Remote Access VPN trong hơn một thập kỉ đã là một giải pháp cung cấp một phương pháp an toàn để truy cập từ xa các hệ thống và tài nguyên trên mạng. Tuy nhiên, vì VPN được phát triển để người dùng có trải nghiệm tốt nhất, sau khi kết nối, bạn có quyền truy cập vào tài nguyên hệ thống.

Mặt khác, cách hoạt động của Zero trust network access (ZTNA) có thể được tóm gọn là: không tin tưởng gì, xác minh mọi thứ. Nó dựa trên nguyên tắc rằng bất kỳ kết nối nào với mạng của bạn phải được coi là thù địch cho đến khi nó được xác thực, ủy quyền và cấp quyền truy cập vào các tài nguyên.

Nói một cách đơn giản: với virtual private networking (VPN), bạn đang cung cấp quyền truy cập vào hệ thống mạng. Với ZTNA, bạn đang cung cấp quyền truy cập vào ứng dụng cụ thể.

2. Remote Accesss VPN truyền thống vs ZTNA.

Có một số khác biệt giữa VPN truy cập từ xa truyền thống và ZTNA. Bên dưới là một số điều quan trọng, bao gồm độ tin cậy, tình trạng thiết bị, quản trị và hơn thế nữa.

2.1 Trust (Sự tin tưởng).

Với VPN truy cập từ xa, người dùng hoàn toàn được tin tưởng với quyền truy cập vào các tài nguyên, điều này có thể tạo ra các rủi ro bảo mật nghiêm trọng.

ZTNA xử lý từng người dùng và thiết bị riêng lẻ để chỉ những tài nguyên mà người dùng và thiết bị được phép truy cập mới được cung cấp. Thay vì cho phép người dùng hoàn toàn tự do di chuyển trên mạng, các đường hầm riêng lẻ được thiết lập giữa người dùng và gateway cụ thể cho ứng dụng mà họ được phép truy cập và không có gì khác.

2.2 Tình trạng thiết bị.

VPN truy cập từ xa không có nhận thức về tình trạng sức khỏe của thiết bị đang kết nối. Nếu một thiết bị bị xâm nhập kết nối qua VPN, nó có thể ảnh hưởng đến phần còn lại của mạng.

ZTNA tích hợp tính tuân thủ và sức khỏe của thiết bị vào các chính sách truy cập, cung cấp cho bạn tùy chọn để loại trừ các hệ thống không tuân thủ, bị nhiễm hoặc bị xâm nhập truy cập vào các ứng dụng và dữ liệu của công ty. Điều này làm giảm đáng kể nguy cơ bị đánh cắp hoặc rò rỉ dữ liệu.

2.3 Kết nối từ xa.

VPN truy cập từ xa cung cấp một điểm hiện diện duy nhất trên mạng, có nghĩa là lưu lượng truy cập từ nhiều vị trí, trung tâm dữ liệu hoặc ứng dụng có khả năng không hiệu quả thông qua đường hầm VPN truy cập từ xa.

ZTNA hoạt động tốt và an toàn như nhau từ bất kỳ điểm kết nối nào, có thể là nhà riêng, khách sạn, quán cà phê hoặc văn phòng. Quản lý kết nối an toàn và minh bạch bất kể người dùng và thiết bị đang ở đâu, giúp trải nghiệm liền mạch cho dù người dùng đang làm việc ở đâu.

ZTNA cũng là một cách tuyệt vời để đảm bảo kiểm soát bảo mật tốt hơn trong các Remote Desktop Protocol (RDP). Những thách thức đã biết với RDP bao gồm các cổng mặc định bị lộ, không hỗ trợ xác thực đa yếu tố (MFA), truy cập mạng rộng và tất nhiên là các lỗ hổng bảo mật. Các lỗ hổng máy chủ RDP và các kết nối RDP mở nhầm có thể bị khai thác trực tiếp bởi những kẻ tấn công. Với ZTNA, những người dùng như vậy sẽ bị coi là thù địch bởi các tính năng xác thực của ZTNA.

2.4 Visibility

VPN truy cập từ xa không biết về lưu lượng và cách sử dụng mà nó đang tạo điều kiện, khiến khả năng hiển thị hoạt động của người dùng và việc sử dụng ứng dụng trở nên khó khăn hơn.

Vì quyền truy cập ZTNA được phân đoạn vi mô, nó có thể giúp tăng khả năng hiển thị đối với hoạt động ứng dụng. Điều này làm cho việc giám sát tình trạng ứng dụng, quản lý cấp phép và kiểm toán dễ dàng hơn nhiều.

