Iworld.com.vn – Lí do tại sao SD-WAN cần tích hợp chức năng “network” và “security”.
Một nhược điểm chung mà hầu hết các giải pháp SD-WAN đều mắc phải là chúng giải quyết các nhu cầu kết nối WAN một cách biệt lập. Điều này không phải là vấn đề duy nhất. Một trong những thách thức lớn nhất mà các tổ chức trong quá trình chuyển đổi kỹ thuật số phải đối mặt là mỗi phần tử network có xu hướng được thiết kế và triển khai riêng biệt. Mặc dù cách tiếp cận này dẫn đến một số sai sót, nhưng sai sót nghiêm trọng hơn cả là tác động của nó đến vấn đề “security” – bảo mật.
Một trong những chức năng quan trọng nhất với “security” là khả năng hiển thị mở rộng trên toàn bộ mạng phân tán (distributed network). Việc triển khai các giải pháp security riêng biệt trong mỗi phần tử khác nhau của network sẽ làm các tài nguyên khác bị tách biệt và khiến giải pháp bảo mật khó có thể nhận thấy, tương quan cũng ứng phản ứng lại với các mối đe dọa trong hệ thống.
Trong khi các mô hình kết nối WAN hub-and-speak (tạm dịch: mô hình tối ưu hóa mạng lưới) truyền thống chắc chắn có những thiếu sót riêng, nhưng chúng vẫn cho phép tất cả lưu lượng truy cập được scan và bảo mật bằng bảo mật được triển khai tập trung (centrally deployed security). Khi bạn thay các kết nối MPLS tĩnh (static MPLS) bằng kết nối linh hoạt tận dụng mạng công cộng (public network) và bắt đầu hỗ trợ các liên kết trực tiếp đến internet và ứng dụng SaaS, bạn sẽ chuyển mọi vấn đề bảo mật sang thiết bị SD-WAN.
Vấn đề ở đây là hầu hết các thiết bị SD-WAN cung cấp ít chức năng hơn cả những firewall (tạm dịch: tường lửa) cực kỳ cơ bản. Điều này có nghĩa là các dữ liệu quan trọng của bạn sẽ không còn được các dịch vụ bảo mật bảo vệ nữa, chẳng hạn như IPS, lọc web (web filtering), chống vi-rút (antivirus), chống phần mềm độc hại (anti-malware), và sandbox. Nếu muốn sử dụng những dịch vụ đó, bạn phải thêm chúng dưới dạng overlay (tạm dịch: lớp phủ). Điều này có thể sẽ tăng thêm chi phí đáng kể cho đội ngũ công nghệ thông tin (IT) của bạn, do quá trình thiết kế, triển khai giải pháp, bảo trì, bổ sung và sử dụng bàn điều khiển (console) quản lý quá riêng biệt. Và nếu không được thực hiện đúng cách, nó có thể sẽ tách bảo mật WAN khỏi security architecture (tạm dịch: kiến trúc bảo mật), cả ở trong và ngoài của sự hiện diện multi-cloud (tạm dịch: đa đám mây) của bạn.
Nhưng đó chỉ mới là một phần của vấn đề.
Quản lý kết nối SD-WAN trên một nền tảng không đáng tin cậy (giả dụ như Internet công cộng) đòi hỏi phải quản lý một lượng lớn các kết nối tinh vi. Cần có một hệ thống dự phòng để có thể chuyển đổi dự phòng ngay lập tức. Các liên kết có độ tin cậy không cao cần phải được thay thế nhanh chóng, kể cả trong live connection (tạm dịch: kết nối trực tiếp). Và các công cụ quản lý lưu lượng phải liên tục phát hiện được các yêu cầu về bandwidth (tạm dịch: băng thông) của ứng dụng và mức độ ưu tiên các kết nối khác nhau để liên tục thực hiện micro-adjustment (tạm dịch: điều chỉnh vi mô), nhằm hỗ trợ các ứng dụng latency-sensitive (tạm dịch: nhạy cảm với độ trễ) như unified communication (tạm dịch: truyền thông hợp nhất).
Kết nối SD-WAN yêu cầu end-to-end security (tạm dịch: bảo mật đầu cuối) không chỉ đơn giản là để mã hóa dữ liệu. Giao tiếp giữa văn phòng chi nhánh (branch office) và ứng dụng cloud-based (tạm dịch: dựa trên đám mây) yêu cầu kiểm tra dữ liệu ở cả hai đầu của kết nối. Để tránh những lỗ hổng trong việc triển khai và thực thi chính sách, các giải pháp bảo mật cloud cần phải hoàn toàn tương thích với các giải pháp đang chạy tại branch (tạm dịch: phân nhánh). Các ứng dụng không những cần được xác định và quản lý để tối ưu hóa hiệu suất, mà bảo mật cũng cần phải xem và hiểu các ứng dụng đó để áp dụng được các mức bảo mật phù hợp. Ngoài ra, giải pháp môi giới bảo mật dựa trên đám mây (cloud access security broker – CASB) nên được định vị giữa người dùng và cloud để bảo mật quyền truy cập vào các ứng dụng và tài nguyên trên cloud, đồng thời cung cấp khả năng hiển thị và kiểm soát. Cuối cùng, các giải pháp bảo mật đám mây (cloud security solution) cũng cần được định vị trong chính internet để cung cấp khả năng mở rộng theo thời gian thực cho các ứng dụng.
Nhưng có lẽ yếu tố cần thiết nhất là sự tích hợp chặt chẽ giữa chức năng “network” của SD-WAN với “security”. Thật không may, khi bảo mật được triển khai dưới dạng overlay, điều tốt nhất mà nó có thể làm là phản ứng với những thay đổi trong network. Điều này có thể sẽ tốt cho các kết nối cơ bản với data center (tạm dịch: trung tâm dữ liệu) cốt lõi, nhưng nếu bảo mật những thứ như ứng dụng SaaS hoặc truy cập dữ liệu nhạy cảm thì lại là một vấn đề khác. Lag time (tạm dịch: thời gian trễ) giữa thay đổi network và remap (tạm dịch: ánh xạ) lại để phù hợp với cấu hình mới có thể tạo ra security gap (tạm dịch: khoảng trống bảo mật) – có thể được dự đoán và khai thác. Vấn đề này là một phức tạp khá lớn, bởi những thay đổi như vậy từng giây trôi qua đều có thể xảy ra những thâm nhập không lường trước.
Thay vì triển khai “security” dưới dạng overlay, thì chỉ cần tích hợp nó với chức năng “networking” của chính giải pháp SD-WAN. Khi các kết nối mới được tạo, các chính sách bảo mật sẽ được xây dựng và triển khai thành một phần của quy trình. Khi network thay đổi, security sẽ tự động điều chỉnh như một phần của protocol (tạm dịch: giao thức). Và, nếu một kết nối hoặc điều chỉnh mới ảnh hưởng đến chính sách bảo mật, thì yếu tố bảo mật tích hợp có thể ngăn chặn được sự thay đổi đó.
Khả năng tương tác sâu giữa “security” và các chức năng “network” là dấu hiệu nổi bật của thế hệ bảo mật tiếp theo, hay còn lại security-driven networking (tạm dịch: mạng theo hướng bảo mật). Bằng cách kết hợp các hệ thống cũ riêng biệt này thành một giải pháp duy nhất, các tổ chức có thể đạt được khả năng hiển thị và kiểm soát cần thiết, thực sự bảo mật được toàn bộ cơ sở hạ tầng của họ. Và khi machine learning (tạm dịch: học máy) và AI (tạm dịch: trí tuệ nhân tạo) trở thành một phần của giải pháp, chúng ta sẽ nhận ra loại mạng lưới tự bảo vệ (self-defending network), tự phục hồi (self-healing network) mà chúng ta đang chờ đợi.
Các giải pháp bảo mật mới của SD-WAN là một giải pháp hoàn hảo để bắt đầu việc này. Tích hợp sâu giữa kết nối và bảo mật cho các giải pháp hoàn chỉnh được phép triển khai liền mạch và đơn giản, trong khi các chức năng “networking” và “security” có thể được quản lý đồng thời bằng cách sử dụng một ô duy nhất của hệ thống quản lý glass management system, giúp giảm chi phí, tăng hiệu suất và tính năng bảo mật, đồng thời mở đường cho thế hệ bảo mật tiếp theo phát triển.
Biên dịch bởi Thy Thy – Iworld.com.vn