Với 69% nhân viên văn phòng được báo cáo là sử dụng máy tính xách tay cá nhân để làm việc và dự đoán của các chuyên gia rằng 50-80 triệu công việc tại văn phòng sẽ được thực hiện từ xa vào năm 2030, việc bảo mật quyền truy cập từ xa vào các nguồn lực của tổ chức đã trở nên cần thiết. Nhân viên làm việc từ xa thường truy cập vào các nguồn lực của công ty từ các mạng công cộng hoặc sử dụng các thiết bị có thể bao gồm phần mềm độc hại, góp phần vào 81% các doanh nghiệp bị tấn công điểm cuối do một dạng phần mềm độc hại, chẳng hạn như vi phạm dữ liệu và rò rỉ dữ liệu nhạy cảm.
Hai trong số các phương pháp tiếp cận truy cập an toàn phổ biến nhất là VPN (mạng riêng ảo) và ZTNA (truy cập mạng không tin cậy). VPN là phương pháp tiếp cận tập trung xác thực người dùng trước khi truyền dữ liệu qua máy chủ trung tâm vào mạng. ZTNA cung cấp quyền truy cập trực tiếp, an toàn vào các tài nguyên cụ thể trong mạng mà người dùng được phép truy cập.
VPN là gì?
VPN là công nghệ được thiết kế để tạo kết nối an toàn, được mã hóa qua Internet giữa thiết bị của người dùng và mạng. Bảo mật dữ liệu VPN dựa trên việc tạo đường hầm được mã hóa để truyền dữ liệu qua các thiết bị và mạng.
Ban đầu, VPN được Microsoft phát triển vào những năm 1990 khi giới thiệu PPTP (Point-to-Point Tunneling Protocol) . Với sự phát triển của Internet và sự tinh vi ngày càng tăng của các cuộc tấn công mạng, việc sử dụng VPN đã tăng lên trong các tổ chức và cá nhân. Đây là giải pháp tích hợp trong nhiều ứng dụng của công ty, bao gồm cấp quyền truy cập từ xa an toàn vào các tài nguyên nội bộ, kết nối các chi nhánh với trụ sở chính và tăng cường quyền riêng tư trong khi đi công tác.
VPN hoạt động như thế nào?
VPN bắt đầu bằng cách xác thực người dùng để xác minh danh tính của họ, thường sử dụng mật khẩu hoặc xác thực hai yếu tố. Sau đó, máy khách VPN và máy chủ thực hiện bắt tay, một quy trình xác nhận phương pháp mã hóa và giải mã dữ liệu, sử dụng giao thức VPN như L2TP, IKEv2 hoặc OpenVPN. Trong phiên, các gói dữ liệu được đóng gói và truyền an toàn qua các mạng có khả năng không an toàn.
Có hai loại VPN chính, truy cập từ xa và site-to-site. Các mạng truy cập từ xa được cá nhân sử dụng để kết nối với các mạng từ xa. Các mạng site-to-site được sử dụng để kết nối toàn bộ các mạng với nhau bằng cách tạo kết nối được mã hóa an toàn giữa nhiều vị trí.
VPN cấp quyền truy cập toàn mạng cho người dùng đã xác thực. Cách tiếp cận này có nhược điểm vì nó làm tăng bề mặt tấn công để kẻ tấn công khai thác, khiến nhiều tổ chức phải tìm giải pháp hạn chế hơn để cung cấp quyền truy cập an toàn vào mạng của họ.
ZTNA là gì?
ZTNA là giải pháp hiện đại để bảo mật quyền truy cập mạng dựa trên nguyên tắc không tin cậy. Trong mạng ZTNA, thiết bị được kết nối không được tin cậy theo mặc định. Thiết bị không thể nhận biết các tài nguyên khác, chẳng hạn như ứng dụng và máy chủ, ngoại trừ những tài nguyên mà thiết bị được phép kết nối. Quyền truy cập của người dùng trong ZTNA được cấp sau khi đánh giá trạng thái bảo mật của từng thiết bị dựa trên danh tính, trạng thái thiết bị và sự tuân thủ.
Với sự phổ biến ngày càng tăng, ZTNA đã được các tổ chức áp dụng như một giải pháp mạnh mẽ để quản lý quyền truy cập an toàn trong môi trường đám mây. Quyền truy cập có điều kiện không định tuyến dữ liệu qua mạng trung tâm đã biến nó thành giải pháp thuận lợi cho các tổ chức có nhóm phân tán.
ZTNA hoạt động như thế nào?
