20 thg 10, 2025·8 phút
Jay Chaudhry & Zscaler: Zero Trust xây cho quy mô đám mây
Cái nhìn thực tế về cách Jay Chaudhry và Zscaler dùng bảo mật đám mây, Zero Trust và kênh phân phối để xây dựng một công ty bảo mật doanh nghiệp dẫn đầu.
Cái nhìn thực tế về cách Jay Chaudhry và Zscaler dùng bảo mật đám mây, Zero Trust và kênh phân phối để xây dựng một công ty bảo mật doanh nghiệp dẫn đầu.
Đây không phải là tiểu sử của Jay Chaudhry. Đây là một câu chuyện thực tiễn về cách Zscaler giúp định hình lại bảo mật doanh nghiệp—và tại sao các lựa chọn của họ (cả về kỹ thuật lẫn thương mại) lại quan trọng.
Bạn sẽ song song học được hai điều:
Bảo mật doanh nghiệp hiện đại là tập hợp các kiểm soát cho phép nhân viên sử dụng Internet và ứng dụng nội bộ an toàn, mà không giả định thứ gì đó an toàn chỉ vì nó “bên trong” mạng công ty. Nó ít liên quan đến xây một bức tường lớn hơn quanh data center, và nhiều hơn đến việc kiểm tra ai đang kết nối, gì họ đang kết nối tới, và liệu kết nối đó có nên được cho phép—mỗi lần.
Khi kết thúc, bạn có thể giải thích cược cốt lõi của Zscaler trong một câu, nhận ra nơi Zero Trust thay thế tư duy thời VPN, và thấy tại sao chiến lược phân phối có thể quan trọng không kém thiết kế sản phẩm.
Jay Chaudhry là một doanh nhân nối tiếp, nổi tiếng với vai trò người sáng lập và CEO của Zscaler, công ty đã góp phần đẩy bảo mật doanh nghiệp từ "bảo vệ mạng công ty" sang "bảo vệ người dùng và ứng dụng ở bất cứ đâu họ ở". Trước Zscaler, ông đã xây dựng và bán nhiều startup bảo mật, cho ông góc nhìn trực tiếp về tốc độ thay đổi của hành vi tấn công và IT doanh nghiệp.
Trọng tâm của Chaudhry với Zscaler rất rõ ràng: khi công việc và ứng dụng rời khỏi mạng công ty (hướng tới Internet công cộng và dịch vụ đám mây), mô hình cũ là điều hướng mọi thứ qua data center trung tâm để kiểm tra bắt đầu vỡ.
Sự chuyển dịch đó tạo ra một đánh đổi đau đầu cho các đội IT:
Tiền đề thành lập Zscaler: bảo mật cần theo người dùng, không theo tòa nhà.
Điều nổi bật là tầm nhìn sản phẩm do người sáng lập dẫn dắt đã ảnh hưởng đến chiến lược công ty ngay từ đầu:
Đây không phải là điều chỉnh marketing; nó chi phối quyết định sản phẩm, quan hệ đối tác và cách Zscaler giải thích “tại sao” với người mua doanh nghiệp bảo thủ. Theo thời gian, sự rõ ràng đó giúp biến “bảo mật phân phối qua đám mây” và “Zero Trust” từ khái niệm thành các dòng ngân sách—cái mà các công ty lớn có thể mua, triển khai và tiêu chuẩn hóa.
Trong nhiều năm, bảo mật doanh nghiệp được xây quanh ý tưởng đơn giản: giữ "điều tốt" bên trong mạng công ty và dựng một bức tường quanh nó. Bức tường đó thường là một chồng thiết bị on‑prem—firewall, web proxy, intrusion prevention—đặt tại vài data center. Nhân viên từ xa vào qua VPN, vốn hiệu quả “mở rộng” mạng nội bộ tới bất cứ nơi nào họ ở.
