Red Hat Korea ngày 29/5 cho biết những thay đổi về quy định cùng sự phát triển của AI đang làm thay đổi cách doanh nghiệp xây dựng và vận hành hệ thống bảo mật. Trong bối cảnh đó, Zero Trust và Zero CVE nổi lên như hai định hướng trọng tâm, kéo theo nhu cầu triển khai mô hình vận hành Zero Ops dựa trên tự động hóa.

Nhận định được ông Sung Hee-kyung, Giám đốc Red Hat Korea, đưa ra tại sự kiện Red Hat Ansible Automate 2026 diễn ra chiều 28/5 tại Lotte World Tower, Jamsil. Tại đây, ông phân tích bối cảnh khiến Zero Trust và Zero CVE trở nên cấp thiết, đồng thời giới thiệu hướng tiếp cận mà Red Hat đề xuất cho doanh nghiệp.

Theo ông, từ tháng 3, khi chính phủ yêu cầu các tổ chức tài chính loại bỏ phần mềm cài đặt trên thiết bị người dùng như công cụ bảo mật bàn phím, mô hình bảo mật của ngành tài chính đã bắt đầu thay đổi rõ rệt.

Ông cho rằng đây không đơn thuần là việc gỡ bỏ một vài chương trình, mà là sự dịch chuyển trách nhiệm bảo mật từ thiết bị đầu cuối của khách hàng về phía máy chủ của tổ chức tài chính.

Trước đây, các mô-đun bảo mật được cài trực tiếp trên thiết bị người dùng khiến trách nhiệm bảo vệ hệ thống bị phân tán. Nay, xu hướng quản lý chuyển sang mô hình bảo mật dựa trên rủi ro, trong đó phía máy chủ phải liên tục kiểm tra lỗ hổng và vận hành bằng hệ thống quản trị thông minh dựa trên tự động hóa.

Với các tổ chức tài chính, bài toán cốt lõi theo đó là làm thế nào để vận hành máy chủ một cách an toàn và nhất quán.

Để đáp ứng yêu cầu này, Red Hat đưa ra hai trụ cột chính cho kiến trúc bảo mật mới: Zero Trust và Zero CVE.

Với Zero Trust, ông Sung Hee-kyung cho biết mô hình truyền thống thường xem khu vực bên trong ranh giới mạng là vùng đáng tin cậy. Cách tiếp cận này tạo ra rủi ro khi kẻ tấn công, sau khi chiếm được quyền truy cập, có thể di chuyển ngang giữa các máy chủ nội bộ và dữ liệu. Trong khi đó, nguyên tắc cốt lõi của Zero Trust là “không bao giờ tin tưởng, luôn xác minh”.

Theo Red Hat, Zero Trust cần được triển khai dựa trên bốn nguyên tắc chính: mặc định từ chối mọi truy cập và luôn xác minh; áp dụng bảo mật không phụ thuộc vị trí mạng, bao gồm cả hạ tầng mạng; kiểm soát chặt quyền truy cập tài nguyên ở cấp micro-segmentation; và thực thi chính sách bảo mật theo thời gian thực dựa trên người dùng.

Ở khía cạnh Zero CVE, ông nhấn mạnh đây là chiến lược vận hành bảo mật nhằm rút ngắn tối đa khoảng thời gian lỗ hổng tồn tại trong hệ thống.

Dẫn ví dụ về một lỗ hổng trong Linux kernel được công bố đầu tháng 5, ông cho biết trước đây thường mất vài tháng từ lúc lỗ hổng bị công bố đến khi xuất hiện tấn công thực tế. Tuy nhiên, với sự phổ biến của các công cụ dựa trên AI, khoảng cách này hiện có thể rút xuống chỉ còn vài ngày, thậm chí vài giờ.

Theo ông, Zero Trust có thể kiểm soát truy cập, nhưng nếu lỗ hổng tồn tại ở cấp kernel thì đặc quyền vẫn có thể bị chiếm đoạt ngay ở tầng hệ điều hành. Vì vậy, doanh nghiệp cần một cơ chế xử lý lỗ hổng liên tục và tách biệt.

Để đưa Zero Trust và Zero CVE vào thực tế vận hành, Red Hat cho rằng cách tiếp cận khả thi nhất là triển khai chiến lược “Zero Ops”.

