TL;DR
SASE, SSE, Zero Trust và ZTNA không phải là bốn cách nói khác nhau của cùng một thứ. Chúng khác nhau về phạm vi, về khi nào Gartner định nghĩa chúng, và quan trọng nhất, khác nhau về ai chịu trách nhiệm triển khai trong tổ chức của bạn.
Khi một nhà cung cấp nói “chúng tôi là SASE platform”, họ đang nói đến network + security. Khi họ nói “SSE”, họ đang nói đến security layer, không bao gồm WAN. Khi họ nói “Zero Trust”, họ đang nói đến nguyên tắc thiết kế, không phải sản phẩm. Khi họ nói “ZTNA”, họ đang nói đến một cách triển khai Zero Trust cho access control.
Luận điểm chính của bài:
Chọn đúng từ quyết định đúng phạm vi ngân sách, đúng danh sách rút gọn nhà cung cấp, và đúng nhóm chịu trách nhiệm. Dùng sai từ trong design doc hoặc RFP sẽ kéo theo phạm vi phình ra và tranh cãi nội bộ.
Bài này là Part 2 của Cloudflare One Handbook, đặt nền tảng thuật ngữ cho toàn series.
Dành cho ai
Bài này dành cho:
- Kỹ sư bảo mật hoặc kiến trúc sư đang viết design doc hoặc RFP liên quan đến Zero Trust / SASE / SSE.
- Trưởng nhóm IT cần align phạm vi giữa nhóm network và nhóm bảo mật trước khi chọn nhà cung cấp.
- Kỹ sư nền tảng đang đọc tài liệu Cloudflare, Zscaler, Netskope và bị cuốn vào vòng buzzword.
- Consultant hoặc SE cần giải thích khác biệt cho khách hàng non-technical.
Bạn nên đọc Part 1, Cloudflare One là gì trước, nhưng không bắt buộc.
Sau bài này, bạn sẽ có:
- Định nghĩa gọn của từng thuật ngữ và thời điểm xuất hiện.
- Bảng phạm vi so sánh bốn thuật ngữ.
- Cây quyết định để chọn từ đúng trong từng ngữ cảnh cụ thể.
- Năm lỗi dùng sai phổ biến bạn nên biết để không lặp lại.
- Danh sách kiểm tra trước khi dùng thuật ngữ trong tài liệu chính thức.
Bài này không nói về gì
Bài này không phải là tổng quan sản phẩm Cloudflare One, Zscaler ZIA/ZPA, hay Netskope. Không phải hướng dẫn chọn nhà cung cấp. Không phải lịch sử đầy đủ của Zero Trust (bài hàn lâm đó sẽ cần 50 trang).
Bài này tập trung vào ngôn ngữ làm việc. Mục tiêu là khi bạn ngồi họp, đọc tài liệu, hoặc viết proposal, bạn dùng đúng từ và không phải dừng lại giải thích.
Vì sao cần phân biệt
Nghe có vẻ mô phạm. Nhưng trong các dự án enterprise thực tế, nhầm thuật ngữ gây ra hậu quả cụ thể:
- Phạm vi sai: một RFP viết “chúng tôi cần giải pháp SASE” thu hút nhà cung cấp đề xuất cả SD-WAN, chuyển đổi network, một đống thứ nhóm network không yêu cầu. Nếu nhóm thực sự chỉ cần thay VPN + SWG, thuật ngữ đúng là “SSE” hoặc “ZTNA + SWG”, phạm vi nhỏ hơn, ngân sách rõ hơn, thời gian ngắn hơn.
- Danh sách rút gọn nhà cung cấp sai: “nhà cung cấp Zero Trust” là một danh mục vô nghĩa: Okta, Cloudflare, Zscaler, CrowdStrike đều tự nhận là nhà cung cấp Zero Trust nhưng giải quyết các lớp khác nhau. “Nhà cung cấp ZTNA” mới rút gọn được đúng đối tượng.