Khi phần lớn ứng dụng sống trong data center công ty, mô hình này hoạt động tương đối tốt. Lưu lượng web và ứng dụng chảy qua cùng các điểm nghẽn, nơi đội bảo mật có thể kiểm tra, ghi log và chặn.
Nhưng mô hình giả định hai điều bắt đầu trở nên không đúng:
Khi nhân viên di động hơn và việc dùng SaaS tăng tốc, mô hình lưu lượng đảo ngược. Người ta ở quán cà phê cần truy cập nhanh Office 365, Salesforce và hàng chục công cụ trên trình duyệt—thường không bao giờ chạm vào data center công ty.
Để tiếp tục thi hành chính sách, nhiều công ty "backhauled" lưu lượng: gửi yêu cầu Internet và SaaS của người dùng qua HQ trước, kiểm tra, rồi gửi trở lại. Kết quả dễ đoán: hiệu năng chậm, người dùng không hài lòng, và áp lực ngày càng tăng để mở lỗ trong kiểm soát.
Độ phức tạp tăng vọt (nhiều thiết bị, nhiều quy tắc, nhiều ngoại lệ). VPN bị quá tải và rủi ro khi cấp quyền mạng rộng. Và mỗi chi nhánh mới hay thương vụ mua lại đồng nghĩa thêm đợt triển khai phần cứng, lập kế hoạch dung lượng, và kiến trúc dễ vỡ.
Khoảng trống đó—cần bảo mật nhất quán mà không ép mọi thứ qua một biên vật lý—tạo cơ hội cho bảo mật phân phối qua đám mây theo sau người dùng và ứng dụng, không phải tòa nhà.
Cược định nghĩa của Zscaler dễ nói nhưng khó thực hiện: cung cấp bảo mật như một dịch vụ đám mây, đặt gần người dùng, thay vì là các hộp thiết bị trong mạng công ty.
Trong bối cảnh này, “bảo mật đám mây” không chỉ nghĩa bảo vệ server đám mây. Nó có nghĩa là chính chức năng bảo mật chạy trên đám mây—vậy nên một người dùng ở chi nhánh, ở nhà, hoặc trên di động kết nối tới một điểm hiện diện (PoP) gần đó, và chính sách được thi hành tại đó.
"Inlining" giống như dẫn lưu lượng qua một chốt kiểm soát bảo mật trên đường tới đích.
Khi một nhân viên vào một website hoặc ứng dụng đám mây, kết nối của họ được điều hướng qua dịch vụ trước. Dịch vụ kiểm tra những gì có thể (theo chính sách), chặn các đích rủi ro, quét mối đe dọa, rồi chuyển tiếp lưu lượng được phép. Mục tiêu là người dùng không cần phải “ở trong mạng công ty” để có bảo vệ mức công ty—bảo mật đi theo người dùng.
Bảo mật phân phối qua đám mây thay đổi hiện thực hàng ngày cho IT và đội bảo mật:
Mô hình này cũng phù hợp với cách các công ty hoạt động hiện nay: lưu lượng thường đi thẳng tới SaaS và Internet công cộng, không phải "về trụ sở" trước.
Đặt một bên thứ ba inline nêu lên những lo ngại thực tế cần đánh giá:
Cược cốt lõi không chỉ là kỹ thuật—mà là sự tin tưởng vận hành rằng nhà cung cấp đám mây có thể thi hành chính sách một cách đáng tin cậy, minh bạch và ở quy mô toàn cầu.
Zero Trust là một nguyên tắc đơn giản: không bao giờ giả định thứ gì đó an toàn chỉ vì nó “bên trong mạng công ty.” Thay vào đó, luôn kiểm chứng người dùng là ai, thiết bị họ dùng ra sao, và liệu họ nên truy cập một ứng dụng hay dữ liệu cụ thể—mỗi khi cần.
Tư duy VPN truyền thống giống như trả cho ai đó một thẻ mở cả tòa nhà một khi họ qua cửa. Sau khi VPN kết nối, nhiều hệ thống coi người đó là “nội bộ”, điều này có thể lộ nhiều thứ hơn dự định.
