SASE (Secure Access Service Edge) bảo mật mạng bằng cách kiểm soát cách người dùng kết nối tới các ứng dụng doanh nghiệp. Tuy nhiên, dù mô hình dựa trên đám mây của SASE hoạt động hiệu quả trong việc bảo vệ các hệ thống CNTT (IT), thì môi trường OT (Operational Technology) lại yêu cầu một mô hình bảo mật mang tính dự đoán cao hơn.

Cụ thể, các hoạt động OT có đặc quyền cao cần được quản trị chặt chẽ về ai được phép thực hiện các hành động nhạy cảm và họ được phép làm gì, đồng thời phải kết hợp với mô hình truy cập mạng có tính xác định rõ ràng – điều mà các mô hình chỉ tập trung vào kết nối như SASE không được thiết kế để đáp ứng. Trong IT, các trách nhiệm này thường được tách ra và xử lý bằng nhiều công cụ khác nhau; nhưng trong OT, chúng phải cùng tồn tại trong một khuôn khổ duy nhất, ưu tiên hiệu năng và độ ổn định.

Safous kết hợp quản trị truy cập đặc quyền với mô hình Zero Trust Network Access nhằm giúp các tổ chức bảo vệ truy cập từ xa cho cả hệ thống IT và OT.

Khi các ngành sản xuất, tiện ích và hạ tầng trọng yếu bước vào quá trình chuyển đổi số, câu hỏi không còn là có nên cấp quyền truy cập từ xa hay không, mà là làm thế nào để thực hiện điều đó một cách an toàn. Trong khi nhiều tổ chức lựa chọn SASE để hiện đại hóa truy cập IT, thì các giải pháp này lại bộc lộ nhiều hạn chế khi áp dụng cho OT và các hệ thống điều khiển công nghiệp (ICS).

Bài viết này sẽ phân tích SASE mang lại điều gì, vì sao nó không phù hợp với môi trường OT, và cách Safous giải quyết những khoảng trống đó bằng các năng lực được thiết kế chuyên biệt.

SASE là gì?

SASE (Secure Access Service Edge) là một mô hình bảo mật gốc đám mây, kết hợp mạng và bảo mật vào một nền tảng thống nhất. Nó bao gồm các công nghệ như SD-WAN, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS) và Zero Trust Network Access (ZTNA). Mục tiêu của SASE là cho phép người dùng phân tán truy cập an toàn vào các ứng dụng doanh nghiệp mà không cần đi qua các trung tâm VPN truyền thống.

Đối với các đội ngũ IT, cách tiếp cận này rất hợp lý: quản trị chính sách tập trung, kiểm tra lưu lượng và định tuyến linh hoạt ở quy mô lớn. Tuy nhiên, bảo mật OT có những yêu cầu hoàn toàn khác.

Các hệ thống công nghiệp thường chạy tại chỗ (on-premise), sử dụng giao thức cũ, hoặc tồn tại trong môi trường cách ly (air-gapped) hay ngoại tuyến. Chúng đòi hỏi hiệu năng ổn định, độ trễ thấp và sự gián đoạn tối thiểu – trong khi kiến trúc dựa trên đám mây của SASE có thể gây trễ hoặc buộc định tuyến không phù hợp, làm gián đoạn quy trình OT.

Vì sao SASE không phù hợp với môi trường OT

1. SASE được thiết kế cho lưu lượng tập trung vào đám mây

Hầu hết các giải pháp SASE giả định rằng lưu lượng sẽ đi qua Internet và được xử lý trong hạ tầng đám mây của nhà cung cấp. Điều này không phù hợp với OT, nơi nhiều hệ thống yêu cầu điều khiển tại chỗ, kết nối cách ly, hoặc sử dụng giao thức cũ không thể chuyển hướng qua lớp kiểm tra đám mây mà không gây rủi ro về độ trễ hoặc thời gian dừng hệ thống.

Nói ngắn gọn: OT cần hiệu năng có tính xác định và gián đoạn tối thiểu, trong khi nhiều triển khai SASE lại giả định điều ngược lại.

2. SASE thiếu kiểm soát truy cập đặc quyền

Kỹ thuật viên nhà cung cấp, kỹ sư và đối tác dịch vụ thường cần quyền truy cập tạm thời với đặc quyền cao vào các hệ thống OT nhạy cảm như SCADA, HMI hoặc PLC hiện trường. Tuy nhiên, các công cụ SASE tiêu chuẩn được xây dựng cho người dùng thông thường thường không cung cấp các cơ chế truy cập đặc quyền từ xa như:

• Ghi và phát lại phiên làm việc

• Danh sách lệnh được phép

• Giám sát trực tiếp theo thời gian thực

• Cấp quyền theo nhu cầu (Just-in-Time)

• Lưu trữ và bảo vệ thông tin xác thực

Trong môi trường OT, chỉ một sai sót nhỏ cũng có thể ảnh hưởng đến sản xuất, an toàn hoặc cả hai.