Mô hình bảo mật của ZTNA được xây dựng dựa trên giả định không có sự tin cậy trong hoặc ngoài phạm vi mạng. Nó xác minh từng người dùng và thiết bị riêng lẻ trước khi cho phép truy cập vào các tài nguyên cụ thể. Quá trình này bao gồm xác thực danh tính của người dùng và đánh giá trạng thái bảo mật của thiết bị để đảm bảo chỉ cấp quyền truy cập cho các thiết bị tuân thủ và được ủy quyền.
ZTNA liên tục áp dụng các kiểm tra bảo mật theo ngữ cảnh với mỗi lần truy cập, chẳng hạn như đánh giá vị trí, tình trạng thiết bị và các chỉ số rủi ro khác. Xác minh người dùng sử dụng nhiều công nghệ, bao gồm MFA (xác thực đa yếu tố) và IAM (quản lý danh tính và quyền truy cập). Nó tiếp tục đánh giá bảo mật thiết bị thông qua nhiều phương pháp khác nhau, chẳng hạn như kiểm tra phần mềm độc hại, xác nhận các bản cập nhật bảo mật gần đây và đảm bảo rằng bảo vệ điểm cuối đang hoạt động.
Bằng cách sử dụng nguyên tắc đặc quyền tối thiểu, ZTNA chỉ cấp quyền truy cập vào các tài nguyên cần thiết cho mỗi phiên. Điều này trái ngược với VPN cấp quyền truy cập vào toàn bộ các phân đoạn mạng, có khả năng tiết lộ các ứng dụng và dữ liệu không cần thiết cho người dùng.
Ưu điểm của giải pháp ZTNA
Lợi ích bảo mật
ZTNA giảm bề mặt tấn công bằng cách chỉ cấp quyền truy cập vào các tài nguyên cần thiết. Trong trường hợp vi phạm bảo mật, chính sách của nó sẽ hạn chế chuyển động ngang mà đối thủ có thể có.
Cải thiện trải nghiệm người dùng
Người dùng truy cập ứng dụng an toàn qua ZTNA từ thiết bị của họ với cấu hình tối thiểu và không cần phải dựa vào phần mềm cụ thể. Bên cạnh những lợi thế về bảo mật của các kiểm tra bảo mật theo ngữ cảnh của ZTNA, nó không yêu cầu người dùng phải xác thực lại từng ứng dụng riêng lẻ.
Khả năng mở rộng
ZTNA được thiết kế phù hợp với môi trường đám mây và kết hợp, giúp quản trị viên dễ dàng thêm hoặc xóa ứng dụng và sửa đổi quyền truy cập của người dùng.
Hiệu năng
Người dùng kết nối trực tiếp với các ứng dụng mà không cần định tuyến đến máy chủ trung tâm, dẫn đến độ trễ thấp hơn và hiệu suất tốt hơn. Cách tiếp cận này tránh được tình trạng tắc nghẽn thường xảy ra với các giải pháp VPN có lưu lượng mạng cao.
Kiểm soát nâng cao
Quyền kiểm soát truy cập chi tiết đối với các kết nối của mỗi người dùng đảm bảo mỗi người dùng có thể truy cập vào những tài nguyên nào.
ZTNA so với VPN: So sánh
Mô hình bảo mật
- VPN: Người dùng chỉ được xác thực một lần, sau đó niềm tin trên toàn mạng sẽ được thiết lập.
- ZTNA: Mỗi phiên đều yêu cầu xác minh, tập trung vào việc xác thực liên tục theo ngữ cảnh của người dùng và thiết bị.
Kiểm soát truy cập chi tiết
- VPN: Kết nối cấp quyền truy cập vào toàn bộ mạng sau khi xác thực người dùng, làm tăng bề mặt tấn công và nguy cơ vi phạm dữ liệu.
- ZTNA: Cung cấp quyền truy cập chi tiết vào các ứng dụng hoặc tài nguyên cụ thể dựa trên chính sách bảo mật theo ngữ cảnh.
Hiệu suất và khả năng mở rộng
- VPN: Người dùng có thể gặp phải hiệu suất chậm hơn vào thời điểm truyền dữ liệu lớn và tăng số lượng người dùng kết nối đồng thời. Nó định tuyến dữ liệu qua nhiều máy chủ đến một điểm trung tâm trong trung tâm dữ liệu, khiến việc mở rộng quy mô với môi trường đám mây trở nên khó khăn hơn.
- ZTNA: Phương pháp tiếp cận trực tiếp đến ứng dụng giúp loại bỏ nhu cầu về kết nối tập trung và mang lại hiệu suất tốt hơn, khiến đây trở thành giải pháp phù hợp hơn để mở rộng quy mô trong môi trường đám mây.