Zero Trust đảo mô hình đó. Nó giống như cho ai đó quyền vào một phòng cho một nhiệm vụ. Bạn không “tham gia mạng” rộng; bạn chỉ được phép tới ứng dụng bạn được phê duyệt.
Một nhà thầu cần truy cập công cụ quản lý dự án trong hai tháng. Với Zero Trust, họ được phép vào đúng ứng dụng đó—mà không vô tình có đường vào hệ thống trả lương hay công cụ quản trị nội bộ.
Một nhân viên dùng BYOD khi đi công tác. Chính sách Zero Trust có thể yêu cầu kiểm tra đăng nhập mạnh hơn hoặc chặn truy cập nếu thiết bị lỗi thời, không mã hóa, hoặc có dấu hiệu bị xâm phạm.
Làm việc từ xa trở nên dễ bảo mật hơn vì quyết định bảo mật theo sau người dùng và ứng dụng, không theo mạng văn phòng.
Zero Trust không phải là một sản phẩm bạn mua rồi “bật lên”. Đó là một cách tiếp cận bảo mật được hiện thực qua công cụ và chính sách.
Nó cũng không có nghĩa “không tin ai” theo cách thù địch. Thực tế, nghĩa là niềm tin được kiếm liên tục qua kiểm tra danh tính, trạng thái thiết bị, và nguyên tắc ít quyền—để sai sót và vi phạm không lan nhanh.
Dễ hiểu nhất, Zscaler là một “điểm điều khiển” trên đám mây nằm giữa con người và những gì họ cố gắng truy cập. Thay vì tin tưởng vào ranh giới mạng công ty, nó đánh giá mỗi kết nối dựa trên ai là người dùng và tình huống trông thế nào, rồi áp dụng chính sách phù hợp.
Hầu hết triển khai có thể mô tả bằng bốn phần đơn giản:
Về mặt khái niệm, Zscaler tách lưu lượng thành hai luồng:
Sự phân tách đó quan trọng: một luồng là về dùng Internet an toàn; luồng kia là về truy cập chính xác tới hệ thống nội bộ.
Quyết định không dựa trên địa chỉ IP văn phòng đáng tin. Chúng dựa trên tín hiệu như ai là người dùng, tình trạng thiết bị (được quản lý hay không, đã vá hay chưa), và nơi/cách họ kết nối.
Làm tốt, cách tiếp cận này giảm bề mặt tấn công, hạn chế di chuyển ngang khi có sự cố, và biến kiểm soát truy cập thành một mô hình chính sách đơn giản, nhất quán—đặc biệt khi làm việc từ xa và mô hình ứng dụng cloud‑first trở thành chuẩn.
Khi người ta nói về “bảo mật doanh nghiệp”, thường nghĩ tới ứng dụng riêng tư và mạng nội bộ. Nhưng phần lớn rủi ro nằm ở bên Internet mở: nhân viên đọc tin tức, nhấp link trong email, dùng công cụ trên trình duyệt, hoặc tải lên tệp lên web apps.
Secure Web Gateway (SWG) là danh mục ra đời để làm cho truy cập Internet hàng ngày an toàn hơn—mà không buộc mọi lưu lượng người dùng phải quay về một văn phòng trung tâm.
Đơn giản nhất, SWG đóng vai trò một chốt kiểm soát giữa người dùng và web công cộng. Thay vì tin mọi thứ thiết bị gặp phải, gateway áp chính sách và kiểm tra để tổ chức giảm phơi bày đối với site độc hại, tệp rủi ro và rò rỉ dữ liệu vô tình.
Các biện pháp bảo vệ điển hình bao gồm:
Động lực thay đổi xuất hiện khi công việc rời văn phòng cố định sang SaaS, trình duyệt và thiết bị di động. Nếu người dùng ở khắp nơi và ứng dụng ở khắp nơi, việc backhaul lưu lượng về một biên tập trung làm tăng độ trễ và tạo blind spot.
