• Thứ Hai, 15/09/2014 10:30 (GMT+7)

    Xu hướng bảo mật dựa trên phần mềm

    Bùi Lê Duy (Theo CSO)
    Đưa ra các mức bảo mật tốt hơn và cách tiếp cận đơn giản hơn, bảo mật dựa trên phần mềm SDS đang định hình một xu hướng mới trong bảo mật hệ thống CNTT.

    Bất kỳ thứ gì “dựa trên phần mềm”, như hệ thống mạng, lưu trữ, trung tâm dữ liệu, đều được cộng đồng công nghệ quan tâm. Bảo mật không ngoại lệ. Bảo mật dựa trên phần mềm SDS (software-defined security) đang là mô hình nổi lên hiện nay, là bảo mật thông tin được triển khai, điều khiển và quản lý dựa hết trên phần mềm.

    Với SDS, các điều khiển bảo mật như phân khúc mạng, nhận diện xâm nhập và quản lý truy cập được tự động hoá và giám sát thông qua phần mềm.

    Công ty nghiên cứu thị trường Gartner đã đưa SDS vào danh sách mười công nghệ bảo mật CNTT hàng đầu trong năm 2014, cho rằng tác động của SDS về bảo mật sẽ biến đổi ngành công nghiệp này. SDS không có nghĩa là không cần đến phần cứng bảo mật chuyên biệt nhưng các hệ thống mạng dựa trên SDS làm tăng giá trị cho nền tảng.

    Các nhà sản xuất trên thị trường đang sử dụng cụm từ “bảo mật dựa trên phần mềm” theo nhiều cách khác nhau. Và bởi vì thị trường SDS còn khá mới nên chưa có nhiều nghiên cứu và phân tích về thị trường này. Nhưng với những chiến lược di dời lên môi trường điện toán ảo hoá trong doanh nghiệp trong vài năm gần đây, có thể thấy đa phần phần mềm quản lý bảo mật có mặt một cách rất tự nhiên trong các kế hoạch triển khai hệ thống doanh nghiệp.

    Vậy lợi ích tiềm năng mà SDS có thể mang lại là gì? Các nhà phân tích trong ngành đưa ra một số lợi ích dễ thấy nhất sau đây.  

    Đơn giản hoá
    Theo chuyên gia bảo mật Richard Sillito, hiện đang làm việc cho hãng hàng không WestJet, SDS cho phép môi trường bảo mật trở nên đơn giản hơn bằng cách tách hệ thống mạng ra khỏi bảo mật. WestJet vừa cập nhật hệ thống bảo mật, trong đó có sử dụng SDS, giúp tự động hoá bảo mật tốt hơn.

    WestJet triển khai nền tảng bảo mật và ảo hoá NSX của VMware vào một trong những trung tâm dữ liệu của họ, và đang trong quá trình triển khai ứng dụng đầu tiên cho kiến trúc hạ tầng mới này. Đội ngũ CNTT của WestJet đang tìm cách liên kết API của VMware NSX vào hệ thống và tự động hoá những hoạt động như tạo các chuyển mạch logic, tạo các nhóm bảo mật, thiết lập các chính sách bảo mật… Nhóm CNTT sử dụng các công cụ plug-in để tạo ra các tải công việc đồng bộ với nhau, giả lập các quy trình thực hiện thủ công như hiện thời.

    SDs là sự chuyển đổi từ một hệ thống mạng có thể cấu hình sang một hệ thống mạng có thể lập trình.

     Đối với bảo mật, điều này có nghĩa là cấu hình đó sẽ trở thành một phần trong tải công việc được đồng bộ, không nằm ngoài dây chuyền sản xuất. Thậm chí, nhóm còn có thể tiến xa hơn khi sử dụng các công cụ khác để xuất ra các dịch vụ, là bước khởi đầu hướng đến tạo ra dịch vụ tự hành.

    SDS cho phép doanh nghiệp có thể tách hệ thống mạng ra khỏi bảo mật. WestJet không còn phải định tuyến các gói dữ liệu đến một tường lửa nữa. Bộ lọc áp dụng cho luồng dữ liệu khi dữ liệu di chuyển ngay trong mạng. Điều này có nghĩa là bộ phận CNTT không phải mua và cài đặt thêm tường lửa ở vài vị trí trong trung tâm dữ liệu.

