Đảm bảo an ninh mạng SDN

NB| 08/09/2016 10:20
Theo dõi ICTVietnam trên

Vấn đề an ninh mạng đang trở thành mối quan tâm chính của các nhà mạng, khi mà việc triển khai mạng điều khiển bằng phần mềm SDN (Software-Defined Networking) đang gia tăng. Mặc dù SDN cung cấp tính linh hoạt và hiệu quả cho các nhà khai thác nhưng khả năng bảo mật không phải là thế mạnh của công nghệ này. Mạng SDN có thể bị tấn công tại mỗi thành phần mạng và do vậy tồn tại những thách thức an ninh mà các nhà mạng nên lưu ý khi triển khai công nghệ này.

Công nghệ SDN dựa trên các tiêu chuẩn mở giúp mở rộng hạ tầng cơ sở, phần mềm điều khiển và các lớp ứng dụng với một “mặt phẳng điều khiển duy nhất”, cho phép các doanh nghiệp và các nhà cung cấp dịch vụ điện toán đám mây đơn giản hóa và linh hoạt trong việc triển khai mạng - từ trung tâm dữ liệu tới các mạng nhánh.

Mạng điều khiển bằng phần mềm SDN là một cách tiếp cận mới trong việc thiết kế, xây dựng và quản lý hệ thống mạng. Về cơ bản, SDN chia tách độc lập hai thành phần hiện đang tồn tại trong cùng một thiết bị mạng: thành phần điều khiển (Control Plane), thành phần chuyển tiếp dữ liệu (Data Plane) để có thể tối ưu hoạt động của hai cơ chế này. Cụ thể, Data Plane thuộc về phần cứng mạng nhưng Control Plane sẽ được thực thi thông qua phần mềm. Việc tách này cho phép mạng có thể hoạt động một cách ảo hóa.

Kiến trúc của SDN

Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), Lớp điều khiển (Control Layer) và Lớp hạ tầng cơ sở (Infrastructure Layer).

Lớp hạ tầng cơ sở là lớp vật lý của hệ thống mạng, bao gồm thiết bị mạng và các liên kết giữa chúng. Tại đây, dữ liệu sẽ được chuyển tiếp nhanh dựa trên những chỉ thị từ tầng điều khiển thông qua giao thức OpenFlow.

Lớp điều khiển có vai trò cung cấp API để có thể xây dựng các ứng dụng cho hệ thống mạng; và thu nhận thông tin từ hệ thống mạng vật lý, điều khiển hệ thống mạng vật lý.

Lớp ứng dụng: Từ các API được cung cấp từ lớp điều khiển, người sử dụng có thể lập trình hoạt động cho hệ thống mạng để tối ưu hoạt động theo một yêu cầu nhất định.

Với SDN, việc điều khiển được tập trung tại Lớp điều khiển, các thiết bị mạng chỉ có nhiệm vụ chuyển tiếp gói tin, do đó sự khác biệt giữa những nhà sản xuất không ảnh hưởng tới toàn hệ thống mạng. 

Những thách thức an ninh khi triển khai SDN

Thực tế cho thấy, việc bảo vệ dữ liệu theo cách thông thường đã lỗi thời. Phương pháp bảo mật đơn giản với việc triển khai tường lửa là không đủ để bảo vệ dữ liệu trong tình hình an ninh hiện nay. Trong khi nhiều nhà khai thác đang triển khai thành công những ứng dụng bảo mật mới để chống lại các cuộc tấn công không gian mạng, thì tiêu chuẩn Openflow không được chỉ định để giải quyết vấn đề này, mà chấp nhận đưa ra các vùng xám nhằm tạo ra vùng không quản lý an ninh trong mạng.

Phiên bản tiêu chuẩn Openflow đầu tiên yêu cầu các thiết bị mạng SDN sử dụng mã hóa TLS (Transport Layer Security) và xác thực CA (certificate authentication). Tuy nhiên, điều này không phải là một yêu cầu bắt buộc trong các tiêu chuẩn mới nhất và do vậy đã làm giảm tính an toàn của SDN. Một thách thức khác của tiêu chuẩn OpenFlow là yêu cầu nguồn nhân lực am hiểu và thành thạo trong việc quản lý các vấn đề lên quan đến xác thực CA, cơ sở hạ tầng khóa công khai và các khóa mã hóa. Trên thực tế, để có một đội ngũ nhân lực hiểu biết về tất cả những điều này là một thách thức không nhỏ đối với các nhà mạng. 

Theo mặc định, SDN được cấu hình và tương thích với nhiều chuẩn mở/nhà cung cấp. Việc thực hiện công tác vận hành hệ thống không tốt có thể tác động tiêu cực trên mọi kiến trúc, trong đó có nhiều thành phần mạng, bao gồm cả mặt phẳng điều khiển (control plane) và mặt phẳng dữ liệu (data plane). Bằng cách truy cập vào control plane, tin tặc có khả năng cấu hình lại mạng và định tuyến lại các luồng dữ liệu người dùng. Do đó, các nhà khai thác nên tập trung phân lớp các giải pháp bảo mật từ nhiều nhà cung cấp để giảm các tác động tới mạng lưới hoặc hệ thống khi dữ liệu của một nhà cung cấp bị xâm phạm.

Ngăn chặn các cuộc tấn công mạng trong một môi trường luôn thay đổi

Các nhà mạng và các nhà cung cấp bảo mật cần phải phối hợp chặt chẽ hơn nhằm đưa ra cách thức tốt nhất để tạo các tuyến đáng tin cậy và cho phép mở rộng quy mô mạng một cách an toàn.

Có một thực tế là một số vi phạm dữ liệu có thể xảy ra nhưng với dữ liệu nhạy cảm thì cần được đảm bảo an toàn tuyệt đối. Vì vậy, những dữ liệu này cần được bảo vệ trong suốt toàn bộ vòng đời, không cần biết chúng được lưu trữ ở đâu, và đảm bảo được mã hóa để các kẻ tấn công không nhận biết được giá trị của dữ liệu khi tiến hành tấn công mạng. Tuy nhiên, mã hóa chỉ là một phần của giải pháp. Để bảo vệ các mạng SDN, các nhà khai thác mạng cần đảm bảo an ninh nhiều lớp, bao gồm tăng cường kiểm soát lưu lượng, xác thực đa yếu tố và các thiết bị chuyên dụng.

Ngoài ra, các nhà khai thác sẽ cần có sự tin cậy đối với các thiết bị mạng lưới và chắc chắn là các chính sách của họ đã được chứng thực số và không bị giả mạo. Tin tặc có thể dễ dàng truy cập vào dữ liệu thông qua một thiết bị mạng mà được cấu hình bảo mật kém hoặc được cấu hình giữ nguyên theo các tham số mặc định. Mô đun bảo mật phần cứng HSM (Hardware Security Modules) có thể được sử dụng để cung cấp một tuyến tin cậy, nhằm thực hiện bảo mật, lưu trữ và quản lý các khóa bảo mật để chỉ có những người có quyền mới truy nhập được. Đầu tư vào một chiến lược quản lý khóa bảo mật dựa trên tiêu chuẩn sẽ cho phép các nhà khai thác hạn chế quyền truy cập vào các khóa, xác định cách các khóa đó được phát hành và phân phối, và cung cấp sự bảo vệ trong quá trình lưu trữ chúng.

Một tư duy mới cho an ninh SDN

Chiến lược an ninh truyền thống tập trung vào bảo mật vật lý, nhưng với những mạng SDN thì không còn khái niệm về liên kết vật lý nữa. Hiện nay, việc bảo vệ an ninh là phải bảo đảm các phần mềm chạy trên các thiết bị mạng được xác nhận và việc thay đổi cấu hình được xác thực bởi nhà khai thác. Do đó, các phương pháp an ninh mới cần được dựa trên việc thiết lập tốt các quy tắc - như kiểm soát truy cập và tính bí mật của dữ liệu - và sử dụng các công cụ bao gồm mã hóa, xác thực và quản lý khóa.

Với các mối đe dọa đang thay đổi hàng ngày, các quy tắc an ninh truyền thống không đủ để đảm bảo an ninh an toàn. Do đó, các nhà khai thác cần phải liên tục cảnh giác và thực hiện biện pháp an ninh năng động trên tất cả các lớp mạng để bảo đảm an toàn dữ liệu, bảo vệ mạng lưới cho dù có hay không xảy ra một vi phạm dữ liệu. 

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Đảm bảo an ninh mạng SDN
POWERED BY ONECMS - A PRODUCT OF NEKO