SWG phân phối qua đám mây phù hợp với thực tế mới: chính sách theo người dùng, lưu lượng được kiểm tra gần nơi họ kết nối, và đội bảo mật có quyền kiểm soát nhất quán trên HQ, chi nhánh và làm việc từ xa—mà không xem Internet là một ngoại lệ.
VPN được xây cho thời điểm khi “ở trên mạng” đồng nghĩa với “có thể tới ứng dụng”. Tư duy đó vỡ khi ứng dụng nằm trên nhiều đám mây, SaaS, và hệ thống on‑prem ngày càng ít.
Truy cập hướng ứng dụng đảo mặc định. Thay vì đặt người dùng vào mạng nội bộ (và hy vọng các chính sách phân đoạn giữ vững), người dùng chỉ được kết nối tới một ứng dụng cụ thể.
Về mặt khái niệm, nó hoạt động như kết nối được môi giới: người dùng chứng minh danh tính và quyền, sau đó tạo một đường đi ngắn, kiểm soát tới ứng dụng—không công bố phạm vi IP nội bộ ra Internet và không cho người dùng tầm nhìn “nội bộ” rộng.
Phân đoạn mạng mạnh, nhưng dễ vỡ trong tổ chức thực tế: sáp nhập, VLAN phẳng, ứng dụng cũ và ngoại lệ tích tụ. Phân đoạn theo ứng dụng dễ lý giải hơn vì nó ánh xạ theo ý định doanh nghiệp:
Điều này giảm tin tưởng ngầm và làm cho chính sách truy cập dễ đọc: bạn có thể kiểm toán theo ứng dụng và nhóm người dùng thay vì truy vết route và subnet.
Hầu hết đội không thay VPN qua đêm. Lộ trình thực tế thường là:
Khi truy cập hướng ứng dụng làm tốt, lợi ích hiện ra nhanh: ít ticket hỗ trợ liên quan VPN, quy tắc truy cập rõ ràng mà bảo mật và IT có thể giải thích, và trải nghiệm người dùng mượt hơn—đặc biệt với nhân viên remote/hybrid muốn ứng dụng chạy mà không phải “kết nối vào mạng” trước.
Sản phẩm bảo mật tốt không tự nhiên trở thành tiêu chuẩn doanh nghiệp. Trong thực tế, “phân phối” trong bảo mật doanh nghiệp là tập hợp các đường đi nhà cung cấp dùng để tiếp cận, thắng và triển khai thành công trong các tổ chức lớn—thường là thông qua những công ty khác.
Trong bảo mật, phân phối thường trải dài:
Chúng không phải phụ kiện. Chúng là ống nối nhà cung cấp tới ngân sách, người ra quyết định và năng lực triển khai.
Doanh nghiệp lớn mua một cách thận trọng. Đối tác cung cấp:
Với nền tảng như Zscaler, việc áp dụng thường dựa vào công việc di cư thực tế—di chuyển người dùng khỏi mẫu VPN cũ, tích hợp danh tính và tinh chỉnh chính sách. Đối tác khiến thay đổi đó trở nên khả thi.
Phân phối đám mây chuyển kinh doanh từ cài đặt một lần sang subscription, mở rộng và gia hạn. Điều đó biến đối tác: họ không chỉ là người chốt giao dịch. Họ có thể là đối tác rollout liên tục, với động lực phù hợp cho kết quả khách hàng—nếu chương trình thiết kế tốt.
Xem kỹ động lực phần thưởng đối tác, chất lượng đào tạo đối tác (training, playbook, hỗ trợ co‑selling), và cách bàn giao customer success diễn ra sau ký hợp đồng. Nhiều triển khai thất bại không phải vì sản phẩm yếu, mà vì quyền sở hữu giữa nhà cung cấp, đối tác và khách hàng không rõ ràng.