- Quyền sở hữu mờ: “dự án SASE” kéo theo câu hỏi “đây là dự án của nhóm network hay nhóm bảo mật?”. Không có câu trả lời đúng, dẫn tới bế tắc. “Dự án SSE” rõ ràng là nhóm bảo mật phụ trách, nhóm network hỗ trợ.
- Design doc hiểu sai: kỹ sư junior đọc “chúng tôi triển khai Zero Trust” sẽ nghĩ là một nhà cung cấp/sản phẩm. Khi không tìm ra “sản phẩm Zero Trust” trong dashboard, họ hỏi đồng đội hoặc ticket. Vốn là khái niệm, không phải sản phẩm.
Mỗi lỗi ở trên, mình đã chứng kiến ít nhất một lần trong thực tế. Từng cái lẻ nhỏ, cộng lại chiếm đáng kể thời gian của nhóm bảo mật/nền tảng.
Khái niệm: định nghĩa ngắn
Bốn thuật ngữ, xếp theo thứ tự thời gian Gartner/Forrester định nghĩa:
Zero Trust (2010, phổ biến từ 2014)
Mô hình bảo mật dựa trên nguyên tắc “never trust, always verify”. Không tin người dùng, thiết bị, hay network nào mặc định. Mỗi request được đánh giá dựa trên tín hiệu: identity, device posture, ngữ cảnh, độ nhạy cảm của tài nguyên.
Zero Trust xuất phát từ Forrester (2010, John Kindervag), không phải Gartner. Gartner sau đó chấp nhận và mở rộng khái niệm.
Zero Trust không phải sản phẩm. Nó là triết lý thiết kế. Bạn không “mua Zero Trust”, bạn thiết kế stack theo nguyên tắc Zero Trust và dùng nhiều sản phẩm khác nhau để hiện thực.
SASE (Gartner, 2019)
Secure Access Service Edge. Kiến trúc kết hợp network (SD-WAN, WAN optimization) và security (SWG, CASB, ZTNA, FWaaS) vào một nền tảng cloud-native, deliver từ edge network thay vì hub-and-spoke về datacenter.
SASE là câu trả lời kiến trúc cho work-from-anywhere: thay vì backhaul traffic về perimeter cố định, áp dụng policy tại một edge gần người dùng.
Gartner định nghĩa SASE có 5 khả năng cốt lõi:
- SD-WAN
- SWG (Secure Web Gateway)
- CASB (Cloud Access Security Broker)
- ZTNA (Zero Trust Network Access)
- FWaaS (Firewall as a Service)
SSE (Gartner, 2021)
Security Service Edge. Phần security của SASE, tách riêng ra vì nhiều tổ chức chỉ muốn security layer mà không cần thay đổi WAN.
Gartner định nghĩa SSE có 4 khả năng:
- SWG
- CASB
- ZTNA
- FWaaS (tùy nhà cung cấp)
Nói đơn giản: SSE = SASE − SD-WAN.
Vì sao tách? Trong thực tế, thay network (SD-WAN) là dự án tốn kém, cần phê duyệt từ nhiều bên, động chạm nhóm network và tài chính. Thay security thì nhóm bảo mật tự làm. Gartner tách SSE để enterprise có thể mua security layer mà không bắt buộc phải thay network.
ZTNA
Zero Trust Network Access. Một cách triển khai Zero Trust cho kiểm soát truy cập vào ứng dụng nội bộ. Thay vì cho người dùng vào toàn bộ network qua VPN, ZTNA cho access theo từng ứng dụng, từng user group, từng device posture, từng ngữ cảnh.
ZTNA là một trong 4 thành phần của SSE, và là thay thế chính cho VPN truyền thống.
Ví dụ cụ thể:
- VPN: người dùng đăng nhập → được định tuyến đủ toàn bộ network công ty → có thể ping DNS nội bộ, nhảy SSH, truy cập file share.
