1. ZERO TRUST ARCHITECTURE Mobile Application and Device Security
Zero Trust là một mô hình bảo mật mà nhiều tổ chức đã áp dụng để tăng cường bảo mật di động của họ. Đây là một cách tiếp cận bảo mật mạng và thông tin, giả định rằng bất kỳ hệ thống được kết nối nào cũng không thể tin cậy được.
Mọi endpoint trong mạng đều được coi là không đáng tin cậy và tất cả người dùng đều được coi là kẻ thù có thể cố gắng khai thác tài nguyên của tổ chức. Điều này có nghĩa là tất cả người dùng phải chứng minh danh tính của mình trước khi truy cập vào các tài nguyên được bảo vệ và sau khi họ đã làm như vậy, họ chỉ được cấp các quyền mà họ cần để thực hiện công việc của mình. Đây được gọi là phương pháp giải quyết vấn đề, giúp giảm số lượng kết quả dương tính giả. Zero Trust kiểm tra động cơ và ý định của người dùng thay vì hành động của họ.
Điều này cho phép các tổ chức chủ động hơn với vấn đề bảo mật trong khi giảm nhu cầu về nhân lực. Mô hình Zero Trust cho phép các tổ chức cung cấp khả năng bảo vệ nhất quán cho các nguồn lực của mình; bao gồm mọi thứ từ thiết bị di động hỗ trợ nhân sự do công ty sở hữu đến máy tính xách tay, máy tính bảng và bất kỳ thiết bị nào khác có thể kết nối với mạng.
2. Đặc điểm của kiến trúc Zero Trust
Microsegmentation
Theo định nghĩa của TechTarget, microsegmentation chia nhỏ mạng thành các vùng có thể xác định được với các chính sách truy cập và rào cản cụ thể khi vào mạng. Microsegmentation được định nghĩa ở cấp độ phần mềm, không giống như network segmentation, tập trung vào phân đoạn phần cứng. Microsegmentation cho phép quản trị viên mạng phân chia và tạo các mạng con dựa trên chính sách ứng dụng, tầng, môi trường hoặc người dùng.
Zero Trust Network Access
Theo Gartner, Zero Trust Network Access (ZTNA) thiết lập các điều khiển truy cập dựa trên ngữ cảnh và danh tính cho một hoặc nhiều ứng dụng. Quyền truy cập vào các ứng dụng này, thậm chí là khả năng nhìn thấy chúng trong danh sách ứng dụng, đều được ẩn thông qua một trust brokers. Trust brokers này xác thực danh tính người dùng theo các chính sách và thiết lập truy cập đã định, và khi được xác nhận, cho phép người dùng truy cập ứng dụng mà không cho phép di chuyển ngang hàng qua mạng.
Security Configuration and Posture
Một thành phần thiết yếu của Zero Trust là xác nhận không chỉ danh tính của người dùng và/hoặc thiết bị mà còn cả security configuration và posture của từng thiết bị được sử dụng để truy cập các dịch vụ. Các thiết bị khác nhau có các yêu cầu và định nghĩa khác nhau về bảo mật—yêu cầu bảo mật của máy tính cá nhân rất khác so với điện thoại di động, cũng rất khác so với đồng hồ thông minh—mặc dù cả ba đều có thể được sử dụng để truy cập cùng một dịch vụ, chẳng hạn như email.
3. Zero Trust: Bảo Vệ Thiết Bị Di Động Hiệu Quả
Việc sử dụng thiết bị di động như máy tính bảng, điện thoại và thiết bị wearable sẽ tiếp tục tăng. Điều này giúp nhân viên có thể kết nối với các ứng dụng công việc từ bất kỳ đâu và bất kỳ lúc nào. Vậy điều này có ý nghĩa gì đối với các tổ chức có nhân viên cần truy cập thông tin nhạy cảm khi làm việc từ xa hoặc phản hồi email nhanh chóng khi đang di chuyển?
Nhiều chuyên gia bảo mật mạng cho rằng các nhà sản xuất thiết bị di động đã áp dụng các biện pháp bảo mật phù hợp với nguyên tắc của kiến trúc Zero Trust. Các tính năng như sandboxing, segmentation, hoặc secure memory management giúp bảo vệ thiết bị tốt hơn. Tuy nhiên, theo tài liệu gần đây của Cybersecurity and Infrastructure Security Agency (CISA), “Áp dụng Zero Trust cho Di động Doanh nghiệp,” cần phải xem xét kỹ lưỡng bảo mật của các ứng dụng di động và các lỗ hổng có thể bị khai thác trong các ứng dụng thường dùng.
Việc triển khai quy trình kiểm tra bảo mật Ứng dụng Di động – Mobile Application Vetting (MAV) sẽ giúp các chuyên gia bảo mật quét các ứng dụng trước khi triển khai trên các thiết bị được phê duyệt của công ty. Quy trình này sẽ giúp quản trị viên mạng và các nhóm bảo mật phát hiện các rủi ro tiềm ẩn trong ứng dụng. Đồng thời, nó cũng giúp các nhà phát triển khắc phục các rủi ro này kịp thời, đảm bảo rằng các ứng dụng đáp ứng các yêu cầu bảo mật nghiêm ngặt nhất khi được sử dụng bởi các tổ chức.