Việc mua bảo mật hiếm khi bắt đầu bằng “chúng tôi cần bảo mật tốt hơn”. Thường bắt đầu bằng thay đổi mạng làm vỡ giả định cũ: nhiều ứng dụng chuyển sang SaaS, chi nhánh chuyển sang SD‑WAN, hoặc làm việc từ xa trở thành vĩnh viễn. Khi lưu lượng không còn chảy qua văn phòng trung tâm, mô hình "bảo vệ mọi thứ tại HQ" biến thành kết nối chậm, ngoại lệ lộn xộn và blind spot.
Zscaler thường được nhắc cùng SASE và SSE vì những nhãn đó mô tả sự thay đổi về cách bảo mật được cung cấp:
Lợi ích thực sự không phải chữ viết tắt—mà là vận hành đơn giản hơn: ít thiết bị on‑prem, cập nhật chính sách dễ hơn, và truy cập trực tiếp tới ứng dụng mà không phải hairpin lưu lượng qua data center.
Một công ty thường đánh giá các cách tiếp cận kiểu SSE/SASE khi:
Khi những yếu tố kích hoạt đó xuất hiện, hạng mục "tới" một cách tự nhiên—bởi vì mạng đã thay đổi.
Mua một nền tảng Zero Trust thường là phần dễ. Làm cho nó hoạt động trên mạng lộn xộn, ứng dụng kế thừa và con người thực mới là nơi dự án thành công—hoặc tắc.
Ứng dụng kế thừa thường là kẻ thủ phạm. Hệ thống cũ có thể giả định “bên trong mạng = tin cậy”, dựa vào allowlist IP cố định, hoặc hỏng khi lưu lượng bị kiểm tra.
Các điểm ma sát khác là con người: quản lý thay đổi, thiết kế lại chính sách, và tranh luận “ai sở hữu gì”. Chuyển từ truy cập mạng rộng sang quy tắc ứng dụng chính xác buộc các nhóm phải tài liệu hóa cách công việc thực sự diễn ra—và điều đó có thể làm lộ các khoảng trống lâu nay bị lờ đi.
Triển khai mượt hơn khi bảo mật không cố gắng thao tác một mình. Dự kiến phối hợp với:
Bắt đầu với nhóm rủi ro thấp (ví dụ, một phòng ban hoặc một tập hợp nhà thầu) và định nghĩa chỉ số thành công trước: ít ticket VPN, truy cập ứng dụng nhanh hơn, giảm bề mặt tấn công phơi bày, hoặc quan sát tốt hơn. Chạy pilot theo vòng lặp: di cư một loại ứng dụng, tinh chỉnh chính sách, rồi mở rộng. Mục tiêu là học nhanh mà không biến toàn bộ công ty thành môi trường thử nghiệm.
Lên kế hoạch cho logging và gỡ rối ngay từ ngày đầu: log lưu ở đâu, ai có thể truy vấn, thời hạn lưu trữ bao lâu, và cảnh báo gắn vào phản ứng sự cố ra sao. Nếu người dùng không được trợ giúp khi “ứng dụng bị chặn”, niềm tin sụt nhanh—dù mô hình bảo mật có ổn.
Một gia tốc thực tế (và thường bị bỏ qua) là công cụ nội bộ: cổng đơn giản cho yêu cầu ngoại lệ, rà soát quyền truy cập, danh mục ứng dụng, theo dõi rollout và báo cáo. Các đội ngày càng xây các “ứng dụng keo” nhẹ này thay vì chờ roadmap nhà cung cấp. Nền tảng như Koder.ai có thể giúp đội dựng prototype và đưa các công cụ web nội bộ này vào hoạt động nhanh qua workflow chat—hữu ích khi bạn cần một dashboard React với backend Go/PostgreSQL, cộng khả năng iterate nhanh khi chính sách và quy trình chín muồi.