- ZTNA: người dùng đăng nhập → chỉ được proxy đến app X qua Cloudflare Access → không thấy bất kỳ IP nội bộ nào khác.
Ma trận so sánh phạm vi
Đây là bảng mình dùng để lập luận mỗi khi dùng thuật ngữ:
| Chiều | Zero Trust | ZTNA | SSE | SASE |
|---|---|---|---|---|
| Loại | Nguyên tắc | Danh mục sản phẩm | Danh mục sản phẩm | Danh mục sản phẩm |
| Phạm vi | Mọi request trong tổ chức | Truy cập vào ứng dụng nội bộ | Security layer (SWG + CASB + ZTNA + FWaaS) | SSE + SD-WAN |
| Thay thế | Cách nghĩ cũ | VPN | Nhiều sản phẩm bảo mật điểm | Nhiều sản phẩm bảo mật + network điểm |
| Bao gồm network? | N/A | Không | Không | Có (SD-WAN) |
| Bao gồm SWG? | N/A | Không | Có | Có |
| Bao gồm SD-WAN? | N/A | Không | Không | Có |
| Nhóm phụ trách? | Liên chức năng | Bảo mật + Identity | Bảo mật | Bảo mật + Network |
| Nhà cung cấp ví dụ | (không có) | Cloudflare Access, Zscaler ZPA | Cloudflare One (một phần), Netskope, Zscaler | Cloudflare One (đầy đủ), Cato Networks, Versa |
| Năm Gartner định nghĩa | Forrester 2010 | 2016 | 2021 | 2019 |
Đọc bảng này theo chiều từ trái sang phải là đọc theo độ hẹp của phạm vi: Zero Trust rộng nhất (khái niệm), ZTNA hẹp nhất (một loại sản phẩm), SSE và SASE ở giữa.
Mô hình tư duy: quan hệ giữa 4 thuật ngữ
Đọc từ trong ra ngoài:
- ZTNA là một sản phẩm cụ thể, thay VPN.
- SSE gom ZTNA + SWG + CASB + FWaaS thành danh mục security.
- SASE = SSE + network (SD-WAN).
- Zero Trust bao trùm tất cả, cộng thêm identity, endpoint, phân đoạn vi mô, bảo vệ dữ liệu. Zero Trust rộng hơn SASE.
Một sai lầm phổ biến: nghĩ rằng mua nền tảng SASE = đã Zero Trust. Sai. SASE là phần triển khai một phần của Zero Trust ở tầng network/access. Vẫn cần quản trị identity, gia cố endpoint, phân loại dữ liệu, phân đoạn vi mô ở phần khác để thực sự “là Zero Trust”.
Cloudflare One nằm ở đâu?
Với khung trên, Cloudflare One tự định vị là nền tảng SASE:
| Khả năng | Cloudflare One có? | Sản phẩm cụ thể |
|---|---|---|
| ZTNA | Có | Cloudflare Access |
| SWG | Có | Cloudflare Gateway |
| CASB | Có | Cloudflare CASB |
| DLP | Có | Cloudflare DLP |
| FWaaS | Có | Gateway + Magic Firewall |
| SD-WAN | Có (một phần) | Magic WAN |
| RBI | Có | Browser Isolation |
| Email Security | Có | Email Security (ex-Area 1) |
| DEX | Có | Digital Experience Monitoring |
Trong thực tế, phần lớn nhóm triển khai Cloudflare One bắt đầu ở một phần của SSE (Access + Gateway + có thể CASB + DLP), và chỉ thêm Magic WAN khi có nhu cầu chuyển đổi network thật sự. Đó là cách thực dụng, mua khả năng bạn cần, không phải mua toàn bộ gói lớn.
Zscaler có cùng cách định vị: ZIA + ZPA = SSE, thêm Zscaler Digital Experience và một số tính năng khác đến SASE. Netskope thì mạnh CASB/DLP nên SSE trước, SASE qua hợp tác.
