Biết Tuốt cùng WIFI.COM.VN #2

Zero Trust Networking với UniFi Fabrics

Giới thiệu

Zero Trust Networking là mô hình bảo mật yêu cầu mọi người dùng và thiết bị phải được xác minh rõ ràng trước khi được cấp quyền truy cập vào tài nguyên mạng. Mô hình này loại bỏ giả định rằng người dùng hoặc thiết bị bên trong mạng nội bộ mặc định là đáng tin cậy.

UniFi Fabrics mở rộng mô hình này bằng cách cung cấp một trust domain hợp nhất giữa nhiều site UniFi, cho phép quản trị tập trung danh tính, policy và quyền truy cập trong toàn bộ hạ tầng triển khai.

UniFi Fabric là gì?

Một UniFi Fabric là một nhóm các site UniFi được liên kết với nhau thông qua:

• trust domain chung

• administrative domain chung

• identity framework thống nhất

Các site trong Fabric chia sẻ:

• user identity

• authentication policy

• access policy

• trust relationship

Điều này cho phép quản trị viên triển khai chính sách Zero Trust nhất quán trên toàn bộ hệ thống multi-site.

Identity-Based Access

Trong mô hình Zero Trust của UniFi, quyền truy cập không còn dựa trên:

• vị trí mạng

• VLAN

• subnet

• hoặc trusted LAN

Thay vào đó, quyền truy cập được xác định dựa trên:

• danh tính người dùng

• trạng thái thiết bị

• trust policy

• authentication status

Trước khi truy cập tài nguyên trong Fabric, người dùng và thiết bị phải được xác thực rõ ràng.

Mô hình này giúp giảm thiểu:

• lateral movement - rủi ro xâm nhập dữ liệu giữa các thiết bị

• unauthorized access - truy cập chưa được phép

• implicit trust trong mạng nội bộ - sẽ không còn vùng xám/thiết bị đáng tin cậy mà tất cả phải xác thực

UniFi Endpoints

UniFi Endpoints đóng vai trò là thành phần enforcement trong kiến trúc Zero Trust của UniFi.

Endpoints hiện hỗ trợ:

• macOS

• Windows

• iOS

• Android

• Linux

Các endpoint này cho phép UniFi:

• xác minh danh tính thiết bị

• thực thi policy

• kiểm tra trust relationship

• duy trì trạng thái authentication

trước khi cho phép truy cập vào tài nguyên của Fabric.

Tích hợp Identity Provider (IdP)

UniFi Fabrics hỗ trợ tích hợp với third-party Identity Provider (IdP), bao gồm:

• Microsoft Entra

• Google Workspace

Hệ thống sử dụng:

• SAML cho authentication

• SCIM cho identity synchronization

Thông qua cơ chế này, user và group có thể được đồng bộ trực tiếp từ IdP vào UniFi Fabric.

Điều này giúp:

• đơn giản hóa onboarding

• tự động hóa offboarding

• duy trì đồng bộ identity theo thời gian thực

trong toàn bộ hệ thống UniFi.

SAML Authentication

Khi tích hợp với external IdP, UniFi sử dụng SAML để thực hiện xác thực người dùng.

Quy trình này cho phép:

• centralized authentication

• single sign-on (SSO)

• quản lý identity tập trung

mà không yêu cầu UniFi lưu trữ thông tin xác thực cục bộ cho từng người dùng.

SCIM Synchronization

SCIM được sử dụng để đồng bộ:

• user

• group

• identity attribute

giữa external IdP và UniFi Fabric.

Khi user hoặc group được cập nhật trên IdP, thay đổi sẽ tự động được phản ánh trong UniFi.

Điều này giúp đảm bảo policy và quyền truy cập luôn được đồng bộ trên toàn bộ Fabric.

Trust Enforcement

UniFi Fabric thực thi trust policy dựa trên:

• identity

• endpoint status

• authentication state

• membership

• assigned policy

Mọi yêu cầu truy cập đều được đánh giá trước khi cấp quyền truy cập vào tài nguyên nội bộ.

Mô hình này tuân theo nguyên tắc:

never trust, always verify

trong kiến trúc Zero Trust.

Multi-Site Identity Architecture

UniFi Fabrics được thiết kế cho môi trường multi-site.

Thông qua Fabric, nhiều site có thể:

• chia sẻ identity framework

• sử dụng policy tập trung

• đồng bộ trust relationship

• quản lý user thống nhất

Điều này đặc biệt phù hợp với:

• enterprise deployment

• retail chain

• campus network

• distributed office

• MSP environment

Offline và Local Resilience

UniFi Fabric được thiết kế với khả năng resiliency nhằm đảm bảo các hoạt động cục bộ vẫn tiếp tục vận hành ngay cả khi:

• cloud service bị gián đoạn

• external IdP không khả dụng

• internet connectivity gặp sự cố

Một số workflow cục bộ như:

• door access

• local authentication

• site operation

vẫn có thể tiếp tục hoạt động tùy theo trạng thái trust và policy đã được lưu trữ cục bộ.

Kiến trúc này giúp cải thiện:

• operational continuity

• local survivability

• resiliency

trong môi trường enterprise.

Yêu cầu hệ thống

UniFi Fabric yêu cầu:

• UniFi Network phiên bản 10.2 trở lên

Các console hỗ trợ Identity Sync Service bao gồm:

• Enterprise Fortress Gateway (EFG)

• UDM-Pro Max

• UDM-Pro

• UDM-SE

• ENVR

• UNVR Pro

• Cloud Key Enterprise

Kết luận

UniFi Fabrics mở rộng kiến trúc Zero Trust của UniFi thông qua mô hình identity-based networking và trust enforcement tập trung.

Bằng cách tích hợp:

• identity synchronization

• centralized policy

• endpoint verification

• multi-site trust management

UniFi cung cấp một nền tảng Zero Trust có khả năng mở rộng cho môi trường enterprise hiện đại.

Kiến trúc này cho phép doanh nghiệp triển khai policy bảo mật nhất quán trên toàn bộ hạ tầng trong khi vẫn duy trì khả năng vận hành cục bộ và quản trị tập trung.

(Nguồn: Bài viết được tham khảo từ UniFi Academy/Topic/Zero Trust Networking with Identity).