2.5 Trải nghiệm người dùng

Các ứng dụng Remote access VPN clients nổi tiếng là cung cấp trải nghiệm người dùng kém, thêm độ trễ hoặc tác động tiêu cực đến hiệu suất, gặp sự cố kết nối và thường là gánh nặng cho bộ phận trợ giúp.

ZTNA cung cấp trải nghiệm người dùng cuối liền mạch bằng cách tự động thiết lập các kết nối an toàn theo yêu cầu. Tất cả đều được cấu hình sẵn, vì vậy hầu hết người dùng thậm chí sẽ không biết về giải pháp ZTNA đang giúp bảo vệ dữ liệu của họ.

2.6 Administration

Remote access VPN clients rất khó thiết lập, triển khai, đăng ký người dùng mới và ngừng hoạt động người dùng. VPN cũng gặp nhiều khó khăn trong việc quản trị bên tường lửa hoặc gateway, đặc biệt là với nhiều node, firewall access rules, quản lý IP, luồng traffic và định tuyến.

Các giải pháp ZTNA thường gọn gàng hơn và dễ triển khai và quản lý hơn. Cũng thay đổi dễ hơn trong các môi trường thay đổi nhanh chóng với người dùng, ứng dụng và thiết bị đến và đi – giúp cho việc quản trị hàng ngày trở nên nhanh chóng và dễ dàng.

Sophos ZTNA đã được thiết kế ngay từ đầu để giúp việc truy cập mạng không tin cậy trở nên dễ dàng, tích hợp và an toàn.

Nó được phân phối trên đám mây, được quản lý bằng đám mây và được tích hợp vào Sophos Central, nền tảng an ninh mạng đáng tin cậy nhất trên thế giới. Từ Sophos Central, bạn không chỉ có thể quản lý ZTNA mà còn cả tường lửa Sophos, thiết bị đầu cuối, bảo vệ máy chủ, thiết bị di động, bảo mật đám mây, bảo vệ email, v.v.

Sophos ZTNA cũng độc đáo ở chỗ nó tích hợp chặt chẽ với cả Sophos Firewall và Sophos Intercept X-bảo vệ điểm cuối để chia sẻ tình trạng thiết bị theo thời gian thực giữa tường lửa, thiết bị, ZTNA và Sophos Central để tự động phản hồi các mối đe dọa hoặc thiết bị không tuân thủ. Nó hoạt động giống như một quản trị viên suốt ngày đêm, tự động giới hạn quyền truy cập và cô lập các hệ thống bị xâm phạm cho đến khi chúng được làm sạch.

ZTNA gateway có thể được triển khai dưới dạng một cụm (cluster) gồm ba instances trở lên. Số lượng instances phải tăng theo số lẻ do kiến trúc Kubernetes của ZTNA. Hiện tại, số instances được hỗ trợ tối đa trong một cụm là chín.

Triển khai ZTNA như một cụm cung cấp khả năng dự phòng và có khả năng hỗ trợ số lượng người dùng cao hơn. Cụm có thể được sử dụng có hoặc không có bộ cân bằng tải bên ngoài. ZTNA có thể quản lý cân bằng tải của riêng nó, nhưng nếu bạn đã có bộ cân bằng tải trong cơ sở hạ tầng của mình, thì có thể sử dụng bộ cân bằng tải đó.

One-arm proxy deployment: Sử dụng WAN (external interface) cho cả lưu lượng đến và đi thông qua tường lửa. Cách triển khai này giảm thiểu những thay đổi đối với cơ sở hạ tầng của bạn.

Two-arm proxy deployment: sử dụng cả WAN và LAN (external and internal interface). Cách triển khai này yêu cầu thay đổi cơ sở hạ tầng nhưng cung cấp thông lượng và bảo mật tốt nhất.

2. Network Diagram

One-arm proxy deployment

Cụm sẽ có một địa chỉ IP ảo, được giữ bởi master instance. Master instance được xác định là có octet cuối cùng cao nhất trong địa chỉ IP của chúng.
Trong sơ đồ trên, không có bộ cân bằng tải bên ngoài, lưu lượng truy cập được DNAT thông qua tường lửa đến địa chỉ IP cụm ảo. Instance có IP cụm ảo sẽ cân bằng các kết nối đến với các instance cụm, sử dụng tính năng round-robin.
Instance xử lý yêu cầu sẽ sử dụng địa chỉ IP của chính nó và do đó sẽ nhận được phản hồi từ ứng dụng. Lưu lượng được gửi lại thông qua master instance cho người dùng với địa chỉ nguồn là IP cụm ảo.