4. Best Practices Để Tích Hợp Bảo Mật Ứng Dụng Di Động Vào Kiến Trúc Zero Trust
- Xác nhận rằng các ứng dụng di động được sử dụng trong môi trường của bạn đáp ứng các chính sách chấp nhận rủi ro trước khi triển khai hoặc cho phép sử dụng. Cần đặc biệt chú trọng đến bảo mật đối với các ứng dụng được cài đặt trên thiết bị cá nhân có quyền truy cập vào dữ liệu nhạy cảm của tổ chức hoặc có thể xử lý thông tin nhạy cảm. Mức độ chấp nhận rủi ro cho các ứng dụng này có thể khác với các ứng dụng khác, chẳng hạn như lịch hoặc kế hoạch hàng ngày, nếu chúng không kết nối với hệ thống nội bộ.
- Xác nhận rằng các thiết bị di động được nhân viên sử dụng có thể được tin cậy và đáp ứng các chính sách chấp nhận rủi ro liên tục và trong mỗi lần đăng nhập để truy cập tài nguyên kinh doanh. Việc xác nhận nên bao gồm các yếu tố sau:
- Phân tích rủi ro của các ứng dụng bên thứ ba (cửa hàng ứng dụng) được cài đặt bởi chủ sở hữu thiết bị.
- Ứng dụng hệ thống (firmware).
- Phân tích các ứng dụng có hành vi thông đồng trên thiết bị.
- Tự động thực thi và khắc phục các vi phạm chính sách trên thiết bị di động. Không dựa vào hành động của nhân viên CNTT/bảo mật để bắt đầu thực thi hoặc liên lạc với bên bị ảnh hưởng. Các vi phạm sẽ thu hồi quyền truy cập vào dữ liệu kinh doanh từ thiết bị đó cho đến khi chúng được khắc phục.
5. Giải pháp Quokka cho bảo mật ứng dụng di động trong kiến trúc Zero Trust
Q-Vet: Mobile Application Vetting
Giải pháp kiểm tra ứng dụng di động, liên tục đứng đầu trong các đánh giá của chính phủ và phòng thí nghiệm. Q-Vet đánh giá các rủi ro bảo mật và quyền riêng tư liên quan đến ứng dụng di động, phát hiện nhiều lỗ hổng và đảm bảo tuân thủ trên tất cả các nhánh của chính phủ.
Các cơ quan và tổ chức sử dụng Q-Vet để liên tục đánh giá bảo mật và quyền riêng tư của các ứng dụng di động theo các tiêu chuẩn đảm bảo phần mềm quốc tế cao nhất do National Institute of Standards and Technologies (NIST), National Information Assurance Partnership (NIAP), và Open Web Application Security Project (OWASP) công bố.
Trong kiến trúc Zero Trust, Q-Vet cho phép các cơ quan kiểm tra và xác thực các ứng dụng được thêm vào các thiết bị di động đã được phê duyệt. Việc đảm bảo rằng các ứng dụng di động đáng tin cậy và đáp ứng các chính sách Zero Trust của tổ chức trước khi được thêm vào các thiết bị được ủy quyền là rất quan trọng để đảm bảo thiết bị và dữ liệu được xử lý bởi ứng dụng không gặp rủi ro có thể khai thác sau khi ứng dụng được thêm vào cơ sở hạ tầng.
Q-MAST: Mobile Application Security Testing
Bên cạnh Q-Vet, Quokka còn cung cấp giải pháp kiểm tra bảo mật ứng dụng di động, Q-MAST, giúp các cơ quan phát triển ứng dụng của riêng mình. Với Q-MAST, các nhà phát triển có thể đảm bảo rằng ứng dụng của họ sẵn sàng cho Zero Trust và đáp ứng các yêu cầu chuỗi cung ứng khác. Bằng cách cung cấp danh sách các thành phần phần mềm và kiểm tra toàn bộ mã của bên thứ ba trong ứng dụng, các tổ chức có thể thiết lập sự tin cậy vào phần mềm được tích hợp vào ứng dụng của mình.
Q-Scout: Fleet-wide Device Security
Q-Scout là một giải pháp bảo mật thông minh và chủ động, bảo vệ cơ quan hoặc tổ chức cùng toàn bộ nhân viên của bạn, với quyền riêng tư cá nhân là trọng tâm.
Q-Scout hỗ trợ triển khai Zero Trust trong lĩnh vực di động bằng cách giải quyết vấn đề quan trọng: xác định xem thiết bị di động của người dùng cuối có thể được tin cậy để truy cập tài nguyên của công ty hay không. Với Q-Scout, bạn có thể chủ động khắc phục rủi ro bằng cách thực hiện đánh giá sâu về thiết bị, ứng dụng và cấu hình trước khi rủi ro xảy ra, sau đó điều chỉnh cấu hình hoặc mức độ tin cậy để ngăn chặn rủi ro.
Các giải pháp như Quản lý Thiết bị Di động và Nhà cung cấp Danh tính có thể kiểm soát quyền truy cập vào tài khoản từ một thiết bị nhưng không đủ thông minh để xác định liệu thiết bị đó có thể được tin cậy hay không. Q-Scout mang đến cho kiến trúc hiện tại của bạn trí thông minh bảo mật và tự động hóa để thực thi Zero Trust trong mỗi lần đăng nhập từ mọi thiết bị di động. Ngoài ra, Q-Scout còn có thể thực thi Zero Trust dựa trên các chính sách của tổ chức, áp dụng chúng một cách tự động.
Thông tin về hãng cung cấp giải pháp
