Giao thức SDP sẽ thay thế VPN

Alissa Knight, người có ảnh hưởng lớn tới an ninh mạng và đối tác tại Knight Ink giải thích lý do tại sao các tổ chức nên chuyển sang SDP thay vì VPN. Cách tiếp cận này có thể giúp tăng cường vị thế an ninh mạng của họ.

Khi đại dịch buộc các công ty phải tiến xa, các công ty ngày càng phụ thuộc vào các VPN. Chiến lược đầy rủi ro này đã tác động đến các công ty như thế nào?

Thực tế của vấn đề là lịch sử đã chứng minh cho chúng ta thấy rằng các VPN rất dễ bị xâm phạm. Bản thân các VPN có những lỗ hổng trong mã khiến các cuộc tấn công truyền thống như chiếm tài khoản (ATO) đễ xảy ra khi không bật chế độ xác thực đa yếu tố (MFA).

Ngoài ra, đại dịch buộc các công ty phải nhanh chóng cung cấp các quyền VPN cho toàn bộ lực lượng lao động của mình. Trong trường hợp không có VPN tại chỗ còn phải triển khai các máy chủ sử dụng giao thức điều khiển từ xa (remote desktop protocol - RDP), điều này thậm chí còn tồi tệ hơn. Trên thực tế, từ khi bắt đầu đại dịch, nhiều vụ vi phạm gây xôn xao dư luận phần lớn là do việc sử dụng máy chủ RDP vốn dễ bị các cuộc tấn công brute force (đoán tên người dùng và mật khẩu) từ danh sách mật khẩu được mua từ các thị trường web đen.

Vào năm 2000, Alissa Knight đã từng công bố lỗ hổng đầu tiên trong việc hack VPN để mở danh sách gửi thư. Năm 2001, tại Blackhat Briefings, Alissa Knight công bố lỗ hổng thứ hai trong VPN. Tuy nhiên, 21 năm sau, các công ty tiếp tục dựa vào VPN để truy cập từ xa an toàn bất chấp các lỗ hổng của chúng.

SDP là giải pháp thay thế hiệu quả cho VPN

Các VPN không "thực sự" là giải pháp truy cập mạng zero trust (ZTNA - không tin cậy). Với các VPN, bạn phải giả định rằng thiết bị chạy VPN client không bị xâm phạm, tính năng phân chia đường hầm không được bật, xác thực đa yếu tố và mật khẩu của người dùng chưa bị xâm phạm. Hơn nữa, khi bạn được xác thực với mạng nội bộ phía sau VPN, bạn thường có quyền truy cập vào mọi máy chủ, máy in và nút mạng trên mạng nội bộ đó.

Các giải pháp của giao thức SDP "thực sự" là các giải pháp ZTNA. SDP không tin tưởng vào thiết bị, cơ sở hạ tầng, người dùng và dữ liệu. SDP thực thi hiệu quả việc "chứng minh cho tôi bạn là ai, sau đó chứng minh cho tôi rằng bạn có quyền truy cập vào máy chủ lưu trữ hoặc dữ liệu mà bạn đang yêu cầu quyền truy cập". 

Những giải pháp của SDP cũng không để lộ các dịch vụ với thế giới bên ngoài và triển khai gì được gọi là vi phân khúc (microsegmentation) được điều khiển bằng phần mềm.

Vi phân khúc đang sử dụng một mạng phẳng (flat network) lớn và "đang cắt" nó thành cộng đồng các nút, nơi quản trị viên có thể xác định các máy chủ có thể nói chuyện với cái gì và quan trọng hơn là người dùng có thể nói chuyện với cái gì, không có chuyện bạn là một nút được xác thực là có thể nói chuyện với bất kỳ nút nào trên mạng. SDP sẽ xác thực và ủy quyền cho mọi thứ và mọi người.

SDP có thể loại bỏ hoàn toàn lỗi của con người không?

Không có gì có thể loại bỏ được hoàn toàn lỗi của con người, nhưng nhiều biện pháp kiểm soát mà SDP cung cấp giúp "bảo vệ chúng ta khỏi chính chúng ta" mà VPN không thể mang lại.