Bạn có thể tham khảo việc triển khai ZTNA Gateway trên VMware Esxi qua bài biết sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

3. Hướng dẫn

Bước 1: Add Instances.

Sau khi đã tạo ZTNA Gateway, bạn có thể chọn thêm các instances. Trên Sophos Central > Zero Trust Network Access > Gateways > Click chọn ZTNA1.

Click Add/Instances.

Trong Add/Instances:

Thay đổi trang thái Gateway Clustering sang ON.

Cluster virtual IP: điền ip 172.30.30.80. IP này được sử dụng để quản lý cụm và cân bằng tải. IP phải nằm trong cùng dải IP với các gateway instances.

Click Add another instances

Add thêm các Instances: Điền các VM name là ztna-gateway2 và ztna-gateway3 với ip là 172.30.30.82 và 172.30.30.83. Click Save.

Xuất hiện cảnh báo, click Save.

Bước 2: Download image và cài đặt Gateway Instances

Sau khi đã add các instances > click chọn Download image ở mỗi instances.

Các bước tiếp theo bạn có thể cài đặt theo hướng dẫn sau: https://www.thegioifirewall.com/huong-dan-cau-hinh-trien-khai-sophos-ztna-tren-vmware-esxi/

Các gateway instances đã cài đặt thành công.

Với ZTNA bạn có thể chọn quyền truy cập agentless hoặc agent cho một tài nguyên.

Agentless: Điều này chỉ có thể kiểm soát quyền truy cập vào các ứng dụng và trang web, không phải ứng dụng cục bộ. Và không thể kiểm tra tình trạng sức khỏe thiết bị.

Agent: Với quyền truy cập này có thể kiểm tra tình trạng của thiết bị và kiểm soát quyền truy cập vào tất cả các loại tài nguyên. Bạn phải cài đặt Agent Sophos Endpoint trên thiết bị của mình. Điều này ngăn chặn các thiết bị có khả năng bị nhiễm virut truy cập vào tài nguyên của bạn.

2. Network Diagram.

Khi một người dùng Agentless muốn kết nối với một tài nguyên, họ sẽ tra cứu FQDN của nó trong Public DNS. Phân giải thành địa chỉ IP của ZTNA Gateway. Gateway sẽ phân giải FQDN của ứng dụng bằng Internal DNS Server.

Người dùng đăng nhập vào FQDN của ZTNA Gateway để truy cập user portal.

3. Hướng dẫn cấu hình.

Bước 1: Add Resource.

Để thêm các tài nguyên (ứng dụng và trang web) mà người dùng sẽ truy cập thông qua gateway.

Trên Sophos Central > Zero Trust Network Access > Resources & Access và click Add Resource.

Trong Add Resource, điền các thông số sau:

Name: Điền tên tài nguyên. Ex: Intranet và click chọn Show resource in user portal.

Gateway: chọn gateway. Ex: ZTNA1

Access method: chọn Agentless để truy cập tài nguyên

Policy: chọn policy apply cho tài nguyên

Resource type: Ex: Web Application.

Điền External FQDN và Internal FQDN/IP address của tài nguyên.

Kéo xuống phần Assign User Groups, click chọn group bạn muốn truy cập đến tài nguyên trong bảng Available user groups (Ex: ZTNA_ALL), chuyển qua bảng Assigned user groups bằng icon “>“

Click Save.

Bước 2: Kiểm tra

Mở 1 trình duyệt trên máy tính, nhập địa chỉ ztna1.app.trainingdemo.xyz. Trang ZTNA Gateway Application sẽ xuất hiện và user là jsmith@trainingdemo.xyz

Click Intranet.

Bạn đã truy cập thành công tài nguyên

Bây giờ bạn sẽ logged in như local user. Nhập địa chỉ intranet.app.trainingdemo.xyz và nhấn Enter.

Bạn sẽ được yêu nhập user để xác thực.

Sophos ZTNA cung cấp rất nhiều lợi thế so với remote-access VPN – cho phép nhân viên từ xa truy cập các ứng dụng họ cần với bảo mật mạnh hơn nhiều, đồng thời giúp việc quản lý dễ dàng hơn và cung cấp trải nghiệm người dùng cuối tốt mà hơn.

2. Vì sao Sophos ZTNA tốt hơn.

2.1 Bảo mật tốt hơn

Sophos ZTNA cung cấp bảo mật tốt hơn vì bốn lý do:

+ Sophos ZTNA loại bỏ nhu cầu về phần mềm VPN client cũ dễ bị tấn công trên máy tính người dùng cuối, vốn ngày càng trở thành mục tiêu của những kẻ tấn công ransomware.

