Lá thư gửi từ năm 2035

Đây là tình huống giả định.

Tôi, Nguyễn Văn Hùng, kiến trúc sư an ninh đã nghỉ hưu tại Hà Nội, viết thư này vào tháng 3 năm 2035 để kiểm điểm lại những quyết định được đưa ra tại Việt Nam năm 2025. Không có lời biện minh nào có thể thay đổi thực tế đã xảy ra.

Những lỗ hổng mà Zero Trust phải khắc phục ngay hôm nay

Mô hình bảo vệ dựa trên biên giới cũ dựa vào tường lửa biên và danh sách kiểm soát truy cập tĩnh để bảo vệ toàn bộ mạng nội bộ. Một khi thiết bị hoặc tài khoản nằm trong phạm vi biên được xác thực ban đầu, mọi yêu cầu sau đó đều được coi là tin cậy. Kiến trúc Zero Trust thay thế bằng yêu cầu xác thực và ủy quyền liên tục cho từng phiên truy cập, bất kể vị trí mạng.

Trong tòa nhà hỗn hợp 45 tầng tại Thủ Thiêm được triển khai năm 2025, hệ thống kiểm soát cửa và thang máy vẫn vận hành theo mô hình cũ: một lần xác thực RFID tại sảnh chính cấp quyền di chuyển tự do giữa các tầng. Zero Trust đòi hỏi phân đoạn vi mô, tách từng cửa và từng cabin thang máy thành các phân đoạn mạng riêng biệt với chính sách truy cập chỉ cấp cho phiên được ủy quyền tại thời điểm đó.

Xác minh liên tục qua camera trí tuệ nhân tạo kết hợp thẻ RFID không tồn tại trong mô hình cũ; camera chỉ ghi hình sau sự kiện. Zero Trust yêu cầu công cụ chính sách chạy trên nút biên đánh giá tín hiệu sinh trắc và vị trí thiết bị theo thời gian thực trước khi mở khóa bất kỳ điểm nào.

Mô hình Zero Trust thực chiến cho an ninh vật lý tòa nhà thông minh tại Việt Nam

Mô hình cũ cho phép người dùng đã đăng nhập vào mạng văn phòng sử dụng VPN site-to-site để truy cập hệ thống điều khiển tòa nhà mà không cần kiểm tra thêm. Zero Trust thay thế bằng ZTNA, thiết lập kết nối ứng dụng cụ thể chỉ sau khi công cụ chính sách xác nhận danh tính, tình trạng thiết bị và ngữ cảnh vị trí.

Trong tòa nhà 45 tầng Thủ Thiêm, phân đoạn vi mô được áp dụng bằng cách gán mỗi bộ điều khiển cửa và mỗi bảng điều khiển thang máy một địa chỉ mạng riêng với danh sách kiểm soát truy cập chỉ cho phép lưu lượng từ công cụ chính sách. Xác minh liên tục thực hiện bằng cách camera trí tuệ nhân tạo gửi vector sinh trắc ngắn hạn kết hợp mã RFID đến nút biên; chỉ khi cả hai yếu tố khớp và nằm trong chính sách hiện hành thì lệnh mở khóa mới được phát hành.

Công cụ chính sách đặt tại nút biên giảm độ trễ so với mô hình cũ phải chuyển toàn bộ yêu cầu về trung tâm dữ liệu. ZTNA thay thế VPN truyền thống bằng cách không cấp quyền truy cập mạng toàn bộ mà chỉ cấp quyền đến dịch vụ kiểm soát ra vào cụ thể sau khi xác thực lại mỗi phiên.

Rủi ro khi áp dụng nửa vời

Mô hình cũ một khi bị xâm phạm cho phép di chuyển ngang không bị phát hiện giữa các hệ thống. Việc áp dụng Zero Trust nửa vời, chỉ triển khai xác thực ban đầu mà bỏ qua xác minh liên tục và phân đoạn vi mô triệt để, tạo ra các phân đoạn vẫn được coi là tin cậy sau lần xác thực đầu tiên.

Trong trường hợp tòa nhà Thủ Thiêm năm 2025, nút biên được lắp đặt nhưng công cụ chính sách không được cấu hình để kiểm tra lại sau mỗi lần sử dụng thang máy; camera trí tuệ nhân tạo chỉ kích hoạt khi có sự kiện thay vì giám sát liên tục. Kết quả là một tài khoản bị lộ vẫn duy trì quyền truy cập trong nhiều giờ.

Cảnh báo cuối cùng: dữ liệu sinh trắc thu thập từ cư dân và nhân viên tòa nhà sẽ bị lộ quy mô lớn nếu kiến trúc Zero Trust không được xây dựng đúng ngay từ năm 2025.