Ví dụ, một số giải pháp SDP loại bỏ hoàn toàn mật khẩu của người dùng và chỉ dựa vào sinh trắc học (nhận dạng khuôn mặt). Điều này giúp các công ty không còn phải lo lắng về việc tiếp quản tài khoản và thay vào đó là thực thi "thứ gì đó bạn đang có" vì bạn phải xác thực bằng khuôn mặt trên điện thoại di động của mình. Mật khẩu cuối cùng đã biến mất!

SDP hoạt động như thế nào?

Alissa Knight giải thích rằng SDP khá đơn giản. Ở phân đoạn vi mô, bạn có một khách hàng/tác nhân chạy trên máy chủ của người dùng, điều này giúp các chính sách có hiệu lực với những hệ thống mà người dùng/máy chủ được phép nói chuyện. Trước khi phân đoạn vi mô được phần mềm xác định thì quản trị viên đã thực hiện việc này ở cấp độ chuyển mạch bằng cách sử dụng các VLAN (mạng nội bộ ảo) và VACLS (các danh sách điều khiển truy cập VLAN).

Ngoài việc thực thi xác thực những người dùng, các thiết bị cùng với quyền truy cập, SDP xử lý tất cả những kiểm soát xung quanh việc ai và cái gì có thể nói chuyện với nhau.

SDP lấy danh tính làm trung tâm và được xây dựng trên nguyên tắc Zero-Trust. Lấy danh tính làm trung tâm nghĩa là nó dựa trên danh tính và mức độ quyền hạn của người dùng, chứ không dựa trên thiết bị.

Với phạm vi SDP, tài nguyên mạng mặc định là bất khả xâm phạm. Ngay cả người dùng đã được xác thực cũng chỉ có thể truy cập vào một hoặc vài dịch vụ nhất định bên trong mạng khi được cấp quyền rõ ràng, thay vì truy cập vào khắp mạng lưới nội bộ như khi sử dụng VPN. Nhờ đó, phạm vi SDP phân tách các dịch vụ của công ty khỏi Internet, chặn đứng (hầu hết) mọi hình thức tấn công mạng.

Với một SDP, về mặt công nghệ sẽ không thể kết nối với máy chủ trừ khi được cấp phép. SDP chỉ cho phép người dùng truy cập sau khi: Xác minh danh tính người dùng và đánh giá trạng thái của thiết bị.

Sau khi người dùng và thiết bị được xác thực, SDP sẽ thiết lập một kết nối mạng riêng lẻ giữa thiết bị đó với máy chủ mà nó đang cố gắng truy cập. Người dùng được xác thực không được đăng nhập vào một mạng lớn hơn, mà chỉ được cung cấp kết nối đến tài nguyên đã được phê duyệt quyền truy cập.

Tương lai của SDP

Theo Alissa Knight, tương lai sẽ có di chuyển từ phần cứng sang SDN. Điều này sẽ giúp các tổ chức rời bỏ việc sử dụng mật khẩu và tin vào xác thực đa yếu tố, vì vậy việc chiếm đoạt tài khoản sẽ không còn. "Tôi tin rằng các tổ chức đã sẵn sàng loại bỏ mật khẩu trong doanh nghiệp nhưng họ cần công nghệ để giúp họ làm việc này"

Là nhà nghiên cứu lỗ hổng bảo mật, người đã công bố lỗ hổng bảo mật đầu tiên trên thế giới trong VPN hơn 22 năm trước, Alissa Knight cho rằng thật khó tin khi nghĩ rằng ngày nay VPN vẫn được sử dụng khi có các giải pháp thay thế an toàn hơn. Được xây dựng dựa trên các nguyên tắc bảo mật zero trust, các giải pháp của SDP loại bỏ mối những mối đe dọa ATO từ VPN, máy chủ RDP và ứng dụng chia sẻ máy tính để bàn để truy cập từ xa được an toàn./.