Tin Công Nghệ

Zero Trust là gì: cách áp dụng thực tế cho hạ tầng doanh nghiệp nhỏ và vừa

Đăng vàoTác giảMạnh Hoàng

Zero Trust là gì là câu hỏi xuất hiện ngày càng nhiều khi doanh nghiệp chuyển sang mô hình làm việc hybrid, dùng nhiều SaaS, nhiều endpoint và không còn ranh giới mạng nội bộ rõ ràng như trước. Kiểu bảo mật “đã vào được mạng công ty thì mặc định đáng tin” đang bộc lộ quá nhiều lỗ hổng, đặc biệt khi tài khoản bị lộ, máy người dùng nhiễm mã độc hoặc hệ thống phải mở truy cập từ xa cho nhà cung cấp.

Bài này giải thích Zero Trust là gì theo góc nhìn thực chiến thay vì khẩu hiệu marketing. Em sẽ đi từ khái niệm, lý do doanh nghiệp cần quan tâm, các thành phần cốt lõi, lộ trình triển khai từng bước, ví dụ lab nhỏ, lỗi thường gặp, cách troubleshooting và checklist nghiệm thu để anh có thể áp dụng cho hạ tầng thật.

Zero Trust là gì và tư duy cốt lõi của mô hình này

Zero Trust là mô hình bảo mật dựa trên nguyên tắc never trust, always verify — không mặc định tin bất kỳ user, thiết bị, ứng dụng hay kết nối nào chỉ vì nó đang ở trong mạng nội bộ hoặc đã đăng nhập một lần. Mỗi yêu cầu truy cập phải được xác minh liên tục dựa trên danh tính, tình trạng thiết bị, ngữ cảnh truy cập và mức độ nhạy cảm của tài nguyên.

Nói đơn giản hơn, câu trả lời cho Zero Trust là gì không phải là “mua thêm một firewall”, mà là thay đổi cách ra quyết định truy cập:

  • Không cấp quyền rộng hơn mức cần thiết.
  • Không tin một phiên đăng nhập mãi mãi.
  • Không tin thiết bị chỉ vì nó ở trong LAN hoặc VPN.
  • Luôn ghi log, giám sát và sẵn sàng thu hồi quyền.

Vì sao Zero Trust trở nên quan trọng trong giai đoạn hiện nay

Trước đây doanh nghiệp hay xây “vành đai mạng”: tường lửa ở biên, VPN cho người dùng từ xa, rồi coi mạng nội bộ là vùng tương đối an toàn. Mô hình đó yếu dần vì:

  • Ứng dụng nằm rải rác trên cloud, SaaS, on-premises.
  • Nhân sự làm việc từ nhà, quán cà phê, 4G/5G.
  • Tài khoản bị phishing là nguyên nhân rất phổ biến của nhiều sự cố.
  • Thiết bị cá nhân hoặc thiết bị đối tác không đồng nhất mức độ an toàn.
  • Ransomware thường khai thác lateral movement sau khi vào được một máy.

Trong bối cảnh đó, hỏi Zero Trust là gì thực chất là hỏi: doanh nghiệp sẽ xác minh quyền truy cập như thế nào khi “bên trong mạng” không còn là tiêu chí đủ mạnh nữa.

Các nguyên tắc cốt lõi khi triển khai Zero Trust

1. Xác minh danh tính mạnh

Mọi truy cập nên đi qua cơ chế định danh tập trung như Entra ID, Okta, Google Workspace, Keycloak hoặc hệ IAM nội bộ. MFA là lớp gần như bắt buộc cho tài khoản quản trị, tài khoản truy cập hệ thống quan trọng và truy cập từ xa.

2. Quyền tối thiểu cần thiết

User, service account và nhóm quản trị chỉ nên có đúng quyền cần cho công việc. Không dùng chung tài khoản admin cho nhiều người. Không cấp sudo/domain admin “cho tiện”.