+ Sophos ZTNA tích hợp theo dõi tình trạng của thiết bị vào các chính sách kết nối, cho phép các thiết bị không tuân thủ hoặc bị xâm phạm bị từ chối kết nối với các ứng dụng và dữ liệu của công ty.

+ Sophos ZTNA chỉ kết nối người dùng với các ứng dụng cụ thể – không phải toàn bộ mạng, loại bỏ các cuộc tấn công lateral movement.

+ Sophos ZTNA tích hợp với Sophos Intercept X để cung cấp giải pháp single-agent kết hợp endpoint thế hệ tiếp theo tốt nhất trên thế giới với ZTNA – bảo vệ tốt hơn không chỉ thiết bị của người dùng mà còn cả danh tính của họ cũng như các ứng dụng và mạng mà họ kết nối.

2.2 Quản lý đơn giản hơn

Dễ triển khai. Nếu tất cả các ứng dụng của bạn đều dựa trên trình duyệt, bạn có thể sử dụng tùy chọn không ứng dụng khách. Nếu bạn cần truy cập hệ thống từ xa, single agent được tích hợp với Intercept X cũng rất dễ triển khai. Và các gateway cũng được thiết lập dễ dàng: tất cả đều từ Sophos Central.

Việc thiết lập nhà cung cấp danh tính của bạn trên đám mây nhanh chóng và dễ dàng – đặc biệt nếu bạn sử dụng Active Directory, vì bạn có thể dễ dàng đồng bộ hóa với Azure AD. Do đó, thật dễ dàng để quản lý người dùng khi họ đến và đi khỏi tổ chức.

Rất đơn giản để thêm các ứng dụng mới và làm cho chúng có thể truy cập được thông qua các chính sách đối với chỉ những người dùng cần quyền truy cập.

Báo cáo phong phú và có giá trị cung cấp thông tin chi tiết về việc sử dụng băng thông và tài nguyên, cho phép bạn theo dõi việc sử dụng và lập kế hoạch dung lượng cho các ứng dụng được nối mạng của mình.

2.3 Dễ sử dụng hơn

Sophos ZTNA đáng tin cậy, liền mạch và minh bạch hơn nhiều so với VPN kiểu cũ. Nó không làm chậm người dùng, giảm kết nối vào thời điểm không thích hợp nhất hoặc gây đau đầu khi cố gắng kết nối – từ mọi nơi.

Video demo của Sophos ZTNA

Trong video này Sophos cho thấy cách một hệ thống có thể được thiết lập bằng cách sử dụng quyền truy cập không cần client với một số người dùng, ứng dụng và chính sách khác nhau. Việc hỗ trợ nhân viên làm việc từ xa dễ dàng.

Khi đại dịch Covid xảy ra, đã có một sự thay đổi lớn trong cách hoạt động của các doanh nghiệp, với tỷ lệ nhân viên làm việc từ xa tại nhà tăng cao. Xu hướng này đã gia tăng đáng kể trong năm ngoái, với đại đa số các tổ chức yêu cầu hoặc khuyến khích nhân viên của họ làm việc tại nhà .

Điều này đã biến nhiều tổ chức gần như chỉ trong một đêm thành một doanh nghiệp có mô hình phân tán cao với hàng trăm, nếu không muốn nói là hàng nghìn nhân viên, mỗi nhân viên được ví như 1 chi nhánh của doanh nghiệp (The branch office of one). “The branch office of one” đã trở thành cách hoạt động mới đối với nhiều tổ chức.

Sự thay đổi lớn này đã tạo ra một thách thức lớn tương tự đối với nhiều tổ chức cho IT, khi cố gắng triển khai quyền truy cập VPN cho nhân viên từ xa của họ. Theo thống kê của Sophos, việc sử dụng ứng dụng Sophos Connect VPN với tường lửa XG đã tăng hơn 10 lần lên hơn 1,4 triệu khách hàng đang hoạt động trong những tháng gần đây.

Và trong khi công nghệ VPN là một vị cứu tinh và đã hoạt động rất tốt, nó chưa bao giờ thực sự được thiết kế cho cách hoạt động mới này. VPN có thể khó triển khai cho nhân viên mới, người dùng cuối có thể khó sử dụng và tạo ra các rắc rối không cần thiết, đồng thời nó không cung cấp loại bảo mật chi tiết mà hầu hết các tổ chức yêu cầu.