Chuyển kiểm soát bảo mật từ thiết bị bạn sở hữu sang nền tảng đám mây có thể đơn giản hóa vận hành—nhưng nó cũng thay đổi những gì bạn đang đặt cược. Quyết định tốt không phải là “Zero Trust vs. legacy” mà là hiểu các chế độ lỗi mới.
Nếu một nền tảng cung cấp web security, truy cập ứng dụng riêng tư, thi hành chính sách và logging, bạn giảm rối rắm công cụ—nhưng cũng tập trung rủi ro. Tranh chấp hợp đồng, thay đổi giá, hoặc thiếu hụt sản phẩm có thể gây ảnh hưởng rộng hơn so với khi những phần này phân tán qua nhiều công cụ.
Bảo mật đám mây thêm một nhảy giữa người dùng và ứng dụng. Khi nó hoạt động tốt, người dùng hầu như không nhận thấy. Khi một vùng bị sự cố, vấn đề định tuyến hoặc quá tải, “bảo mật” có thể trông như “Internet bị sập”. Đây không chỉ là vấn đề nhà cung cấp riêng lẻ mà là phụ thuộc vào kết nối luôn‑mở.
Zero Trust không phải tấm khiên ma thuật. Chính sách cấu hình kém (quá lỏng, quá chặt, hoặc không đồng nhất giữa các nhóm) có thể tăng phơi bày hoặc làm gián đoạn công việc. Công cụ có engine chính sách càng linh hoạt, bạn càng cần kỷ luật.
Triển khai theo giai đoạn giúp: bắt đầu với use case rõ (ví dụ, một tập người dùng hoặc một loại ứng dụng), đo độ trễ và kết quả truy cập, rồi mở rộng. Định nghĩa chính sách bằng ngôn ngữ rõ ràng, triển khai giám sát và cảnh báo sớm, và lên kế hoạch dự phòng (định tuyến đa vùng, truy cập break‑glass, và đường lui được ghi chép).
Biết loại dữ liệu bạn bảo vệ (được quy định hay chung), liên kết kiểm soát với yêu cầu tuân thủ, và lên lịch rà soát quyền truy cập định kỳ. Mục tiêu không phải mua vì sợ hãi—mà là đảm bảo mô hình mới thất bại an toàn và có thể dự đoán được.
Bài học lặp lại của Zscaler là tập trung: đưa thi hành bảo mật lên đám mây và làm truy cập dựa trên danh tính. Khi đánh giá nhà cung cấp (hoặc xây một), hỏi một câu đơn: “Cược kiến trúc nào làm tất cả phần còn lại đơn giản hơn?” Nếu câu trả lời là “tùy”, chờ đợi độ phức tạp xuất hiện sau này trong chi phí, thời gian triển khai và ngoại lệ.
“Zero Trust” hiệu quả vì nó dịch được thành lời hứa thực tế: ít giả định tin tưởng ngầm, ít hệ thống mạng rườm rà, và kiểm soát tốt hơn khi ứng dụng rời on‑prem. Với các đội, điều đó nghĩa là mua kết quả, chứ không phải từ khóa. Viết ra kết quả mong muốn (ví dụ, “không có truy cập inbound”, “ít quyền tới ứng dụng”, “chính sách nhất quán cho người dùng remote”) và ánh xạ mỗi mục tới năng lực cụ thể bạn có thể thử.
Bảo mật doanh nghiệp lan truyền qua mạng tin cậy: reseller, GSI, MSP và marketplace. Nhà sáng lập có thể sao chép bằng cách xây sản phẩm sẵn cho đối tác sớm—đóng gói rõ ràng, biên lợi nhuận dự đoán được, playbook triển khai và chỉ số chia sẻ. Người đứng đầu bảo mật cũng có thể tận dụng đối tác: dùng họ cho quản lý thay đổi, tích hợp danh tính và di cư theo giai đoạn thay vì cố gắng đào tạo mọi đội.
Bắt đầu với một use case có khối lượng cao (thường là truy cập Internet hoặc một ứng dụng quan trọng), đo trước/sau, rồi mở rộng.