3. Kiểm tra tình trạng thiết bị

Thiết bị đã mã hóa ổ đĩa chưa, có EDR/AV không, bản vá còn cũ không, có jailbreak/root không. Cùng một user nhưng hai thiết bị khác nhau có thể được cấp mức truy cập khác nhau.

4. Phân đoạn truy cập theo ứng dụng và dữ liệu

Thay vì cho vào VPN rồi nhìn thấy cả mạng, nên cấp quyền theo ứng dụng hoặc theo nhóm máy chủ cụ thể. Đây là hướng micro-segmentation hoặc ZTNA.

5. Giám sát và đánh giá liên tục

Đăng nhập thành công không có nghĩa là xong. Nếu user đổi vị trí bất thường, thiết bị mất compliant, token cũ quá lâu hoặc có hành vi đáng ngờ thì cần step-up authentication, giới hạn phiên hoặc thu hồi truy cập.

Zero Trust không phải là một sản phẩm duy nhất

Một hiểu lầm phổ biến là nghĩ rằng cứ mua một giải pháp gắn nhãn Zero Trust là đủ. Thực tế, Zero Trust là gì phải được trả lời bằng kiến trúc và quy trình, thường ghép từ nhiều thành phần:

  • IAM/SSO/MFA
  • MDM/UEM hoặc posture check cho endpoint
  • EDR/XDR
  • ZTNA hoặc reverse proxy truy cập ứng dụng
  • Micro-segmentation cho server/workload
  • SIEM/SOAR hoặc log analytics để giám sát
  • PAM cho tài khoản đặc quyền

Nếu ngân sách còn ít, doanh nghiệp vẫn có thể bắt đầu từ các phần hiệu quả cao như MFA, SSO, quản lý thiết bị và tách quyền admin.

Một kiến trúc Zero Trust thực tế cho doanh nghiệp nhỏ và vừa

Giả sử công ty có:

  • 50–200 nhân sự
  • Microsoft 365 hoặc Google Workspace
  • Vài máy chủ nội bộ / VPS / cloud VM
  • Nhân sự IT mỏng, chưa có SOC riêng

Lộ trình khả thi:

  1. Bật MFA cho toàn bộ tài khoản email, VPN, admin panel và cloud console.
  2. Dùng SSO cho các ứng dụng quan trọng thay vì tài khoản local rời rạc.
  3. Áp chính sách thiết bị compliant: có mật khẩu, mã hóa ổ đĩa, antivirus/EDR, khóa màn hình.
  4. Tách tài khoản thường và tài khoản quản trị.
  5. Thay VPN full-tunnel rộng bằng truy cập theo ứng dụng hoặc ACL chặt hơn.
  6. Phân đoạn mạng: user VLAN không nhìn thấy toàn bộ server VLAN.
  7. Thu log đăng nhập, thay đổi quyền, truy cập admin về nơi tập trung.

Cách làm này không hào nhoáng, nhưng hiệu quả hơn nhiều so với việc mua công cụ lớn rồi để nguyên cấu hình mặc định.

Ví dụ lab nhỏ: áp dụng Zero Trust cho cổng quản trị nội bộ

Bối cảnh lab:

  • 01 ứng dụng quản trị nội bộ chạy Nginx trên Ubuntu
  • Chỉ nhóm IT được truy cập
  • Đăng nhập qua SSO + MFA
  • Chỉ cho phép từ thiết bị compliant hoặc từ IP quản trị đã định

Kiến trúc có thể là:

  • User truy cập qua reverse proxy/ZTNA gateway
  • Gateway xác minh tài khoản qua IdP
  • IdP áp conditional access: bắt buộc MFA, chặn quốc gia không mong muốn, yêu cầu thiết bị compliant
  • Nginx/app phía sau không mở trực tiếp ra Internet

Nếu chưa có ZTNA chuyên dụng, anh vẫn có thể đạt bước đầu bằng reverse proxy + SSO + IP allowlist + MFA + bastion host.

