Vai trò của Secure ZTP trong mạng Zero Trust

[nktung]

Secure ZTP (viết tắt của Secure Zero Touch Provisioning) là phiên bản tăng cường của ZTP (được mô tả trong RFC 8572), nhấn mạnh đến việc duy trì bảo mật trong suốt quá trình giám sát mạng bằng cách làm giảm khả năng vi phạm bảo mật.

Ảnh: zpesystems​

Secure ZTP bảo mật là một cách tiếp cận chủ động sử dụng xác thực mạnh mẽ, cơ chế khởi động an toàn và các kênh liên lạc được mã hóa để nâng cao trạng thái bảo mật của mạng trong khi xu hướng mạng tự động hóa mạng kiểu Day 0 (không phải là Zero day) đang được áp dụng rộng rãi. Day 0 là quá trình cung cấp các yêu cầu tối thiểu để thiết bị được tự động hóa khi chạy.

Secure ZTP hoạt động như thế nào?​

ZTP an toàn sử dụng xác thực ba bước, bao gồm xác thực thiết bị, xác thực máy chủ và xác thực nhân tố (nào đó), để tích hợp thiết bị một cách an toàn. Sơ đồ bên dưới minh họa các bước khác nhau liên quan đến quá trình cài đặt và giám sát thiết bị trong phạm vi của Secure ZTP. Chúng ta hãy xem xét kỹ hơn từng bước sau:

1. Xác thực thiết bị​

Trước khi đưa một thiết bị mới vào mạng, điều quan trọng là phải đảm bảo rằng cả thiết bị và chương trình cơ sở của nó đều không bị giả mạo hoặc xâm phạm để ngăn chặn chuỗi cung ứng hoặc bất kỳ cuộc tấn công nào khác, trong đó các tác nhân độc hại cố gắng đưa các thiết bị độc hại hoặc đã sửa đổi vào mạng . Dựa trên báo cáo gần đây của IBM, 15% tổ chức đã xác định sự xâm phạm chuỗi cung ứng là nguồn gốc của vi phạm dữ liệu.

ZTP bảo mật thực hiện xác thực thiết bị trước khi giám sát thiết bị để xác minh tính toàn vẹn và tính xác thực của thiết bị và cho phép chỉ các thiết bị được ủy quyền mới tham gia mạng. Để xác thực thiết bị, Secure ZTP sử dụng xác thực dựa trên chứng chỉ trong đó thiết bị gửi Chứng chỉ Trust Anchor (còn được gọi là chứng chỉ SUDI được cài đặt trong thiết bị trong quá trình sản xuất) đến máy chủ Secure ZTP và máy chủ xác thực nó bằng chứng chỉ công khai (do nhà sản xuất cung cấp) để đảm bảo tính xác thực của thiết bị.​

2. Xác thực máy chủ​

Xác thực máy chủ là một phần quan trọng khác của Secure ZTP. Bằng cách xác nhận danh tính của máy chủ, thiết bị có thể đảm bảo rằng nó đang liên lạc với một máy chủ đáng tin cậy, không bị xâm phạm. Điều này ngăn chặn các máy chủ trái phép hoặc độc hại chặn hoặc thao túng quá trình giám sát. Sau khi xác minh thiết bị, máy chủ bootstrap sẽ gửi chứng chỉ máy chủ.

Thiết bị yêu cầu dữ liệu khởi động với cờ “ưu tiên dữ liệu đã ký” sau khi nhận được chứng chỉ máy chủ, cho biết thiết bị không tin tưởng vào máy chủ. Trong trường hợp này, hãy nhớ rằng việc xác thực máy chủ là tùy chọn trong Secure ZTP. Nếu quản trị viên mạng quyết định thực hiện xác thực máy chủ (cho phép máy chủ nhận báo cáo tiến trình khởi động), máy chủ sẽ gửi “dữ liệu chuyển hướng” cùng với dữ liệu khởi động khác đến thiết bị, cung cấp địa chỉ riêng và 1 điểm tin cậy.

Thiết bị xác minh chứng chỉ của máy chủ và đánh dấu nó là máy chủ đáng tin cậy sau khi nhận được điểm tin cậy. Ở đây, nếu quản trị viên hệ thống chọn không xác thực máy chủ, thay vào đó, máy chủ sẽ chuyển dữ liệu khởi động thay cho “dữ liệu chuyển hướng”. Ngoài ra, thiết bị sẽ tiếp tục quá trình khởi động nếu máy chủ không đáng tin cậy.

3. Xác thực nhân tố​

Xác thực nhân tố là để đảm bảo rằng các tệp cấu hình hoặc hình ảnh phần mềm được sử dụng để cung cấp các thiết bị mạng là xác thực và không bị giả mạo. Sau khi quá trình xác thực máy chủ hoàn tất (hoặc bị bỏ qua), máy chủ khởi động sẽ gửi chứng chỉ chủ sở hữu, chứng từ quyền sở hữu và thông tin cài đặt tới thiết bị dưới dạng dữ liệu khởi động. Chi tiết như sau:

• Chứng từ quyền sở hữu (Ownership Voucher - OV): Tạo chứng từ quyền sở hữu xác thực chứng chỉ chủ sở hữu để xác minh danh tính của chủ sở hữu thiết bị. Nhà sản xuất thiết bị ký OV và cung cấp cho khách hàng theo yêu cầu. Để tạo OV, khách hàng phải cung cấp chứng chỉ miền được ghim và số sê-ri của thiết bị cho máy chủ Cisco MASA.
• Chứng chỉ chủ sở hữu (Owner Certificate - OC): Chứng chỉ chủ sở hữu là chứng chỉ X.509 liên kết danh tính chủ sở hữu với public key mà thiết bị có thể sử dụng để xác thực chữ ký trên nhân tố thông tin được truyền tải. Chứng chỉ chủ sở hữu cũng chứa tất cả các chứng chỉ trung gian dẫn đến chứng chỉ gọi là “pinned-domain-cert” được chỉ định trong chứng từ quyền sở hữu, cho phép OV xác thực OC.
• Thông tin được truyền tải/Thông tin giới thiệu: Thông tin giới thiệu cung cấp dữ liệu cần thiết để thiết bị tự khởi động và thiết lập kết nối an toàn với các hệ thống khác. Thông tin cài đặt chỉ định chi tiết về ảnh khởi động mà thiết bị phải chạy, cấu hình ban đầu mà thiết bị phải cam kết và các tập lệnh mà thiết bị phải thực thi thành công. Thông tin cài đặt phải được chủ sở hữu thiết bị ký bằng OC.

Zero Trust rất quan trọng khi thực hiện giám sát Day 0​

Ngoài việc cung cấp nhiều tính năng, Secure ZTP còn vượt trội bằng cách cung cấp các bản kiểm tra và khả năng giám sát. Điều này bao gồm ghi lại tất cả các sự kiện giám sát, thay đổi cấu hình và hành động của người dùng. Bằng cách giám sát các hoạt động của ZTP, quản trị viên mạng có thể nhanh chóng phát hiện mọi hoạt động đáng ngờ và thực hiện hành động thích hợp.

Theo Cisco Blog​