Mô hình "castle and moat" — xây tường lửa quanh datacenter và tin tưởng mọi thứ bên trong — đã chết. Không phải vì lý thuyết sai, mà vì "bên trong" không còn tồn tại. Nhân viên làm việc từ nhà, ứng dụng chạy trên nhiều cloud, dữ liệu ở SaaS, microservice gọi nhau qua internet. Perimeter không còn ranh giới.
Zero Trust ra đời với nguyên tắc đơn giản: never trust, always verify. Mỗi request — dù đến từ laptop CEO hay service nội bộ — đều phải được xác thực và uỷ quyền dựa trên ngữ cảnh hiện tại. Nghe trừu tượng, nhưng triển khai cụ thể thế nào? Bài viết này chia sẻ lộ trình 4 giai đoạn mà Nocalab đã áp dụng cho 9 doanh nghiệp Việt Nam.
Năm trụ cột của Zero Trust theo NIST 800-207
Trước khi nói về triển khai, cần thống nhất khung tham chiếu. NIST định nghĩa Zero Trust qua 5 trụ cột:
- Identity: mọi user, service, device đều có danh tính rõ ràng và được xác thực mạnh.
- Device: trạng thái thiết bị (cập nhật bảo mật, EDR đang chạy, không jailbreak) là điều kiện truy cập.
- Network: phân đoạn vi mô (microsegmentation), không tin tưởng network nội bộ.
- Application & Workload: mỗi ứng dụng được bảo vệ độc lập, không dựa vào VPN.
- Data: phân loại, mã hoá, kiểm soát truy cập theo nhãn — bất kể dữ liệu ở đâu.
"Zero Trust không phải sản phẩm bạn mua. Nó là một chiến lược kiến trúc — tập hợp các quyết định nhất quán xuyên suốt 5 trụ cột."
Giai đoạn 1 (Tháng 1–3): Identity Foundation
Mọi thứ bắt đầu từ identity. Không có identity mạnh, các trụ cột khác sụp đổ. Ba việc cần làm:
Triển khai Single Sign-On cho mọi ứng dụng nội bộ và SaaS. Lựa chọn: Okta, Azure AD, Google Workspace, hoặc Keycloak self-host. Chấp nhận chi phí migration ngắn hạn để có thể trao quyền và thu hồi tập trung.
Bắt buộc Multi-Factor Authentication. Ưu tiên FIDO2/WebAuthn (YubiKey, Touch ID) — phishing-resistant. SMS OTP chỉ là bước đệm, hãy loại bỏ trong 12 tháng vì SIM swap là rủi ro thực.
Phân cấp quyền theo Just-In-Time. Admin permission cấp tạm 4 giờ qua approval workflow, không có ai "luôn là admin". Tool như Teleport, StrongDM, hoặc HashiCorp Boundary làm việc này gọn gàng.
Giai đoạn 2 (Tháng 4–6): Device Trust
Identity tốt nhưng đăng nhập từ máy bị nhiễm malware vẫn vô nghĩa. Giai đoạn này gắn quyết định truy cập với trạng thái thiết bị.
MDM (Mobile Device Management) cho mọi thiết bị truy cập tài nguyên công ty: Jamf cho macOS, Intune cho Windows, Workspace ONE cho mixed. EDR (CrowdStrike, SentinelOne) bắt buộc trên mọi endpoint.
Conditional Access policy: từ chối session từ device không enrolled, không có EDR healthy, hoặc OS quá cũ. Đây là điểm các tổ chức Việt Nam thường gặp khó vì văn hoá BYOD — cần thoả thuận rõ với nhân viên trước khi enforce.
Giai đoạn 3 (Tháng 7–9): Microsegmentation và mTLS
Đây là giai đoạn kỹ thuật nặng nhất nhưng cũng tạo ra thay đổi lớn nhất về khả năng phòng thủ.
Service mesh (Istio, Linkerd, Cilium) cho phép áp dụng mTLS giữa mọi service mà không cần dev sửa code. Mỗi service có identity riêng (SPIFFE/SPIRE), kết nối được mã hoá end-to-end, và authorization policy theo principle of least privilege.
Network policy (NetworkPolicy của K8s, hoặc Cilium NetworkPolicy mạnh hơn) giới hạn ai gọi được ai. Mặc định DENY ALL, sau đó allow rõ ràng từng kết nối. Đây là khoảnh khắc nhiều tổ chức phát hiện ra hàng chục "kết nối ma" mà không ai nhớ tại sao tồn tại.
# Cilium NetworkPolicy: chỉ cho phép api-gateway gọi orders-service
apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
name: orders-service-ingress
namespace: production
spec:
endpointSelector:
matchLabels:
app: orders-service
ingress:
- fromEndpoints:
- matchLabels:
app: api-gateway
io.cilium.k8s.policy.serviceaccount: api-gateway-sa
toPorts:
- ports:
- port: "8080"
protocol: TCPGiai đoạn 4 (Tháng 10–12): Policy as Code và Continuous Verification
Giai đoạn cuối đưa Zero Trust thành một hệ thống tự vận hành.
Open Policy Agent (OPA) làm policy engine tập trung. Mọi quyết định authorization — từ K8s admission control, API authorization, đến CI/CD gate — đều dùng cùng một ngôn ngữ Rego. Policy lưu trên Git, có review, có version, có test.
Continuous verification: không chỉ check ở thời điểm đăng nhập. Session bị thu hồi khi device posture thay đổi (tắt EDR, hết hạn cập nhật), khi user role thay đổi, hoặc khi behavior bất thường (đăng nhập từ địa lý lạ trong vòng 1 giờ).
SIEM/SOAR (Splunk, Elastic Security, hoặc open-source Wazuh) collect log từ mọi điểm — identity provider, network, endpoint, application — và phát hiện chuỗi sự kiện đáng ngờ tự động.
Sai lầm phổ biến cần tránh
- Coi Zero Trust là "thay VPN bằng ZTNA" — đây chỉ là một mảnh nhỏ. Identity và policy mới là cốt lõi.
- Mua một sản phẩm "Zero Trust" và nghĩ là xong — không vendor nào cover hết 5 trụ cột.
- Làm big-bang migration — chắc chắn thất bại. Phải đi theo từng ứng dụng, từng team.
- Bỏ qua trải nghiệm người dùng — nếu mỗi action đều cần MFA, nhân viên sẽ tìm cách lách.
- Không có baseline để đo: trước khi bắt đầu, ghi lại mean time to detect (MTTD) và mean time to respond (MTTR) hiện tại để chứng minh cải thiện.
Kết luận
Zero Trust không phải đích đến — nó là hành trình. Doanh nghiệp Việt Nam có lợi thế "người đi sau": có thể học từ sai lầm của các tổ chức Mỹ và châu Âu đã đi trước 5 năm, và áp dụng các tool đã chín muồi mà không phải tự build.
Đầu tư vào Zero Trust không tạo ra doanh thu trực tiếp, nhưng giảm rủi ro breach (trung bình 4.45 triệu USD/incident theo IBM 2024) và là điều kiện cứng để bán hàng cho khách hàng enterprise và xuất khẩu phần mềm. Đây không còn là "nice to have" — nó là điều kiện sinh tồn.