Trải nghiệm người dùng
- VPN: Yêu cầu người dùng cuối cài đặt phần mềm máy khách trên máy cục bộ của họ. Việc cài đặt và cấu hình máy khách VPN có thể là thách thức đối với nhiều người dùng. Ngoài ra, tốc độ kết nối chậm hơn trong thời gian lưu lượng mạng cao có thể dẫn đến sự thất vọng và năng suất thấp hơn.
- ZTNA: Hầu hết sự phức tạp của nó liên quan đến thiết lập ban đầu, được xử lý bởi các chuyên gia CNTT và đám mây. Ở cấp độ người dùng, kết nối trở thành trải nghiệm mượt mà sau khi người dùng cuối được xác thực, cung cấp quyền truy cập nhanh hơn và liền mạch vào các ứng dụng cần thiết.
Khả năng thích ứng của lực lượng lao động từ xa
- VPN: Quyền truy cập rộng rãi vào các tài nguyên của công ty có thể không phù hợp với lực lượng lao động từ xa năng động, có khả năng mở rộng, kết nối với mạng của công ty từ nhiều địa điểm.
- ZTNA: Thích hợp để bảo mật quyền truy cập của nhân viên từ xa mà không cần cài đặt ứng dụng khách và chỉ cho phép truy cập vào các tài nguyên cần thiết.
Những cân nhắc chính cho doanh nghiệp
Khả năng mở rộng
Các môi trường kinh doanh có nhu cầu liên tục về khả năng mở rộng, chẳng hạn như dịch vụ SaaS, Fintech và AI, có thể thấy ZTNA phù hợp hơn do khả năng mở rộng với môi trường đám mây. VPN có thể tạo thêm thách thức cho các môi trường này vì chúng đòi hỏi phải bảo trì liên tục và sự sẵn có của các chuyên gia có nhiều kỹ năng khác nhau để quản lý.
An ninh
Vì ZTNA giảm thiểu chuyển động ngang trong mạng, nên đây là giải pháp được ưa chuộng để tăng cường chính sách BYOD và cho các hệ thống cho phép bên thứ ba truy cập. Tuy nhiên, do tính mới lạ của các giải pháp ZTNA, chúng có thể không hỗ trợ cho các hệ thống cũ. Trong những trường hợp như vậy, VPN có lợi hơn cho việc bảo mật quyền truy cập vào các ứng dụng cũ.
Hiệu năng
ZTNA có thể là giải pháp thuận lợi cho các tổ chức có nhóm phân tán trên nhiều vị trí địa lý khác nhau. Khi nói đến Zero Trust Network Access so với VPN, mô hình truy cập trực tiếp phi tập trung của nó mang lại độ trễ thấp hơn và không có nút thắt.
Cơ sở hạ tầng hiện có
Một số tổ chức đầu tư mạnh vào cơ sở hạ tầng tại chỗ, do các yêu cầu tuân thủ cụ thể hoặc mô hình kinh doanh của họ. Việc đầu tư như vậy giúp việc áp dụng giải pháp VPN dễ dàng hơn vì cơ sở hạ tầng cần thiết để vận hành và duy trì VPN sẽ có sẵn và được tổ chức kiểm soát nội bộ.
Kết thúc
Sự gia tăng nhanh chóng của lực lượng lao động từ xa và các nhóm phân tán đã khiến các tổ chức cân nhắc cải thiện bảo mật truy cập từ xa của họ. ZTNA (truy cập mạng không tin cậy) và VPN là hai giải pháp truy cập an toàn từ xa phổ biến nhất. Bằng cách biết nhu cầu của tổ chức và cách thức hoạt động của từng giải pháp, bạn có thể đưa ra quyết định sáng suốt về việc nên kết hợp giải pháp nào vào tổ chức của mình.
MetaDefender IT Access™ là Secure Mô-đun truy cập của Nền tảng truy cập MetaDefender® đảm bảo bảo mật truy cập từ mọi thiết bị đến cả ứng dụng đám mây và ứng dụng cũ. Với Secure Cloud Truy cập với Tích hợp SAML IdP và Software Chu vi xác định ( SDP ), mạng của bạn có thể tuân thủ quy định, tận dụng mô hình ít đặc quyền nhất và giảm bề mặt tấn công mạng. Tìm hiểu cách MetaDefender IT Access có thể tăng cường khả năng hiển thị và ngăn chặn truy cập mạng trái phép.