Cây quyết định: chọn đúng từ trong ngữ cảnh
Khi bạn đang viết tài liệu và không biết dùng từ nào, hỏi theo thứ tự:
Ví dụ áp dụng:
- “Chúng tôi đang triển khai Zero Trust” → đúng nếu bạn đang nói về nguyên tắc tổ chức. Sai nếu bạn đang nói về một dự án cụ thể có sản phẩm bàn giao rõ ràng.
- “Chúng tôi cần một giải pháp ZTNA” → đúng khi mục tiêu là thay VPN.
- “Chúng tôi cần một nền tảng SSE” → đúng khi mục tiêu là gộp các sản phẩm bảo mật điểm.
- “Chúng tôi cần một giải pháp SASE” → đúng khi mục tiêu bao gồm cả chuyển đổi network.
Năm lỗi dùng sai phổ biến
Đây là những câu mình đọc trong tài liệu thực tế và thường gây nhầm lẫn:
1. “Zero Trust là một sản phẩm”
Sai. Zero Trust là khái niệm. Không có SKU nào tên “Zero Trust”. Có ZTNA, có Access, có Zero Trust Network Access as a Service, nhưng không có “Zero Trust”.
Cách nói đúng: “Chúng tôi đang theo nguyên tắc Zero Trust, triển khai qua Cloudflare Access (ZTNA) và Gateway (SWG).“
2. “SASE = VPN thế hệ mới”
Sai. VPN thế hệ mới là ZTNA. SASE là một danh mục rộng hơn nhiều, bao gồm cả network và security.
Cách nói đúng: “Chúng tôi thay VPN bằng ZTNA (Cloudflare Access). Nếu mở rộng sang toàn bộ security + network stack, chúng tôi sẽ tiến tới SASE.”
3. “Mua SASE là xong Zero Trust”
Sai, như đã giải thích ở phần mô hình tư duy. SASE bao quát tầng network/access của Zero Trust, không bao quát quản trị identity, endpoint, data, phân đoạn vi mô.
Cách nói đúng: “Nền tảng SASE giúp chúng tôi thực hiện Zero Trust ở tầng access. Chúng tôi vẫn cần IdP + SIEM + endpoint để hoàn chỉnh.”
4. “ZTNA thay hoàn toàn firewall”
Sai. ZTNA thay VPN cho truy cập chiều vào (ingress). Firewall vẫn cần cho traffic network nội bộ, đông-tây, hoặc giữa phân đoạn. ZTNA là một lớp thêm, không phải lớp thay.
Cách nói đúng: “ZTNA giảm phụ thuộc vào VPN. Firewall và phân đoạn vi mô vẫn cần cho traffic đông-tây.”
5. “Vendor X là Zero Trust vendor”
Không có nghĩa gì. Zero Trust là một tập hợp nguyên tắc, nhiều nhà cung cấp cùng tự nhận triển khai một phần. Okta là Zero Trust identity. Cloudflare là Zero Trust access/network. CrowdStrike là Zero Trust endpoint. Mỗi nhà cung cấp chỉ phụ trách một phần.
Cách nói đúng: “Cloudflare là một nhà cung cấp Zero Trust access”, thêm định từ để rõ lớp nào.
