Microsoft Global Secure Access: Thay thế VPN, lọc web và bảo vệ AI với Security Service Edge

Chào các bạn!

Câu chuyện quen thuộc: nhân viên làm remote, mở VPN để vào hệ thống nội bộ, app chạy chậm, IT phàn nàn VPN tắc nghẽn, security team không thấy gì cả ngoài “đã kết nối VPN”.

Hoặc ngược lại: không có VPN, nhân viên truy cập thẳng internet từ laptop công ty, IT không biết họ đang dùng ChatGPT để paste dữ liệu khách hàng, hay đang vào site độc hại.

Microsoft Global Secure Access (GSA) là câu trả lời của Microsoft cho cả hai vấn đề, không phải bằng cách vá VPN cũ, mà bằng cách xây lại hoàn toàn theo mô hình Security Service Edge (SSE) với identity làm trung tâm.

Global Secure Access là gì

Security Service Edge (SSE) là thế hệ mới của network security, thay vì dùng perimeter cứng (firewall, VPN), SSE đưa security lên cloud và kiểm soát dựa trên identity + context, không phải IP.

Global Secure Access là SSE solution của Microsoft, gồm hai sản phẩm chính:

┌─────────────────────────────────────────────────────┐
│              GLOBAL SECURE ACCESS                   │
│                                                     │
│  ┌──────────────────────┐  ┌──────────────────────┐ │
│  │  Microsoft Entra     │  │  Microsoft Entra     │ │
│  │  INTERNET ACCESS     │  │  PRIVATE ACCESS      │ │
│  │                      │  │                      │ │
│  │  • Secure Web        │  │  • VPN replacement   │ │
│  │    Gateway (SWG)     │  │  • ZTNA per-app      │ │
│  │  • Web filtering     │  │  • Quick Access      │ │
│  │  • Threat intel      │  │  • TCP/UDP support   │ │
│  │  • Shadow AI detect  │  │  • No legacy VPN     │ │
│  └──────────────────────┘  └──────────────────────┘ │
│                                                     │
│  Powered by Microsoft WAN: 70 regions, 190+ PoPs   │
└─────────────────────────────────────────────────────┘

Cả hai đều tích hợp sâu với Microsoft Entra ID, nghĩa là mọi chính sách Conditional Access, MFA, risk-based access bạn đã cấu hình đều áp dụng được cho network traffic, không chỉ cho app login.

Điều kiện cần

Yêu cầu	Chi tiết
License Internet Access	Microsoft Entra Suite hoặc standalone Internet Access
License Private Access	Microsoft Entra Suite hoặc standalone Private Access
License Microsoft traffic	Entra ID P1 hoặc P2 (đã bao gồm)
Entra ID P1/P2	Bắt buộc cho tất cả user dùng GSA
Client OS	Windows 10/11, macOS, iOS, Android
Quyền admin	Global Admin hoặc Security Admin

Tip về license: Nếu đã có Microsoft 365 E5 (kèm Entra ID P2), bạn đã có sẵn phần Microsoft traffic profile, Internet Access for Microsoft Services mà không cần mua thêm. Đây là điểm bắt đầu tốt nhất để thử GSA mà không tốn thêm chi phí.

Phần 1: Microsoft Entra Internet Access

Secure Web Gateway (SWG) dựa trên identity

Thay vì filter traffic theo IP hay subnet, GSA filter theo user identity:

• User A (nhân viên) → cho phép YouTube nhưng block social media
• User B (developer) → cho phép GitHub, Stack Overflow, không block gì thêm
• User C (Finance) → block mọi upload file lên cloud storage cá nhân

Tất cả policy đều gắn với Entra ID user account, không phải địa chỉ IP.

Web content filtering

1. Entra admin center → Global Secure Access → Secure → Web content filtering policies
2. + Create policy
3. Chọn categories cần block:

Category	Gợi ý
Malware sites	Block tất cả
Phishing	Block tất cả
Adult content	Block theo policy công ty
Social networks	Block hoặc report-only tùy team
Gambling	Block theo policy
Generative AI	Monitor trước (xem phần Shadow AI bên dưới)

4. Assign policy đến user group hoặc toàn bộ tổ chức

Threat intelligence filtering

GSA tích hợp Microsoft Threat Intelligence để tự động block:

• Domain độc hại đã biết
• IP trong các botnet feed
• C2 (Command & Control) servers của malware

5. Secure → Threat intelligence → bật Enable threat intelligence

Từ thực tế: Threat intelligence trong GSA dùng cùng feed với Microsoft Defender, nên nếu đã có Defender for Endpoint, level bảo vệ ở đây tương đương. Điểm khác: GSA block ngay ở network layer, Defender block ở endpoint layer có cả hai thì defense-in-depth tốt hơn.

Shadow AI discovery tính năng mình thấy thực tế nhất

Đây là tính năng mình thấy có giá trị nhất với doanh nghiệp hiện tại.

GSA detect và log tất cả AI tools nhân viên đang dùng, kể cả những thứ IT không biết:

• ChatGPT, Claude, Gemini, Perplexity
• AI coding tools: GitHub Copilot, Cursor, Tabnine
• AI trong productivity apps
• Bất kỳ SaaS nào có AI feature

6. Insights → Shadow AI

Từ đây bạn có thể:

• Thấy được ai đang dùng AI gì và dùng như thế nào
• Block các tool chưa được approve
• Tạo allowlist cho tools đã qua review bảo mật
• Export report cho management

Đây là vấn đề thực tế: Mình hay thấy các công ty nghĩ rằng nhân viên không dùng AI ngoài tool chính thức. Sau khi bật Shadow AI discovery, kết quả thường là 30 – 60% nhân viên đang dùng ít nhất một AI tool chưa được IT biết đến.

Prompt injection protection

Tính năng mới (2025–2026): GSA có thể detect và block các request chứa prompt injection trước khi tới AI service:

7. Secure → Web content filtering → tìm category AI prompt injection
8. Set action: Block hoặc Alert

Phần 2: Microsoft Entra Private Access thay thế VPN

Vấn đề với VPN truyền thống

VPN cấp quyền truy cập toàn bộ network sau khi connect, attacker chiếm được một laptop là có thể đi lateral movement khắp nơi. Private Access thay bằng per-app access: mỗi ứng dụng nội bộ được expose riêng, user chỉ access được app được assign, không thấy phần còn lại của network.

Quick Access cách bắt đầu nhanh nhất

Quick Access cho phép định nghĩa dải IP hoặc FQDN nội bộ mà user có thể truy cập tương tự split tunnel VPN nhưng identity-aware:

1. Global Secure Access → Applications → Quick Access
2. + Add Quick Access application segment
3. Nhập:
   • IP ranges: ví dụ 192.168.1.0/24 (server internal)
   • FQDNs: ví dụ *.internal.company.com
   • Ports: chỉ định port cụ thể nếu cần (TCP 443, UDP 3389…)
4. Assign cho user group cụ thể qua Conditional Access

Per-app access mức kiểm soát chi tiết nhất

Thay vì Quick Access (toàn bộ subnet), Per-app tạo từng app riêng:

5. Applications → Enterprise applications → + New application → Global Secure Access application
6. Cấu hình:
   • App name: ERP Internal, HR Portal, Dev Server
   • Target: IP + port cụ thể (ví dụ 10.0.1.50:8080)
   • Protocol: TCP/UDP
7. Assign Conditional Access policy riêng cho từng app

So sánh với VPN: VPN cấp quyền vào cả network → attacker chiếm laptop = game over. Private Access cấp quyền vào đúng app → chiếm laptop nhưng không thể lateral movement sang app khác vì không có route.

Private Network Connector

Connector là bridge giữa cloud GSA và network nội bộ, cài trên Windows Server trong data center hoặc Azure VM:

8. Global Secure Access → Connect → Connectors → Download connector
9. Cài lên Windows Server 2016+ trong mạng nội bộ
10. Server tự register với Entra ID, không cần mở inbound port nào

Lưu ý quan trọng: Connector chỉ cần outbound HTTPS (443) ra internet không cần mở firewall inbound. Điều này làm cho deployment dễ hơn nhiều so với VPN gateway truyền thống.

Phần 3: Universal Conditional Access điểm mạnh nhất

Đây là thứ phân biệt GSA với các SSE solution khác.

Conditional Access thông thường chỉ áp dụng khi user login vào app tích hợp Entra ID.

Universal Conditional Access áp dụng cho mọi internet destination kể cả các site không có federated login:

Ví dụ:
- Truy cập github.com → yêu cầu MFA (dù GitHub không federated với Entra)
- Truy cập từ thiết bị không compliant → block, dù site đó không biết gì về Intune
- IP ngoài Việt Nam → block, ngay cả khi truy cập internet bình thường

11. Entra admin center → Protection → Conditional Access → + New policy
12. Cloud apps or actions → All internet resources with Global Secure Access
13. Cấu hình conditions và grant như CA policy thông thường

Universal Tenant Restrictions

Chặn nhân viên login vào tenant Entra ID khác bằng tài khoản cá nhân:

• Cho phép: @company.com đăng nhập vào company.onmicrosoft.com
• Block: @gmail.com hoặc bất kỳ Entra tenant khác

14. Global Secure Access → Settings → Tenant restrictions
15. Thêm tenant IDs được phép, block tất cả còn lại

Phần 4: Deploy client

Windows client

16. Global Secure Access → Connect → Client download → download MSI
17. Deploy qua Intune:
    • Devices → Windows → Configuration profiles → Win32 app
    • Hoặc script PowerShell qua Intune

Verify traffic đang đi qua GSA

// Kiểm tra traffic logs trong Entra admin center
// Global Secure Access → Monitor → Traffic logs
// Filter theo user cụ thể để verify

18. Monitor → Traffic logs
19. Filter theo username → thấy traffic đang được routed qua GSA

Bảng so sánh: GSA vs VPN truyền thống

Tiêu chí	VPN truyền thống	Microsoft GSA
Mô hình truy cập	Toàn bộ network	Per-app / per-resource
Identity awareness	Không (chỉ biết IP)	Có, gắn với Entra ID user
Conditional Access	Không áp dụng cho network	Universal CA cho mọi destination
Performance	Backhaul về HQ	Thoát thẳng từ Microsoft PoP gần nhất
Lateral movement risk	Cao	Thấp, user chỉ thấy app được assign
Visibility	Log VPN connect/disconnect	Full traffic log với user, device, destination
Shadow AI detection	Không	Có
Deployment	Cần VPN gateway, firewall rules	Chỉ cần Connector (outbound only)

Bảng license tóm tắt

Tính năng	Entra P1/P2	Internet Access	Private Access
Microsoft traffic profile	✅	✅	✅
Compliant network check	✅	—	—
Universal Tenant Restrictions	✅	—	—
Web content filtering	—	✅	—
Threat intelligence	—	✅	—
Shadow AI discovery	—	✅	—
Prompt injection protection	—	✅	—
VPN replacement (ZTNA)	—	—	✅
Quick Access	—	—	✅
Per-app TCP/UDP	—	—	✅

Internet Access và Private Access đều có trong Microsoft Entra Suite.

Tài liệu tham khảo

• What is Global Secure Access?
• Microsoft Entra Internet Access overview
• Microsoft Entra Private Access overview
• Web content filtering
• Shadow AI discovery
• Microsoft Entra Suite pricing

---

Bạn đang dùng VPN gì hiện tại và đang gặp vấn đề gì với nó? Comment bên dưới, mình muốn biết use case thực tế để viết thêm bài chi tiết về migration từ VPN sang GSA.

Long Tran | khongkho.com