Tại sao mô hình bảo mật Zero Trust cần phân loại dữ liệu để hoạt động hiệu quả

09/10/2024
Zero Trust đã trở thành một trong những thuật ngữ được ưa chuộng nhất trong ngành an ninh mạng trong vài năm trở lại đây và có lý do chính đáng; nó nổi lên như một chiến lược hợp pháp có thể giúp bảo vệ hiệu quả chống lại các mối đe dọa và tăng cường khả năng bảo mật của tổ chức nếu có nền tảng phù hợp.

Zero Trust là gì?

Zero Trust dựa trên ý tưởng rằng mọi người đều bị coi là mối đe dọa cho đến khi được chứng minh là an toàn. Chỉ khi quyền truy cập của người dùng được xác minh, thông qua xác thực đa yếu tố hoặc hai yếu tố, họ mới được cấp quyền truy cập. Với Zero Trust, mạng được chia thành các nhóm nhỏ yêu cầu quyền truy cập riêng biệt. Điều này đảm bảo rằng nếu một kẻ tấn công xâm nhập vào một phần của mạng, họ sẽ không thể tiếp cận toàn bộ hệ thống.

Điều thường bị bỏ qua trong các cuộc thảo luận về Zero Trust là tầm quan trọng của việc phân loại dữ liệu. Để một mô hình Zero Trust hoạt động đúng cách, tổ chức cần biết vị trí của dữ liệu nhạy cảm, khi nào dữ liệu được tạo ra, cách dữ liệu được sử dụng, chia sẻ, và đặc biệt là ai đang truy cập vào dữ liệu đó. Đây là lúc phân loại dữ liệu trở nên cần thiết.

Việc theo dõi và quản lý dữ liệu từ lâu đã là một thách thức đối với các tổ chức.

64% CISO cho biết khả năng hiển thị dữ liệu là thách thức lớn nhất mà các tổ chức đang phải đối mặt hiện nay.

Không biết dữ liệu của mình nằm ở đâu có thể khiến việc bảo vệ dữ liệu khỏi mất mát gần như không thể, và càng khó hơn trong việc tuân thủ các quy định về quyền riêng tư như Quy tắc Bảo mật của HIPAA, PCI DSS và CPRA, vốn yêu cầu dữ liệu chứa một số loại thông tin nhất định phải được xử lý với các biện pháp bảo vệ cụ thể.

Với giải pháp phân loại dữ liệu, các tổ chức có thể xác định vị trí của dữ liệu trong hệ thống, áp dụng các biện pháp kiểm soát truy cập dựa trên mức độ nhạy cảm của dữ liệu, sau đó phân quyền truy cập tùy theo mức độ nhạy cảm của dữ liệu đó.

Theo Forrester, có hai bước nền tảng để đạt được sự tuân thủ Zero Trust:

  1. Có một khung phân loại và xác định dữ liệu hoàn chỉnh.
  2. Có quản lý danh tính và truy cập mạnh mẽ.

Phương pháp nào phù hợp với Zero Trust?

Trong khi có ba loại phân loại dữ liệu được coi là tiêu chuẩn trong ngành, một loại hữu ích hơn so với các loại còn lại khi triển khai mô hình Zero Trust:

 

  • Phân loại dựa trên nội dung: Kiểm tra và diễn giải các tập tin, tìm kiếm thông tin nhạy cảm.
  • Phân loại dựa trên ngữ cảnh: Xem xét ứng dụng, vị trí, siêu dữ liệu hoặc người tạo (giữa các yếu tố khác) như những chỉ báo gián tiếp về thông tin nhạy cảm.
  • Phân loại dựa trên người dùng: Yêu cầu người dùng cuối chọn thủ công cho từng tài liệu. Phân loại dựa trên người dùng tận dụng kiến thức của người dùng về mức độ nhạy cảm của tài liệu và có thể được áp dụng hoặc cập nhật khi tạo, chỉnh sửa, xem xét hoặc phát tán thông tin nhạy cảm.

Với phân loại dựa trên ngữ cảnh, một tổ chức có thể xác định, phân loại và cung cấp bối cảnh quan trọng cho dữ liệu, điều này có thể được sử dụng để tạo ra các nhãn hình ảnh và siêu dữ liệu nhằm tổ chức dữ liệu theo loại và mức độ nhạy cảm.

Siêu dữ liệu này có thể được tận dụng trong toàn bộ hệ sinh thái bảo mật dữ liệu của bạn và có thể tăng cường độ chính xác cho các công cụ bảo vệ dữ liệu mà bạn có thể đã sử dụng như ngăn chặn mất mát dữ liệu (DLP), quản lý truy cập và các giải pháp security broker truy cập đám mây (CASB).

Bốn loại phân loại dữ liệu

Thông thường, có bốn cách để phân loại dữ liệu.