Đánh đổi: dùng thuật ngữ nào trong tài liệu của bạn
Có một số đánh đổi thực tế khi chọn thuật ngữ:
| Quyết định | Dùng “Zero Trust” | Dùng “SASE” | Dùng “SSE” | Dùng “ZTNA” | Khuyến nghị |
|---|---|---|---|---|---|
| Trong tiêu đề tài liệu cấp điều hành | Rộng, dễ đồng thuận | Cụ thể hơn | Chưa phổ biến với lãnh đạo không bảo mật | Quá hẹp | Zero Trust nếu đối tượng cấp cao, SASE/SSE nếu đối tượng bảo mật |
| Trong RFP | Quá rộng, nhà cung cấp sẽ chào đủ thứ | Thu hút cả nhà cung cấp network | Tập trung nhà cung cấp bảo mật | Tập trung nhà cung cấp ZTNA riêng | SSE nếu phạm vi = security layer, ZTNA nếu chỉ cần thay VPN |
| Trong design doc kỹ thuật | Quá khái niệm, cần định từ | Ổn nếu dự án đa tầng | Ổn nếu dự án chỉ về bảo mật | Ổn cho cấp thành phần | Dùng từ hẹp nhất có thể |
| Trong tiếp thị/blog | Phổ biến, SEO tốt | Phổ biến, SEO tốt | Mới, ít người tìm kiếm | Ngách, đối tượng hẹp | Zero Trust hoặc SASE cho độ phủ, ZTNA/SSE cho độ chính xác |
Nguyên tắc mình dùng: dùng từ hẹp nhất mà vẫn chính xác. Hẹp nghĩa là rõ phạm vi, rõ người chịu trách nhiệm, rõ ngân sách.
Các cụm từ dễ nhầm khác
Ngoài bốn thuật ngữ chính, trong thực tế còn vài cụm bạn có thể gặp:
- Zero Trust Architecture (ZTA): kiến trúc tham chiếu của NIST SP 800-207. Nói về cùng khái niệm Zero Trust nhưng chuẩn hóa theo NIST, nhiều khi xuất hiện trong tài liệu compliance. Thực tế, ZTA ≈ Zero Trust ở mức đủ dùng.
- ZTNA 2.0: thuật ngữ của Palo Alto Networks, chỉ ZTNA có thêm kiểm tra liên tục. Không phải Gartner định nghĩa, chỉ là tên tiếp thị.
- SSE vs SASE vs SSPM vs CNAPP: nếu bạn thấy mấy cụm SSPM (SaaS Security Posture Management) hoặc CNAPP (Cloud Native Application Protection Platform) xuất hiện trong cùng tài liệu với SSE/SASE, cần phân biệt: SSPM/CNAPP là cho posture khối lượng công việc cloud, không phải truy cập người dùng. Bài này không bàn tới chúng.
- Gartner Magic Quadrant cho SASE / SSE: Gartner có MQ riêng cho SASE (hợp nhất từ 2024) và cho SSE. Danh sách rút gọn nhà cung cấp dùng MQ tương ứng với phạm vi dự án.
Cách giải thích cho non-technical stakeholder
Khi trình bày với CFO, CIO không chuyên kỹ thuật, hoặc pháp chế/compliance, mình dùng phép ẩn dụ sau:
- Zero Trust là triết lý “đừng tin ai mặc định, kiểm tra mọi lần”. Giống chính sách bảo mật của ngân hàng.
- SASE là kết hợp “đường đi” (network) và “cổng gác” (security) trong một gói. Giống chuyển từ thuê riêng đường cao tốc + công ty bảo vệ sang một nhà cung cấp cung cấp cả hai.
- SSE là chỉ “cổng gác”. Đường cao tốc bạn vẫn dùng của người khác.
- ZTNA là một loại cổng gác mới, thay cổng cũ (VPN) bằng cổng theo từng cửa (theo từng app).
Ẩn dụ không hoàn hảo nhưng đủ để lãnh đạo hiểu phạm vi và ngân sách.
Danh sách kiểm tra: trước khi dùng thuật ngữ trong tài liệu
Trước khi bạn ghi “Zero Trust” / “SASE” / “SSE” / “ZTNA” vào tiêu đề, tóm tắt, hoặc bất kỳ phần chính nào:
- Bạn có định nghĩa thuật ngữ đó ở lần xuất hiện đầu tiên trong tài liệu không?
- Thuật ngữ đó có khớp với phạm vi dự án không (không quá rộng, không quá hẹp)?