Cấu hình thực tế nên bắt đầu từ đâu

Bước 1: Thống kê tài sản và luồng truy cập

Liệt kê ứng dụng nào đang public, ai truy cập, từ đâu, có tài khoản local không, có VPN không, dữ liệu nào nhạy cảm. Không làm bước này thì Zero Trust rất dễ thành khẩu hiệu.

Bước 2: Chuẩn hóa định danh

Thu gom ứng dụng về cùng một IdP/SSO nếu có thể. Ví dụ ứng dụng web nội bộ dùng OIDC/SAML thay vì mỗi nơi một cặp username/password.

Bước 3: Bắt buộc MFA

Đây thường là bước có tỷ lệ giảm rủi ro cao nhất trên chi phí bỏ ra. Tối thiểu nên áp cho:

  • Email
  • VPN / ZTNA
  • WordPress / CMS / cPanel / admin portal
  • Cloud console
  • Tài khoản sudo / domain admin / root tương đương

Bước 4: Tách quyền admin và áp PAM nếu có thể

Admin không nên duyệt web, đọc mail hằng ngày bằng chính tài khoản đặc quyền. Cần tách tài khoản thường và tài khoản quản trị, log rõ các phiên quản trị quan trọng.

Bước 5: Kiểm soát endpoint

Dù chưa có MDM đầy đủ, vẫn nên tối thiểu hóa baseline:

  • BitLocker/FileVault/LUKS
  • Antivirus/EDR hoạt động
  • Máy không quá hạn patch
  • Không cho thiết bị root/jailbreak truy cập tài nguyên nhạy cảm

Bước 6: Phân đoạn mạng và giới hạn dịch vụ

Ví dụ server SSH chỉ cho bastion hoặc subnet quản trị truy cập:

sudo ufw default deny incoming
sudo ufw allow from 10.10.10.0/24 to any port 22 proto tcp
sudo ufw allow from 10.10.20.15 to any port 443 proto tcp
sudo ufw enable
sudo ufw status verbose

Giải thích:

  • Port 22 không mở toàn mạng.
  • Port 443 chỉ mở đúng reverse proxy hoặc IP cần thiết.
  • Đây không phải Zero Trust hoàn chỉnh, nhưng là bước giảm trust bừa bãi rất thực tế.

Output mẫu:

Status: active
Default: deny (incoming), allow (outgoing), disabled (routed)
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    10.10.10.0/24
443/tcp                    ALLOW IN    10.10.20.15

Conditional access và context-aware access có vai trò gì

Một phần quan trọng khi trả lời Zero Trust là gì là hiểu truy cập không chỉ phụ thuộc username/password. Chính sách có thể dựa trên:

  • Quốc gia / địa chỉ IP
  • Thiết bị managed hay unmanaged
  • Mức độ rủi ro của phiên đăng nhập
  • Ứng dụng đang truy cập là nhạy cảm hay bình thường
  • Thời gian trong ngày hoặc nhóm người dùng

Ví dụ: tài khoản HR có thể đọc SaaS HR từ laptop công ty có compliant + MFA; nhưng nếu cùng user đó đăng nhập từ máy lạ ở quốc gia khác thì buộc xác minh thêm hoặc chặn luôn.

Lỗi thường gặp khi doanh nghiệp triển khai Zero Trust

1. Làm quá rộng ngay từ đầu

Áp cứng mọi chính sách trong một tuần dễ làm gián đoạn công việc. Nên thí điểm với nhóm admin, nhóm IT, ứng dụng nhạy cảm trước.

2. Chỉ tập trung vào user mà quên service account

Nhiều hệ thống bị lộ vì service account có quyền rộng, password không đổi, không log. Zero Trust phải bao gồm cả workload identity.

3. Có MFA nhưng để nhiều ngoại lệ

Nếu tài khoản quản trị hoặc VPN vẫn có nhóm bypass lớn thì mô hình yếu đi rất nhiều.

4. Không có inventory tài sản

Không biết có bao nhiêu ứng dụng, bao nhiêu tài khoản local, bao nhiêu server đang public thì rất khó triển khai bài bản.