CÔNG KHAI
Dữ liệu/thông tin được sử dụng, tái sử dụng và phân phối lại miễn phí mà không có hạn chế về quyền truy cập hoặc sử dụng. Ví dụ: thông cáo báo chí, tài liệu quảng cáo và nghiên cứu đã công bố

NỘI BỘ
Dữ liệu chỉ dành riêng cho nhân viên/nhân sự nội bộ được cấp quyền truy cập. Ví dụ: bản ghi nhớ của công ty, thông tin liên lạc nội bộ và nghiên cứu tiếp thị.

BẢO MẬT

Dữ liệu yêu cầu quyền truy cập và/hoặc sự cho phép và nên được giới hạn trong nội bộ doanh nghiệp hoặc các bên thứ ba được phép cụ thể. Ví dụ: Thông tin cá nhân có thể nhận diện, tài sản trí tuệ.

HẠN CHẾ

Dữ liệu rất nhạy cảm với quyền sử dụng bị giới hạn chỉ trên cơ sở cần biết. Nếu bị xâm phạm hoặc truy cập mà không có sự cho phép, điều này có thể dẫn đến các cáo buộc hình sự, phạt tiền nặng và thiệt hại không thể khắc phục cho công ty. Ví dụ: Bí mật thương mại, thông tin cá nhân (PII), thông tin sức khỏe và dữ liệu được bảo vệ bởi các quy định liên bang.

Fortra và Cybersecurity Insiders đã hợp tác để thực hiện một báo cáo về bảo mật Zero Trust, hỏi 400 chuyên gia về bảo mật thông tin điều gì là quan trọng nhất khi triển khai Zero Trust. 64% người được hỏi cho biết bảo vệ dữ liệu là yếu tố quan trọng nhất.

Đi xa hơn một bước nữa: Gắn nhãn thông tin nhạy cảm

Thông tin bổ sung cũng có thể giúp các tổ chức phân loại dữ liệu theo mức độ nhạy cảm về rủi ro.

Nếu dữ liệu của bạn bị xâm phạm, thiệt hại sẽ ra sao?

  • Cao: Dữ liệu bí mật, rất quan trọng cho an ninh hoạt động hoặc cực kỳ khó để thay thế nếu bị mất.
  • Trung bình: Hạn chế; dữ liệu không công khai hoặc được sử dụng nội bộ (bởi tổ chức của bạn và/hoặc các đối tác).
  • Thấp: Công khai; dữ liệu thường là công khai và không dễ bị mất vĩnh viễn.

Phân loại dữ liệu và Zero Trust song hành cùng nhau

Nếu không có nhãn phân loại dữ liệu và bối cảnh, các mô hình Zero Trust sẽ không biết cách kiểm tra quyền truy cập của ai có thể và không thể truy cập vào dữ liệu nhất định, từ đó cung cấp quyền truy cập phù hợp.

Đối với một số tổ chức, không chỉ là ai có thể truy cập vào cái gì mà còn là ai đã truy cập vào cái gì. Bằng cách có thể theo dõi những gì đã được truy cập, các tổ chức có thể có cái nhìn rõ ràng hơn về cách dữ liệu đang được xử lý trong nền, đó là một lợi ích khác của việc phân loại dữ liệu.

79% số người trả lời khảo sát gần đây cho biết bảo vệ dữ liệu là động lực chính để triển khai chương trình Zero Trust tại tổ chức của họ.

Zero Trust yêu cầu một danh mục các giải pháp bảo mật mạnh mẽ để hoạt động hiệu quả—quản lý truy cập chỉ giải quyết một phần vấn đề—rất may, bối cảnh xung quanh dữ liệu được cung cấp bởi phân loại cũng có thể giúp thông tin:

  • Quản lý danh tính
  • Tường lửa
  • Tự động hóa và điều phối
  • Bảo mật thiết bị
  • Bảo mật workload
  • Phân tích mối đe dọa

Nếu bạn là người phụ trách bảo mật dữ liệu tại tổ chức của mình, bạn đã biết rằng việc phân loại dữ liệu là nền tảng cho an ninh dữ liệu. Điều này đặc biệt quan trọng đối với các tổ chức đang tìm cách áp dụng phương pháp Zero Trust trong việc bảo vệ dữ liệu.

Các tổ chức nghiêm túc về việc bắt đầu hành trình Zero Trust của mình nên ưu tiên xây dựng một khung phân loại dữ liệu để xác định các loại dữ liệu nhạy cảm mà họ sở hữu, sau đó phân loại chúng theo mức độ nhạy cảm.

Nguồn: Why Zero Trust Needs Data Classification to Work

Xem thêm về giải pháp Data Classification của Fortra Tại Đây

VietSunshine là nhà phân phối của Fortra tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.