fbpx

VPN so với SDP

VPN so với SDP

Khái niệm về phạm vi do phần mềm xác định (SDP) có phần mới hơn, ban đầu khai niệm này được xuất hiện vào năm 2013, dưới sự chỉ đạo ban đầu của Liên minh Bảo mật Đám mây (CSA). Với mô hình SDP, thay vì chỉ tin tưởng một đường hầm được mã hóa là an toàn vì nó sử dụng Bảo mật ở tầng truyền tải (TLS), không có giả định về độ tin cậy – do đó nhiều nhà cung cấp sử dụng thuật ngữ “không tin cậy” liên quan đến SDP.

Trong một kiến ​​trúc SDP điển hình, có nhiều điểm mà ở đó bất kỳ kết nối nào đều được xác nhận và kiểm tra để giúp chứng minh tính xác thực và hạn chế rủi ro. Thông thường, trong mô hình SDP có một bộ điều khiển xác định các chính sách mà khách hàng có thể kết nối và truy cập vào các tài nguyên nội bộ khác nhau. Thành phần cổng giúp hướng lưu lượng truy cập đến đúng trung tâm dữ liệu hoặc tài nguyên đám mây. Cuối cùng, các thiết bị và dịch vụ sử dụng ứng dụng khách SDP kết nối và yêu cầu quyền truy cập từ bộ điều khiển vào tài nguyên.

Tiền đề cơ bản mà VPN ban đầu được xây dựng và triển khai là trong phạm vi doanh nghiệp, bề ngoài được bảo vệ bằng các thiết bị bảo mật ngoại vi như IDS / IPS và tường lửa. VPN cho phép người dùng từ xa hoặc đối tác kinh doanh xuyên qua vành đai để truy cập vào những gì bên trong doanh nghiệp, cung cấp các đặc quyền truy cập cục bộ, ngay cả khi ở xa.

Nhưng thực tế các doanh nghiệp hiện đại thường không chỉ hoạt động trong phạm vi nội bộ, với đội ngũ nhân viên, nhà thầu hoặc đối tác sẽ làm việc tại các địa điểm như tại nhà, từ xa hoặc trên đám mây hay trên toàn thế giới. Từ nhu cầu đó mà SDP được sinh ra để nhằm mục đích giải quyết vấn đề này.

VPN ngày nay vẫn được sử dụng rộng rãi và vẫn hữu ích đối với một số loại truy cập từ xa và nhu cầu của nhân viên di động, nhưng chúng liên quan đến một lượng tin cậy ngầm hoặc được thiết định trước. Khi đó mạng nội bộ doanh nghiệp tin tưởng rằng kết nối đó đã có thông tin đăng nhập VPN phù hợp với các thông tin xác thực và được phép truy cập. Bây giờ, nếu người dùng VPN đó vô tình vào các trang web hay các ứng dụng có chứa mã độc hoặc thông tin đăng nhập đã bị đánh cắp bởi một người không có thẩm quyền truy cập vào mạng cục bộ – đó là một vấn đề vô cùng nguy hiểm tiềm ẩn rất nhiều các rủi ro và đó cũng là một lỗ hổng to lớn của mô hình VPN.

Mô hình SDP hoặc Zero-Trust có thể được sử dụng trong doanh nghiệp hiện đại do không quy định phạm vi để giúp bảo mật người dùng từ xa, di động và đám mây cũng như khối lượng công việc. SDP không chỉ là về việc có một đường hầm an toàn – mà còn cả về xác thực và ủy quyền. Thay vì chỉ tin tưởng rằng một đường hầm là an toàn, có những kiểm tra để xác thực kết nối, các chính sách mạnh mẽ cấp quyền truy cập, chính sách phân đoạn để hạn chế quyền truy cập và nhiều điểm kiểm soát.

SDP đã vượt ra khỏi việc tin rằng tiểu thuyết về một phạm vi cứng vẫn tồn tại

SDP đã vượt ra khỏi việc tin rằng tiểu thuyết về một phạm vi cứng vẫn tồn tại
SDP đã vượt ra khỏi việc tin rằng tiểu thuyết về một phạm vi cứng vẫn tồn tại

Việc các tổ chức thuộc mọi ngành nghề khác nhau ngày càng áp dụng các công nghệ bảo mật Zero-Trust là một xu hướng đang phát triển. Khi các tổ chức tìm cách giảm thiểu rủi ro và giảm thiểu các cách tấn công tiềm ẩn là cách họ bảo vệ chính mình, việc có nhiều điểm kiểm soát hơn thường là mục tiêu chính. Các chuyên gia bảo mật cũng thường khuyến nghị các tổ chức giảm thiểu số lượng người dùng có đặc quyền và cấp quyền truy cập dựa trên nguyên tắc ít đặc quyền nhất. Thay vì chỉ cấp cho người dùng VPN toàn quyền truy cập cục bộ, quản trị viên hệ thống nên hạn chế quyền truy cập dựa trên chính sách và ủy quyền thiết bị, đây là một thuộc tính cốt lõi của mô hình Zero-Trust.

Một giải pháp Zero-Trust được cấu trúc tốt cũng có thể mang lại lợi ích tiềm năng, bên cạnh đó chi phí ít hơn mà không cần thiết bị vật lý hoặc các tác động từ phía khách hàng.

Trường hợp sử dụng

Đối với người dùng doanh nghiệp, VPN là một khái niệm quen thuộc để truy cập từ xa và nó đã ăn sâu vào tiềm thức của nhiều người – thứ khó có thể thay đổi trong thời gian ngắn. Để truy cập vào phần chia sẻ tệp cục bộ trong một công ty, hoặc thậm chí một cái gì đó đơn giản như truy cập máy in của công ty, VPN sẽ vẫn là một lựa chọn hợp lý trong hai đến ba năm tới. Tuy nhiên, khi ngày càng có nhiều doanh nghiệp chuyển sang SDP, thì ngay cả quyền truy cập đơn giản vào máy in cũng sẽ bị hạn chế.

Trong các công ty, các mối đe dọa nội bộ trong doanh nghiệp cũng có tiềm ẩn khả năng rủi ro giống như các mối đe dọa bên ngoài, mô hình Zero-Trust là một mô hình hữu ích để hạn chế rủi ro nội bộ.

Đối với các nhà phát triển và những người liên quan đến DevOps, Zero-Trust là một cách tiếp cận được kiểm soát và tinh tế hơn để cấp quyền truy cập cũng như cung cấp quyền truy cập vào các tài nguyên tại công ty, trên đám mây hay từ xa.

VPN không còn là giải pháp toàn diện để đảm bảo quyền truy cập – điều mà chúng từng hứa hẹn.

Trên thực tế, mạng Internet hiện đại tiềm ẩn rất nhiều các mối đe dọa đến từ mọi nơi, bất kỳ thiết bị nào hoặc thông tin đăng nhập của người dùng bị xâm phạm được sử dụng làm điểm trung gian để xâm nhập vào mạng nội bộ. Phương pháp Zero-Trust có thể vượt ra ngoài việc chỉ dựa vào mã hóa và thông tin đăng nhập để giảm thiểu rủi ro và cải thiện bảo mật. SDP đã vượt ra khỏi việc tin rằng tiểu thuyết về một phạm vi cứng vẫn tồn tại.

Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP

Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP
Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP

Giải pháp G/On giúp truy cập an toàn tới máy tính tại văn phòng từ máy tính cá nhân (PC, Mac) thông qua một chiếc USB-Token. Giải pháp truy cập từ xa G/On được tích hợp bảo mật, cung cấp một môi trường an toàn cho nhân viên làm việc từ xa.

G/On thay thế các kết nối VPN của bạn bằng một phạm vi kết nối do phần mềm xác định. Hoạt động theo mô hình bảo mật Zero-trust, giải pháp G/On chỉ cho phép những người dùng đã được xác minh vào hệ thống và cách ly hoàn toàn mạng lưới của bạn với thế giới bên ngoài.

Do vậy giải pháp G/On có đầy đủ những đặc tính mà mô hình SDP có, bên cạnh đó còn có những ưu việt khác như:

  • Dễ dàng sử dụng trên mọi máy tính (kể cả máy không có sẵn hệ điều hành).
  • Truy cập mọi lúc, mọi nơi thông qua chiếc USB nhỏ gọn.
  • Tôi ưu chi phí (Khi chỉ cần cung cấp cho nhân viên một chiếc máy có đủ cấu hình cần thiết, thậm chí là không cần cấp nếu nhân viên đã có máy tính cá nhân là đã có thể sử dụng toàn bộ các tài nguyên trên máy tính tại văn phòng thông qua G/On).
  • Tính năng bảo mật mạnh giúp ngay cả khi nhân viên dùng máy tính cá nhân vẫn đảm bảo an toàn.
  • Cung cấp chức năng cân bằng tải và chuyển đổi dự phòng.
  • Chi phí thấp.