Ông giải thích cả Zero Trust lẫn Zero CVE đều đòi hỏi khả năng vận hành ổn định trong thời gian dài. Nếu tiếp tục phụ thuộc vào các thao tác thủ công lặp đi lặp lại, doanh nghiệp sẽ ngày càng khó duy trì hiệu quả bảo mật. Vì vậy, tự động hóa theo chính sách là yếu tố then chốt.

Zero Ops, theo Red Hat, không đồng nghĩa loại bỏ con người khỏi quy trình vận hành. Mục tiêu của mô hình này là chuyển vai trò của đội ngũ vận hành từ các công việc lặp lại sang những nhiệm vụ có giá trị cao hơn như thiết kế chính sách, xác minh và ra quyết định đối với các trường hợp ngoại lệ.

Ông Sung Hee-kyung lấy JP Morgan làm ví dụ cho mô hình Zero Ops vận hành hiệu quả. Sau sự cố an ninh mạng quy mô lớn năm 2014, JP Morgan đã chuyển sang kiến trúc dựa trên Zero Trust, tăng cường xác thực đa yếu tố, phân tách quyền truy cập, triển khai phát hiện theo thời gian thực bằng AI và mở rộng tự động hóa trong vận hành bảo mật.

JP Morgan cũng sử dụng Red Hat Ansible Automation Platform (AAP) để chuẩn hóa tự động hóa vận hành cho hơn 380.000 trường hợp, đồng thời tăng cường năng lực đáp ứng yêu cầu kiểm toán và tuân thủ. Theo Red Hat, đây là minh chứng cho thấy để duy trì tính bền vững trong môi trường vận hành thực tế, doanh nghiệp cần một nền tảng tự động hóa cấp doanh nghiệp có khả năng tự động hóa cả chính sách lẫn phản ứng.

Mô hình Zero Ops dựa trên AAP mà Red Hat đề xuất gồm ba bước: quan sát, đánh giá bằng AI và thực thi có kiểm soát.

Ở giai đoạn quan sát, hệ thống thu thập theo thời gian thực log, sự kiện và cảnh báo trên toàn bộ hạ tầng cùng các hệ thống bảo mật của khách hàng. Sang bước đánh giá, AI sẽ phân tích mức độ rủi ro, xác định mức độ ưu tiên xử lý, đồng thời tự động tạo kế hoạch công việc và playbook Ansible.

Ông cũng lưu ý rằng do chính sách tách biệt mạng trong ngành tài chính, việc sử dụng các dịch vụ AI công cộng còn gặp nhiều hạn chế. Vì vậy, xu hướng gần đây là xây dựng mô hình ngôn ngữ lớn (LLM) nội bộ hoặc nền tảng AI khép kín để triển khai ngay trong môi trường vận hành của doanh nghiệp.

Ở bước thực thi, AAP triển khai các biện pháp theo cơ chế kiểm soát chặt chẽ, bao gồm kiểm soát truy cập theo vai trò (RBAC), quản lý thông tin xác thực tài khoản, quy trình phê duyệt và khả năng truy vết phục vụ kiểm toán đối với toàn bộ lịch sử thực thi.

Red Hat khuyến nghị doanh nghiệp tiếp cận Zero Ops theo lộ trình. Ở giai đoạn đầu, doanh nghiệp nên tự động hóa các tác vụ lặp lại như kiểm tra CVE và lập báo cáo kết quả, đồng thời liên kết cảnh báo theo sự kiện để chuẩn hóa quy trình đáp ứng yêu cầu tuân thủ.

Sau đó, doanh nghiệp có thể mở rộng phạm vi vận hành của AAP để tăng mức độ tự động hóa dựa trên AI. Về dài hạn, mô hình này có thể phát triển thành một hệ thống Zero Ops hoàn chỉnh với chu trình phát hiện và xác minh mối đe dọa liên tục.

Kết luận, ông Sung Hee-kyung nhấn mạnh trọng tâm không nằm ở việc “tự động hóa được bao nhiêu”, mà ở chỗ xây dựng được một hệ thống vận hành đáng tin cậy và có thể kiểm soát. Theo ông, Zero Ops không phải là đích đến hoàn thành một lần, mà là quá trình chuyển đổi liên tục trong cách doanh nghiệp vận hành bảo mật.