Không có một thiết bị, người dùng hay luồng lưu lượng nào được "mặc định" tin tưởng. Thay vào đó, mọi quyền truy cập đều cần được xác thực, ủy quyền và giám sát liên tục – và điều này được điều phối thông minh qua hai mặt phẳng chính:
1. Mặt phẳng điều khiển (Control Plane): Đưa ra quyết định ai được làm gì
Đây là bộ não đưa ra các quyết định truy cập dựa trên chính sách – chính xác, linh hoạt và không khoan nhượng. Trong Zero Trust, Control Plane bao gồm các thành phần và kỹ thuật sau:
Nhận dạng thích ứng (Adaptive Identity)
Không chỉ dựa vào username/password. Zero Trust đánh giá bối cảnh: vị trí, loại thiết bị, thời điểm đăng nhập, thói quen người dùng,... Ví dụ: bạn đăng nhập từ laptop công ty ở văn phòng thì ok, nhưng vẫn tài khoản đó, login từ quán cà phê ở châu Âu lúc 3h sáng? → Cần xác minh thêm!
Giảm phạm vi mối đe dọa (Threat Scope Reduction)
Không ai được quyền “full access”. Zero Trust chia nhỏ quyền – nguyên tắc least privilege – chỉ cấp quyền đủ dùng. Ví dụ: kế toán không cần truy cập hệ thống SCADA. Nếu bị lộ tài khoản, thiệt hại cũng được giới hạn trong phạm vi nhỏ.
Kiểm soát truy cập theo chính sách (Policy-driven Access Control)
Dựa trên nhiều yếu tố: ai (user), thiết bị gì (endpoint posture), đòi hỏi gì (loại tài nguyên), ở đâu (vị trí địa lý)... Ví dụ: một server backend chỉ chấp nhận kết nối từ container trong cùng subnet và đã được kiểm tra AV.
Vùng bảo mật (Security Zones)
Zero Trust chia mạng thành các vùng nhỏ – vùng ứng dụng, vùng dữ liệu, vùng IoT, v.v... Khi bị tấn công, hacker chỉ tiếp cận được một vùng – không thể "lan truyền như cháy rừng".
Công cụ chính sách (Policy Engine) & Quản trị viên chính sách (Policy Administrator)
Đây là bộ đôi quyền lực kiểm soát toàn bộ chính sách. Giống như firewall rules nhưng... mạnh hơn nhiều. Có thể dùng các ngôn ngữ chính sách như Rego, XACML hoặc engine tích hợp trong NAC/ZTNA/SASE.
2. Mặt phẳng dữ liệu (Data Plane): Nơi chính sách được thực thi thật sự
Sau khi mặt phẳng điều khiển ra quyết định, mặt phẳng dữ liệu đảm nhận việc thực thi.
Chủ thể (Subject/System)
Bất cứ ai yêu cầu tài nguyên – người dùng, thiết bị, app – đều là đối tượng bị giám sát nghiêm ngặt. Không có đặc quyền cho "nội bộ". Ví dụ: một con laptop domain-join vẫn có thể bị nhiễm mã độc → luôn cần kiểm tra trạng thái endpoint.
Policy Enforcement Point (PEP)
Chính là "cửa gác" – nơi thực thi các chính sách: firewall, switch, router, agent trên endpoint, hoặc proxy. Nếu chính sách yêu cầu endpoint phải cập nhật AV mới cho phép SSH vào server, thì PEP sẽ chặn nếu chưa đạt điều kiện.
Vùng tin cậy ngầm (Implicit Trust Zones)
Zero Trust xóa bỏ hoàn toàn các vùng "tin tưởng mặc định" – nơi trước đây nghĩ rằng "cùng subnet thì an toàn". Không còn khái niệm đó! → Mọi kết nối đều cần xác minh liên tục. Ngay cả khi trong cùng VLAN, bạn vẫn phải chứng minh mình "sạch" mới được truy cập.
Thực thi bằng các công cụ quen thuộc:
Cisco ISE, FortiNAC: kiểm tra thiết bị đầu cuối
Zscaler/ZTNA: truy cập tài nguyên nội bộ không cần VPN
Palo Alto Prisma Access: bảo vệ người dùng roaming
Microsoft Intune + Conditional Access: kiểm tra trạng thái máy trước khi truy cập Teams, SharePoint...
Ví dụ thực tế:
Một công ty tài chính:
Nhân viên chỉ có thể truy cập hệ thống kế toán nếu dùng laptop công ty, chạy Windows Defender, kết nối qua mạng nội bộ, và đăng nhập trong giờ hành chính.
Nếu họ dùng thiết bị cá nhân, hệ thống chỉ cấp quyền đọc và tất cả hành vi đều bị ghi log.
Zero Trust không phải là một sản phẩm – nó là một kiến trúc an ninh liên tục xác minh và giới hạn rủi ro, phù hợp cho thời đại đám mây, làm việc từ xa và mối đe dọa nâng cao (APT).
Mọi tổ chức, từ SMB đến Enterprise đều có thể bắt đầu với Zero Trust từ hôm nay, từng bước một:
Xác thực mạnh, phân quyền kỹ, giám sát liên tục.
Bạn đang triển khai Zero Trust ở đâu rồi? Dùng công cụ nào? Cùng chia sẻ để cộng đồng cùng học hỏi nhé!