Bảo vệ dữ liệu của bạn

Đối các tổ chức, việc nhân viên IT phải vật lộn với sự thay đổi lớn về làm việc từ xa này là chưa đủ, thì vấn đề bảo mật dữ liệu luôn bị nhòm ngó bởi những kẻ xấu và tin tặc cố gắng lợi dụng tình hình hiện tại với các cuộc tấn công ngày càng tăng vào các hệ thống và dữ liệu của công ty.

Với sự phân tán khi nhân viên bắt đầu làm việc từ xa nhu cầu về bảo mật thông tin cũng tăng theo. Sophos đang tích cực làm việc để đưa Sophos ZTNA hay còn gọi là Zero Trust Network Access đến vơi các tổ chức doanh nghiệp nhanh nhất có thể. Để giúp vượt qua một số thách thức mà các tổ chức đang phải đối mặt với nhân viên từ xa, ZTNA cung cấp giải pháp đơn giản hơn, tốt hơn, an toàn hơn để kết nối người dùng với các ứng dụng và dữ liệu quan trọng.

Zero Trust Network Access

ZTNA hoạt động dựa trên nguyên tắc “không tin tưởng” và tất cả đều nhằm xác minh người dùng. ZTNA thường tận dụng xác thực đa yếu tố để tăng khả năng bảo mật và xác nhận user, sau đó sẽ xác thực tình trạng và sự tuân thủ của thiết bị để đảm bảo thiết bị được đăng ký, cập nhật và được bảo vệ đúng cách. Sau đó, ZTNA sử dụng thông tin đó để đưa ra các quyết định dựa trên chính sách nhằm xác định quyền truy cập và đặc quyền đối với các ứng dụng quan trọng được nối mạng.

Lợi ích của ZTNA so với VPN Remote Access

Trong khi VPN Remote Access vẫn là một lựa chọn tốt khi cần cho nhân viên truy cập từ xa nguồn dữ liệu của tổ chức, ZTNA cung cấp một số lợi ích bổ sung khiến nó trở thành một giải pháp hấp dẫn hơn nhiều:

+ Kiểm soát chi tiết hơn: ZTNA cho phép kiểm soát chi tiết hơn đối với những ai có thể truy cập vào các ứng dụng và dữ liệu nhất định. Còn VPN một khi đã kết nối thành công, VPN thường cung cấp quyền truy cập vào mọi thứ.

+ Bảo mật tốt hơn: ZTNA bao gồm theo dõi tình trạng sức khỏe thiết bị và các chính sách truy cập để tăng cường bảo mật hơn nữa. VPN không xem xét trạng thái sức khỏe thiết bị, điều này có thể khiến dữ liệu ứng dụng gặp rủi ro đối với một thiết bị bị xâm phạm hoặc không tuân thủ.

+ Dễ dàng triển khai cho nhân viên hơn: ZTNA dễ triển khai hơn nhiều và tốt hơn khi đăng ký cho nhân viên mới. VPN liên quan nhiều đến việc thiết lập, triển khai nhiều thách thức và khó khăn hơn.

Sophos ZTNA

Sophos ZTNA là một sản phẩm được quản lý trên nền tảng đám mây hoàn toàn mới để bảo mật một cách dễ dàng và minh bạch các ứng dụng kinh doanh quan trọng của bạn với các kiểm soát chi tiết.

Sophos ZNTA bao gồm ba thành phần:

+ Sophos Central cung cấp giải pháp báo cáo và quản lý đám mây tối ưu cho tất cả các sản phẩm Sophos của bạn, bao gồm cả Sophos ZTNA. Sophos ZTNA hoàn toàn hỗ trợ đám mây, với Sophos Central cung cấp khả năng triển khai dễ dàng, quản lý chính sách chi tiết và báo cáo chi tiết từ đám mây.

+ Sophos ZTNA Gateway sẽ có sẵn dưới dạng một thiết bị ảo cho nhiều nền tảng khác nhau để bảo mật các ứng dụng được nối mạng tại chỗ hoặc trong đám mây công cộng. Hỗ trợ AWS và VMware ESXi sẽ có sẵn ban đầu, sau đó là hỗ trợ cho Azure, Hyper-V, Nutanix…

+ Sophos ZTNA Client cung cấp kết nối trong suốt và frictionless với các ứng dụng được kiểm soát cho người dùng cuối dựa trên danh tính và tình trạng của thiết bị. Rất dễ dàng để triển khai từ Sophos Central, với một tùy chọn để triển khai cùng với Intercept X chỉ với một cú nhấp chuột hoặc thay vào đó hoạt động độc lập với bất kỳ ứng dụng AV dành cho máy tính để bàn nào. Ban đầu nó sẽ hỗ trợ MacOS và Windows, sau đó là Linux và các nền tảng thiết bị di động.