- Nếu nhà cung cấp đọc tài liệu này, họ có chào đúng thứ bạn cần không?
- Nếu một kỹ sư junior đọc, họ có biết đây là khái niệm hay sản phẩm không?
- Người chịu trách nhiệm đã rõ chưa? (Zero Trust liên chức năng, SSE do bảo mật dẫn dắt, SASE bảo mật + network cùng dẫn dắt)
- Có phụ thuộc vào tính năng nào mà thuật ngữ đó ngầm bao gồm nhưng bạn thực sự không muốn không? (ví dụ dùng “SASE” mà không muốn SD-WAN)
- Thuật ngữ đó có thay đổi trong 12-24 tháng gần nhất không? (Gartner hay tách/nhập danh mục: kiểm tra MQ mới nhất)
Nếu trả lời “không” hoặc “không chắc” cho 3+ câu, cân nhắc dùng thuật ngữ hẹp hơn hoặc định nghĩa rõ hơn trước khi nộp.
Bài học thực tế
Một số quan sát sau vài lần làm design doc và RFP với các thuật ngữ này:
- “Dự án Zero Trust” không bao giờ phạm vi được rõ. Nếu bạn định đặt tên dự án là “Dự án Zero Trust”, đổi thành “Dự án thay VPN” hoặc “Dự án triển khai SWG” để có sản phẩm bàn giao đo được.
- Lãnh đạo thích từ “Zero Trust”, kỹ sư thích từ “ZTNA”. Tài liệu cùng dự án có thể dùng “Zero Trust” trong tóm tắt cho lãnh đạo và “ZTNA” trong phần kỹ thuật. Không sai, chỉ cần nhất quán.
- “RFP SASE” thu hút nhà cung cấp lẫn lộn. Nếu bạn chỉ cần SSE, viết RFP SSE. Nếu viết SASE, nhà cung cấp SD-WAN (Cisco, VMware, Aruba) sẽ chào và bạn mất thời gian lọc.
- Thuật ngữ trôi giữa các nhóm. Nhóm bảo mật dùng một từ, nhóm network dùng từ khác, đối tác tư vấn dùng từ thứ ba. Dành 15 phút mỗi quý rà soát bộ từ vựng giữa các nhóm: rẻ hơn nhiều so với chi phí của lệch quan điểm.
Kết luận
Bốn thuật ngữ này có nguồn gốc và phạm vi khác nhau, không phải từ đồng nghĩa:
- Zero Trust: nguyên tắc thiết kế, rộng nhất, liên chức năng.
- SASE: danh mục nền tảng, gộp security + network.
- SSE: phần security của SASE, không bao gồm network.
- ZTNA: một danh mục sản phẩm thuộc SSE, thay VPN cho truy cập ứng dụng nội bộ.
Khi viết tài liệu, nguyên tắc mình theo: dùng từ hẹp nhất vẫn chính xác. Hẹp nghĩa là rõ phạm vi, rõ người chịu trách nhiệm, rõ ngân sách. Dùng từ rộng chỉ khi bạn cần độ phủ (tiếp thị, tóm tắt cho lãnh đạo) hoặc khi phạm vi thật sự rộng.
Nếu phải chọn một câu để nhớ:
Zero Trust là nguyên tắc. SASE là sản phẩm kiến trúc. SSE là SASE không kèm SD-WAN. ZTNA là thay VPN.
Trong Part 3 mình sẽ đi sâu vào mô hình tư duy Client → Identity → Policy → Resource, khung tư duy để ánh xạ mọi tính năng Cloudflare One vào đúng vị trí kiến trúc.
Tài liệu tham khảo
- Gartner, Definition of SASE
- Gartner, Definition of SSE
- NIST SP 800-207, Zero Trust Architecture
- Cloudflare, What is Zero Trust?
- Cloudflare, What is SASE?
- Forrester, Zero Trust Model (original, John Kindervag)
Trong series này:
