Đảm bảo an ninh mạng SDN

Công nghệ SDN dựa trên các tiêu chuẩn mở giúp mở rộng hạ tầng cơ sở, phần mềm điều khiển và các lớp ứng dụng với một “mặt phẳng điều khiển duy nhất”, cho phép các doanh nghiệp và các nhà cung cấp dịch vụ điện toán đám mây đơn giản hóa và linh hoạt trong việc triển khai mạng - từ trung tâm dữ liệu tới các mạng nhánh.

Mạng điều khiển bằng phần mềm SDN là một cách tiếp cận mới trong việc thiết kế, xây dựng và quản lý hệ thống mạng. Về cơ bản, SDN chia tách độc lập hai thành phần hiện đang tồn tại trong cùng một thiết bị mạng: thành phần điều khiển (Control Plane), thành phần chuyển tiếp dữ liệu (Data Plane) để có thể tối ưu hoạt động của hai cơ chế này. Cụ thể, Data Plane thuộc về phần cứng mạng nhưng Control Plane sẽ được thực thi thông qua phần mềm. Việc tách này cho phép mạng có thể hoạt động một cách ảo hóa.

Kiến trúc của SDN

Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), Lớp điều khiển (Control Layer) và Lớp hạ tầng cơ sở (Infrastructure Layer).

Lớp hạ tầng cơ sở là lớp vật lý của hệ thống mạng, bao gồm thiết bị mạng và các liên kết giữa chúng. Tại đây, dữ liệu sẽ được chuyển tiếp nhanh dựa trên những chỉ thị từ tầng điều khiển thông qua giao thức OpenFlow.

Lớp điều khiển có vai trò cung cấp API để có thể xây dựng các ứng dụng cho hệ thống mạng; và thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ thống mạng vật lý.

Lớp ứng dụng: Từ các API được cung cấp từ lớp điều khiển, người sử dụng có thể lập trình hoạt động cho hệ thống mạng để tối ưu hoạt động theo một yêu cầu nhất định.

Với SDN, việc điều khiển được tập trung tại Lớp điều khiển, các thiết bị mạng chỉ có nhiệm vụ chuyển tiếp gói tin, do đó sự khác biệt giữa những nhà sản xuất không ảnh hưởng tới toàn hệ thống mạng. 

Những thách thức an ninh khi triển khai SDN

Thực tế cho thấy, việc bảo vệ dữ liệu theo cách thông thường đã lỗi thời. Phương pháp bảo mật đơn giản với việc triển khai tường lửa là không đủ để bảo vệ dữ liệu trong tình hình an ninh hiện nay. Trong khi nhiều nhà khai thác đang triển khai thành công những ứng dụng bảo mật mới để chống lại các cuộc tấn công không gian mạng, thì tiêu chuẩn Openflow không được chỉ định để giải quyết vấn đề này, mà chấp nhận đưa ra các vùng xám nhằm tạo ra vùng không quản lý an ninh trong mạng.

Phiên bản tiêu chuẩn Openflow đầu tiên yêu cầu các thiết bị mạng SDN sử dụng mã hóa TLS (Transport Layer Security) và xác thực CA (certificate authentication). Tuy nhiên, điều này không phải là một yêu cầu bắt buộc trong các tiêu chuẩn mới nhất và do vậy đã làm giảm tính an toàn của SDN. Một thách thức khác của tiêu chuẩn OpenFlow là yêu cầu nguồn nhân lực am hiểu và thành thạo trong việc quản lý các vấn đề lên quan đến xác thực CA, cơ sở hạ tầng khóa công khai và các khóa mã hóa. Trên thực tế, để có một đội ngũ nhân lực hiểu biết về tất cả những điều này là một thách thức không nhỏ đối với các nhà mạng. 

Theo mặc định, SDN được cấu hình và tương thích với nhiều chuẩn mở/nhà cung cấp. Việc thực hiện công tác vận hành hệ thống không tốt có thể tác động tiêu cực trên mọi kiến trúc, trong đó có nhiều thành phần mạng, bao gồm cả mặt phẳng điều khiển (control plane) và mặt phẳng dữ liệu (data plane). Bằng cách truy cập vào control plane, tin tặc có khả năng cấu hình lại mạng và định tuyến lại các luồng dữ liệu người dùng. Do đó, các nhà khai thác nên tập trung phân lớp các giải pháp bảo mật từ nhiều nhà cung cấp để giảm các tác động tới mạng lưới hoặc hệ thống khi dữ liệu của một nhà cung cấp bị xâm phạm.

Ngăn chặn các cuộc tấn công mạng trong một môi trường luôn thay đổi

Các nhà mạng và các nhà cung cấp bảo mật cần phải phối hợp chặt chẽ hơn nhằm đưa ra cách thức tốt nhất để tạo các tuyến đáng tin cậy và cho phép mở rộng quy mô mạng một cách an toàn.

Có một thực tế là một số vi phạm dữ liệu có thể xảy ra nhưng với dữ liệu nhạy cảm thì cần được đảm bảo an toàn tuyệt đối. Vì vậy, những dữ liệu này cần được bảo vệ trong suốt toàn bộ vòng đời, không cần biết chúng được lưu trữ ở đâu, và đảm bảo được mã hóa để các kẻ tấn công không nhận biết được giá trị của dữ liệu khi tiến hành tấn công mạng. Tuy nhiên, mã hóa chỉ là một phần của giải pháp. Để bảo vệ các mạng SDN, các nhà khai thác mạng cần đảm bảo an ninh nhiều lớp, bao gồm tăng cường kiểm soát lưu lượng, xác thực đa yếu tố và các thiết bị chuyên dụng.

Ngoài ra, các nhà khai thác sẽ cần có sự tin cậy đối với các thiết bị mạng lưới và chắc chắn là các chính sách của họ đã được chứng thực số và không bị giả mạo. Tin tặc có thể dễ dàng truy cập vào dữ liệu thông qua một thiết bị mạng mà được cấu hình bảo mật kém hoặc được cấu hình giữ nguyên theo các tham số mặc định. Mô đun bảo mật phần cứng HSM (Hardware Security Modules) có thể được sử dụng để cung cấp một tuyến tin cậy, nhằm thực hiện bảo mật, lưu trữ và quản lý các khóa bảo mật để chỉ có những người có quyền mới truy nhập được. Đầu tư vào một chiến lược quản lý khóa bảo mật dựa trên tiêu chuẩn sẽ cho phép các nhà khai thác hạn chế quyền truy cập vào các khóa, xác định cách các khóa đó được phát hành và phân phối, và cung cấp sự bảo vệ trong quá trình lưu trữ chúng.

Một tư duy mới cho an ninh SDN

Chiến lược an ninh truyền thống tập trung vào bảo mật vật lý, nhưng với những mạng SDN thì không còn khái niệm về liên kết vật lý nữa. Hiện nay, việc bảo vệ an ninh là phải bảo đảm các phần mềm chạy trên các thiết bị mạng được xác nhận và việc thay đổi cấu hình được xác thực bởi nhà khai thác. Do đó, các phương pháp an ninh mới cần được dựa trên việc thiết lập tốt các quy tắc - như kiểm soát truy cập và tính bí mật của dữ liệu - và sử dụng các công cụ bao gồm mã hóa, xác thực và quản lý khóa.

Với các mối đe dọa đang thay đổi hàng ngày, các quy tắc an ninh truyền thống không đủ để đảm bảo an ninh an toàn. Do đó, các nhà khai thác cần phải liên tục cảnh giác và thực hiện biện pháp an ninh năng động trên tất cả các lớp mạng để bảo đảm an toàn dữ liệu, bảo vệ mạng lưới cho dù có hay không xảy ra một vi phạm dữ liệu.