5. Không chuẩn bị kịch bản break-glass

Nếu IdP lỗi hoặc MFA provider gián đoạn, doanh nghiệp cần cơ chế break-glass được quản lý chặt chẽ, lưu kín, có log sử dụng và kiểm tra định kỳ.

Troubleshooting khi chính sách Zero Trust gây lỗi truy cập

User báo đúng mật khẩu nhưng vẫn bị chặn

  • Kiểm tra log conditional access / sign-in log tại IdP.
  • Xem có bị fail do chưa MFA, thiết bị không compliant hoặc IP nằm ngoài vùng cho phép không.
  • Đối chiếu timezone và geo-IP vì có trường hợp nhận diện vị trí sai.

Ứng dụng cũ không hỗ trợ SSO/MFA

  • Cân nhắc đặt sau reverse proxy hỗ trợ auth.
  • Nếu không thể, giới hạn bằng VPN/bastion/IP allowlist và kế hoạch thay thế ứng dụng.
  • Không nên giữ tài khoản local yếu rồi gọi đó là Zero Trust.

Thiết bị người dùng bị đánh dấu non-compliant

  • Kiểm tra agent MDM/EDR còn hoạt động không.
  • Xác nhận patch level, disk encryption, secure boot theo policy.
  • Nếu là ngoại lệ nghiệp vụ, cần quy trình phê duyệt rõ ràng thay vì mở trắng.

Checklist nghiệm thu một đợt triển khai Zero Trust cơ bản

  • Tất cả tài khoản admin đã bật MFA.
  • Tài khoản thường và tài khoản quản trị được tách riêng.
  • Ứng dụng quan trọng dùng SSO hoặc ít nhất đi qua một lớp xác minh tập trung.
  • Server quản trị không mở SSH/RDP rộng toàn Internet.
  • Có danh sách thiết bị managed/compliant.
  • Có log đăng nhập, log thay đổi quyền, log truy cập admin tập trung.
  • Có ít nhất một kịch bản restore quyền truy cập khẩn cấp kiểu break-glass.
  • Có tài liệu ngoại lệ và người phê duyệt.

Bài tập lab gợi ý để đội kỹ thuật tự thực hành

  1. Vẽ sơ đồ 5 ứng dụng nội bộ đang truy cập từ xa và xác định ứng dụng nào cần SSO/MFA trước.
  2. Bật MFA cho một nhóm pilot 10 người và ghi nhận các vấn đề phát sinh.
  3. Thiết lập ACL hoặc firewall để chỉ bastion host được SSH vào 2 server lab.
  4. Kiểm tra lại toàn bộ tài khoản admin có dùng chung hay không.
  5. Viết runbook cho tình huống tài khoản bị lộ nhưng attacker chưa có MFA.

Kết luận

Nếu hỏi ngắn gọn Zero Trust là gì, em sẽ trả lời: đó là cách thiết kế truy cập theo nguyên tắc không mặc định tin ai, chỉ cấp đúng mức cần thiết và xác minh liên tục bằng danh tính, thiết bị, ngữ cảnh và giám sát. Giá trị thật của Zero Trust không nằm ở khẩu hiệu, mà nằm ở việc giảm lateral movement, giảm quyền dư thừa, giảm rủi ro từ tài khoản bị lộ và làm cho truy cập nhạy cảm trở nên có kiểm soát hơn.

Với doanh nghiệp nhỏ và vừa, không cần chờ đến khi mua đủ mọi công cụ mới bắt đầu. MFA, SSO, tách quyền admin, quản lý thiết bị và phân đoạn truy cập đã là một bước tiến rất đáng kể.

Tài liệu chính thống nên đọc thêm

Tác giả: Mạnh Hoàng

Tôi là Hoàng Mạnh, người sáng lập blog SysadminSkills.com. Tôi viết về quản trị hệ thống, bảo mật máy chủ, DevOps và cách ứng dụng AI để tự động hóa công việc IT. Blog này là nơi tôi chia sẻ những gì đã học được từ thực tế – đơn giản, ngắn gọn và áp dụng được ngay.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *