-
08/10/2013
-
400
-
985 bài viết
Làm sao đảm bảo truy cập từ xa an toàn cho mạng OT?
Mạng OT có thể phân tán ở nhiều nơi do đó việc đến từng địa điểm để vận hành sẽ tốn kém thời gian, chi phí. Giải pháp là truy cập từ xa tới từng thiết bị OT. Tuy nhiên làm sao đảm bảo tính an toàn cho các truy cập từ xa là vấn đề lớn. Bài viết này nêu lên các nguy cơ an ninh gặp phải với các giải pháp truy cập từ xa truyền thống, và nêu giải pháp an toàn mới nhất hiện nay.
Hình 1. Vấn đề lây nhiễm mã độc và kiểm soát quyền truy cập đông-tây
đang bị bỏ ngỏ với VPN
Nhưng điều này cũng không giúp kiểm soát truy cập đông-tây, một khi họ đã có quyền truy cập vào jump server.
Hình 2. Jump server không kiểm soát được truy cập đông-tây
Hình 3. ZTNA giải quyết 2 việc xác thực/kiểm tra thiết bị và kiểm soát truy cập
Việc áp dụng cơ chế Zero trust có thể giúp giải quyết các thách thức bảo mật phổ biến trong môi trường làm việc, chẳng hạn như lừa đảo, phần mềm độc hại, đánh cắp thông tin xác thực, truy cập từ xa và bảo mật thiết bị. Điều này được thực hiện bằng cách đảm bảo ba yếu tố chính: người dùng, thiết bị của họ và ứng dụng họ truy cập.
Tổng quan
Truy cập từ xa là chìa khóa để các nhóm vận hành, quản lý và khắc phục sự cố tài sản OT trên quy mô lớn mà không tốn nhiều thời gian và chi phí. Thiết bị công nghiệp - ví dụ: camera bên đường, robot trong sản xuất, ... thường yêu cầu hỗ trợ kỹ thuật chuyên biệt từ các nhà chế tạo hoặc các chuyên gia từ xa. Tuy nhiên, điều này sẽ mở ra bề mặt tấn công cho các tác nhân đe dọa. Các giải pháp truy cập từ xa có nhiều dạng như sau:Kết nối VPN
Sử dụng VPN là một cách làm phổ biến khi kết nối từ xa, nhưng nếu không được cấu hình đúng, có thể cung cấp khả năng truy cập không bị giới hạn quyền vào mạng OT. Với những lỗ hổng đã biết về nguy cơ bị đánh cắp thông tin xác thực qua VPN, cần sử dụng giải pháp xác thực đa yếu tố. Tuy nhiên, khi mở rộng mạng VPN cho người dùng từ xa truy cập, nếu máy tính của họ không được quét virus trước khi cấp quyền truy cập, phần mềm độc hại có thể vô tình được đưa vào mạng OT. Ngoài ra việc truy cập đông-tây (từ thiết bị OT này sang thiết bị OT khác) cũng rất khó kiểm soát.Hình 1. Vấn đề lây nhiễm mã độc và kiểm soát quyền truy cập đông-tây
đang bị bỏ ngỏ với VPN
Sử dụng Jump Server (máy chủ bắc cầu)
Một phương pháp để giảm nguy cơ lây nhiễm mã độc từ máy của người dùng ở xa là buộc họ phải tương tác với mạng bằng máy chủ bắc cầu trước khi được phép truy cập vào mạng OT. Như hình dưới, các chính sách kiểm soát trên tường lửa sẽ giúp đảm bảo rằng tất cả các hoạt động được thực hiện trên mạng OT phải bắt nguồn từ jump server - một thiết bị đáng tin cậy được kiểm soát hoàn toàn bởi team an ninh mạng. Do đó các thiết bị nguồn kết nối được xác thực và đảm bảo mã độc không thể lây vào mạng OT.Nhưng điều này cũng không giúp kiểm soát truy cập đông-tây, một khi họ đã có quyền truy cập vào jump server.
Hình 2. Jump server không kiểm soát được truy cập đông-tây
Giải pháp
Zero-Trust Network Access (ZTNA) là một dịch vụ bảo mật xác minh người dùng và cấp quyền truy cập vào các ứng dụng cụ thể dựa trên các chính sách xác minh danh tính và bối cảnh truy cập. Tóm lại dịch vụ này là luôn KHÔNG tin cậy bất kỳ điều gì, luôn luôn đòi hỏi thẩm tra. Giải pháp ZTNA kết nối authorized users với các application thay vì kết nối họ với mạng; và chỉ cho phép những application nào mà user được phép truy cập theo các chính sách dạng need-to-know (cần vào app nào thì chỉ được vào đúng app đó).Hình 3. ZTNA giải quyết 2 việc xác thực/kiểm tra thiết bị và kiểm soát truy cập
Việc áp dụng cơ chế Zero trust có thể giúp giải quyết các thách thức bảo mật phổ biến trong môi trường làm việc, chẳng hạn như lừa đảo, phần mềm độc hại, đánh cắp thông tin xác thực, truy cập từ xa và bảo mật thiết bị. Điều này được thực hiện bằng cách đảm bảo ba yếu tố chính: người dùng, thiết bị của họ và ứng dụng họ truy cập.
Tài liệu Tham khảo