Câu hỏi chính cho rollout:
Đừng chỉ “bán bảo mật”—bán một lộ trình di cư. Câu chuyện chiến thắng thường là: pain → bước đơn giản đầu tiên → thắng đo lường được → mở rộng. Xây onboarding và báo cáo khiến giá trị hiển nhiên trong 30–60 ngày.
Một mẫu thân thiện với nhà sáng lập là bổ sung sản phẩm lõi bằng các app kèm nhanh (workflows đánh giá, tracker di cư, máy tính ROI, cổng partner). Nếu muốn tạo chúng mà không xây lại toàn bộ pipeline dev legacy, Koder.ai được thiết kế cho việc "vibe‑coding" ứng dụng full‑stack từ chat—hữu ích để đưa công cụ nội bộ hoặc customer‑facing vào production nhanh, rồi iterate khi động lực phân phối phát triển.
Nếu bạn muốn đi sâu hơn, xem blog/zero-trust-basics và blog/sase-vs-sse-overview. Để ý tưởng đóng gói, xem pricing.
Zero Trust là cách tiếp cận nơi quyết định truy cập được thực hiện cho từng yêu cầu dựa trên danh tính, trạng thái thiết bị và ngữ cảnh, thay vì giả định thứ gì đó an toàn chỉ vì nó “ở trong mạng”. Về mặt thực tế, điều đó có nghĩa là:
VPN truyền thống thường đặt người dùng “trên mạng”, điều này có thể vô tình làm lộ nhiều hệ thống hơn cần thiết. Truy cập hướng ứng dụng thì đảo ngược mô hình:
“Inline” nghĩa là lưu lượng được chuyển qua một điểm kiểm soát bảo mật trước khi tới Internet hoặc ứng dụng đám mây. Trong mô hình cloud-delivered, điểm kiểm soát đó nằm ở một point of presence (PoP) gần người dùng, vì vậy nhà cung cấp có thể:
Mục tiêu là bảo mật nhất quán mà không bắt buộc phải quay lưu lượng về trụ sở chính.
Việc backhaul gửi lưu lượng web và SaaS của người dùng remote về một data center trung tâm để kiểm tra rồi gửi lại ra Internet. Cách này thường thất bại vì nó:
Secure Web Gateway (SWG) bảo vệ người dùng khi họ duyệt web và dùng ứng dụng SaaS. Các năng lực phổ biến của SWG bao gồm:
Nó đặc biệt hữu ích khi phần lớn lưu lượng hướng ra Internet và người dùng không ngồi sau một firewall tập trung duy nhất.
Bảo mật đám mây có thể đơn giản hóa vận hành, nhưng đồng thời thay đổi những gì bạn phụ thuộc vào. Những đánh đổi chính cần xem xét:
Một pilot ít rủi ro thường thành công khi nó được giới hạn rõ ràng và có thể đo lường:
Mục tiêu là học nhanh mà không biến toàn công ty thành môi trường thử nghiệm.
Misconfiguration vẫn là rủi ro số một vì chuyển từ “truy cập mạng” sang “truy cập theo ứng dụng/chính sách” buộc các nhóm phải xác định ý định một cách chính xác. Để giảm rủi ro:
SSE là các kiểm soát bảo mật được cung cấp từ đám mây (như SWG và private app access) ở “edge” để người dùng có bảo vệ nhất quán mọi nơi họ ở. SASE kết hợp mô hình bảo mật đó với phần mạng (thường SD-WAN) để thiết kế đồng bộ kết nối và bảo mật.
Về mặt mua sắm:
Doanh nghiệp lớn thường mua qua đối tác và cần năng lực triển khai. Channel partners, SI, và MSP giúp bằng cách:
Một hệ sinh thái đối tác mạnh có thể quyết định nền tảng trở thành tiêu chuẩn hay dừng lại sau một triển khai nhỏ.