA tạo ra một môi trường truy cập cung cấp quyền truy cập riêng vào một ứng dụng cho một người dùng cá nhân và chỉ cấp các đặc quyền ở mức thấp nhất cho người dùng đó.

Công nghệ ZTNA tách riêng quyền truy cập vào các ứng dụng từ quyền truy cập vào mạng, tạo ra một mô hình kết nối mới. Các giải pháp dựa trên ZTNA cũng nắm bắt nhiều thông tin hơn so với VPN, giúp phân tích và lập kế hoạch bảo mật.

Mặc dù VPN chỉ có thể theo dõi địa chỉ IP, port data và giao thức của thiết bị, các giải pháp ZTNA thu thập dữ liệu xung quanh danh tính người dùng, ứng dụng được đặt tên, mức độ chậm, vị trí và nhiều hơn nữa. Nó tạo ra một môi trường cho phép các quản trị viên chủ động hơn và dễ dàng tiếp nhận và phân tích thông tin hơn.

Trong khi ZTNA có thể là một bước tiến vượt bậc từ các hệ thống VPN cũ, các giải pháp ZTNA không phải không có mối quan tâm riêng. Các giải pháp ZTNA không giải quyết các vấn đề về hiệu suất và khả năng mở rộng và có thể thiếu các thành phần cốt lõi của tính liên tục, chẳng hạn như chuyển đổi dự phòng và tự động định tuyến lại lưu lượng.

Nói cách khác, ZTNA có thể yêu cầu các giải pháp từ bên thứ ba, bổ sung đó được thêm vào hỗn hợp để hỗ trợ BCP.

Giải quyết các sự cố ZTNA và VPN với SASE

Một công nghệ mới hơn, được gọi là SASE (Secure Access Service Edge), rất có thể có câu trả lời cho các vấn đề nan giải về bảo mật, tính liên tục và quy mô mà cả ZTNA và VPN đưa vào phương trình mạng.

Mô hình Secure Access Service Edge (SASE) được đề xuất bởi các nhà phân tích bảo mật hàng đầu của Gartner, Neil MacDonald, Lawrence Orans và Joe Skorupa. Gartner giới thiệu SASE như một cách để thu gọn các networking stack và bảo mật của SD-WAN thành một sản phẩm tích hợp đầy đủ, vừa dễ triển khai vừa dễ quản lý.

Gartner coi SASE là một người thay đổi cuộc chơi trong thế giới kết nối mạng và kết nối đám mây trên diện rộng. Nhà nghiên cứu hy vọng 40% doanh nghiệp sẽ áp dụng SASE vào năm 2024. Tuy nhiên, vẫn còn một thách thức đáng kể, các nhà cung cấp mạng và an ninh mạng vẫn đang xây dựng các dịch vụ SASE của họ và rất ít có sẵn tại thời điểm này.

Một nhà cung cấp như vậy là Cato Networks, cung cấp giải pháp SASE được xây dựng hoàn toàn và đã được Gartner xác định là một trong những nhà lãnh đạo trong trò chơi SASE.

SASE khác biệt đáng kể so với các mô hình VPN và ZTNA ở chỗ nó biết tận dụng kiến ​​trúc đám mây nguyên bản được xây dựng dựa trên các khái niệm về SD-WAN (Software-Defined Wide Area Network – Mạng được xác định bằng phần mềm trong mạng diện rộng). Theo Gartner, SASE là một nền tảng kết nối dựa trên danh tính, sử dụng kiến ​​trúc đám mây riêng để hỗ trợ kết nối an toàn ở rìa mạng được phân phối trên toàn cầu.

SASE cung cấp cho các tổ chức quyền truy cập vào những gì thực chất là một xương sống mạng riêng chạy trong internet toàn cầu. Hơn nữa, SASE kết hợp chuyển đổi dự phòng tự động, điều chỉnh hiệu suất do AI điều khiển và nhiều đường dẫn an toàn vào private backbone.

SASE được triển khai ở rìa của mạng, nơi mạng LAN kết nối với internet công cộng để truy cập vào đám mây hoặc các dịch vụ khác. Và cũng như các dịch vụ SD-WAN khác, cạnh phải kết nối với một cái gì đó vượt ra ngoài bốn bức tường của mạng riêng.

Trong trường hợp của Cato, công ty đã tạo ra một xương sống riêng toàn cầu, được kết nối thông qua nhiều nhà cung cấp mạng. Cato đã xây dựng một đám mây riêng có thể truy cập qua internet công cộng.

SASE cũng cung cấp khả năng kết hợp các lợi ích của SDP với khả năng phục hồi của SD-WAN, mà không đưa ra bất kỳ thiếu sót nào của VPN.

Trường hợp điển hình là Truy cập tức thì của Cato, một mô hình kết nối không có khách hàng sử dụng giải pháp SDP để cấp quyền truy cập an toàn cho các ứng dụng phân phối trên đám mây cho người dùng từ xa được ủy quyền.

Truy cập tức thì cung cấp xác thực đa yếu tố, đăng nhập một lần, truy cập ít đặc quyền nhất và được tích hợp vào các ngăn xếp mạng và bảo mật kết hợp. Vì nó được xây dựng trên SASE, khả năng hiển thị đầy đủ của quản trị viên là một thực tế, cũng như triển khai đơn giản hóa, khả năng mở rộng tức thì, quản lý hiệu suất tích hợp và chuyển đổi dự phòng tự động.

Trong trường hợp của Cato, bảo vệ mối đe dọa liên tục giúp nhân viên làm việc từ xa, an toàn trước các mối đe dọa dựa trên mạng. Stack bảo mật của Cato bao gồm NGFW, SWG, IPS, chống phần mềm độc hại tiên tiến và dịch vụ Phát hiện và phản hồi mối đe dọa được quản lý (MDR – Managed Threat Detection and Response). Tất nhiên, Cato không phải là người chơi duy nhất trong trò chơi SASE; các nhà cung cấp khác đẩy vào lãnh thổ của SASE bao gồm Cisco, Akamai, Palo Alto Networks, Symantec, VMWare và Netskope.

SASE giải quyết các vấn đề về VPN, ZTNA – và hơn thế nữa

Với các VPN sắp xuất hiện và ZTNA thiếu chức năng quan trọng, chẳng hạn như quản lý hiệu suất và quy mô dễ dàng, rõ ràng là CISO có thể cần phải xem xét kỹ lưỡng về SASE.

SASE giải quyết tất cả các vấn đề quá phổ biến mà VPN đang đưa vào mô hình công việc từ xa đang phát triển nhanh chóng, trong khi vẫn cung cấp bảo mật tập trung vào ứng dụng mà ZTNA mang đến.

Hơn nữa, SASE mang đến sự bảo mật tiên tiến, khả năng hiển thị nâng cao và độ tin cậy sẽ đi một chặng đường dài để cải thiện tính liên tục, đồng thời có khả năng giảm chi phí.

Nguồn:
thehackernews.com

 

Add Comment

Click here to post a comment