3. SASE không bảo mật hiệu quả truy cập bên thứ ba

Truy cập trái phép từ bên thứ ba chiếm 50% các sự cố an ninh OT trong năm 2025. Nhiều nhà cung cấp, nhà thầu và kỹ thuật viên hiện trường kết nối vào hệ thống OT bằng các thiết bị cũ hoặc từ những địa điểm không có Internet ổn định. Do đó, môi trường OT cần các giải pháp linh hoạt, hỗ trợ nhiều loại người dùng và hệ thống khác nhau.

Nhiều công cụ SASE vẫn yêu cầu cài agent trên thiết bị, giả định sử dụng thiết bị doanh nghiệp tiêu chuẩn hoặc buộc định tuyến qua proxy nội bộ – điều này có thể chặn truy cập cần thiết hoặc khiến người dùng phải tìm đến các giải pháp không an toàn.

Safous tiếp cận truy cập OT khác biệt như thế nào

Safous Privileged Remote Access kết hợp Zero Trust Network Access, quản trị truy cập đặc quyền (PAM) và xác thực dựa trên danh tính trong một nền tảng duy nhất, được thiết kế để đơn giản hóa việc quản trị các hoạt động đặc quyền.

• Triển khai cổng đơn: Safous có thể chạy trên đám mây, tại chỗ hoặc hoàn toàn ngoại tuyến (phù hợp với OT cách ly), không cần chuyển hướng lưu lượng lên cloud hay làm gián đoạn các hệ thống nhạy cảm về độ trễ.

• Truy cập không cần agent cho giao thức cũ: Hỗ trợ RDP, SSH, HMI, PLC mà không cần cài agent trên thiết bị đích.

• Kiểm soát người dùng đặc quyền tích hợp sẵn: Mọi phiên đều được ghi log, ghi hình và có thể tìm kiếm. Quyền truy cập có thời hạn, theo ngữ cảnh, yêu cầu MFA. Có giám sát trực tiếp và chấm dứt phiên theo thời gian thực.

• Quản trị nhà cung cấp bên thứ ba: Nhà thầu và vendor truy cập an toàn mà không cần VPN hay agent doanh nghiệp. Quyền truy cập được giới hạn và kiểm toán đầy đủ theo yêu cầu tuân thủ.

• Chính sách thống nhất cho IT và OT: Một giao diện duy nhất để quản lý danh tính, phiên truy cập, quy tắc và nhật ký kiểm toán cho cả hệ thống IT truyền thống và tài sản công nghiệp.

Safous được xây dựng riêng cho các yêu cầu khắt khe của OT, giúp bạn bảo mật truy cập từ xa với sự kiểm soát và độ tin cậy cao.

Bảo mật OT thông minh hơn với Safous

SASE là công cụ mạnh mẽ cho môi trường IT và ứng dụng đám mây phân tán, nhưng không đủ để đáp ứng toàn bộ nhu cầu phức tạp của hệ thống ICS/OT. Nếu hệ sinh thái của bạn bao gồm sản xuất, an toàn, truy cập vendor, giao thức cũ hoặc nhà máy cách ly, bạn cần một giải pháp bảo mật được thiết kế cho thực tế đó.

Safous cung cấp đúng điều này: truy cập từ xa có đặc quyền dành riêng cho OT, kết hợp Zero Trust, PAM và quản trị danh tính thống nhất – giúp bảo mật mọi kết nối mà không làm chậm hoạt động vận hành.

Bảo mật kết nối và quản trị hoạt động đặc quyền là hai trách nhiệm khác nhau, và một chiến lược an ninh hiệu quả cần giải quyết cả hai một cách độc lập.

Câu hỏi thường gặp (FAQs)

Đây có phải chỉ là vấn đề IT so với OT không?
Không. Đây không phải là vấn đề IT hay OT, mà là sự khác biệt giữa bảo mật tập trung vào kết nối và quản trị hoạt động đặc quyền. Cả IT và OT đều cần kiểm soát truy cập đặc quyền, nhưng trong OT, các kiểm soát này phải đi kèm hiệu năng xác định và hỗ trợ hệ thống cũ – điều mà SASE không hỗ trợ nguyên bản.

Safous thay thế hay bổ trợ cho SASE?

Safous không thay thế SASE. SASE quản lý kết nối mạng, còn Safous quản trị hành động và phiên của người dùng có đặc quyền cao. Chúng hoạt động ở các lớp khác nhau và mang tính bổ trợ, không thể hoán đổi.

Safous chỉ áp dụng cho OT?
Không. Safous quản trị truy cập đặc quyền cho cả IT và OT. Bất kỳ tổ chức nào có vendor, nhà thầu hoặc kỹ sư cần quyền truy cập tạm thời đều hưởng lợi từ các kiểm soát truy cập đặc quyền chuyên biệt, dù họ đang truy cập ứng dụng đám mây, hệ thống tại chỗ hay tài sản công nghiệp.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.