    Tách mạng ra khỏi bảo mật cũng có nghĩa là ít phải phụ thuộc hơn, ít cần thay đổi hơn và giảm được chi phí tổng thể. Tính đơn giản hoá cũng có thể chuyển dịch tốt sang tự động hoá vì đơn giản hơn sẽ giúp việc tự động hoá dễ dàng hơn.

    Môi trường điện toán càng trở nên phức tạp và xu hướng hướng đến thiết bị di động thông minh càng tạo nên các hệ thống đầu cuối rắc rối. Với quá nhiều thiết bị di động như vậy, doanh nghiệp phải đưa ra nhiều giải pháp khác nhau để có thể quản lý được mọi thành phần trong mạng, đó là chưa kể đến các hệ thống ảo hoá, thay đổi từ host này sang host khác h oặc trung tâm dữ liệu này sang trung tâm dữ liệu khác.

    Phương thức bảo mật cũ đòi hỏi mọi thứ phải cố định. Còn các công cụ bảo mật ngày nay phải mang tính linh động, phù hợp với môi trường điện toán kiểu mới.

    Mạng an toàn hơn
    SDS sẽ giúp hiện thực hoá điều mà Forrester Research gọi là bảo mật “zero trust” (không dựa trên niềm tin). Ý tưởng ẩn sau cách tiếp cận này là các doanh nghiệp xem dữ liệu lưu thông trên mạng nội bộ hoàn toàn không có bảo mật, và doanh nghiệp cần giám sát chặt chẽ mọi dữ liệu bên trong và bên ngoài mạng nội bộ. Do vậy, Forrester Research kêu gọi doanh nghiệp sử dụng công nghệ để giám sát mọi luồng dữ liệu.
    Zero trust là điều cần thiết, bởi vì bảo mật mà dựa trên niềm tin hiện thời không có tác dụng gì, và doanh nghiệp cần bỏ đi ý nghĩ mạng nội bộ là an toàn, tin cậy còn mạng bên ngoài thì không.

    SDS giúp doanh nghiệp tạo và triển khai được các mạng zero trust một cách dễ dàng. Sử dụng phần mềm giúp doanh nghiệp có thể thiết lập được những tham số chi tiết về bảo mật cho mạng và đưa ra chính sách an ninh dễ dàng hơn. Do vậy, hệ thống mạng sẽ vừa linh động, vừa an toàn.

    Chưa hết, SDS còn tích hợp vào nhiều mạng cùng lúc dễ dàng hơn vì có những giải pháp dựa trên phần mềm như API giúp nhà quản trị có thể tích hợp 2 hệ thống mạng lại với nhau rất tiện lợi.

    Lấp lỗ hổng bảo mật
    Một môi trường bảo mật dựa trên phần mềm cho phép doanh nghiệp vá các lỗ hổng bảo mật hiện thời, đồng thời cũng có được nhiều khả năng điều khiển trực tiếp đối với kiến trúc mạng, nhất là khi điện toán đám mây đang phát triển.

    Ví dụ nhà quản trị có thể nhận diện ngay tất cả các máy chủ không được quản lý, sau đó tự động khoanh vùng chúng, nhận diện người sở hữu máy chủ ấy, tạo tính năng khởi động bootstrap trong phần mềm quản lý hoặc thực hiện hành động nào đó thông qua API.

    Điều này giúp nhà quản trị giảm rất nhiều công sức trong việc tạo các tiến trình bảo mật và cũng giảm được chi phí điều hành, đồng thời tăng tính linh động hệ thống để đáp ứng được nhu cầu của mô hình kinh doanh mới.


    Bảo vệ trong một môi trường ngày càng “động”
    Với nhiều thay đổi chóng mặt trong môi trường CNTT xung quanh ta, các nhà làm bảo mật cần xem xét mọi khía cạnh có thể xảy ra để bảo vệ tài sản và giúp doanh nghiệp đạt được mục tiêu. Bảo mật dựa trên phần mềm là một công cụ cần xem xét.

    Điều này càng đặc biệt quan trọng đối với những công ty đang muốn có được mức an ninh cao hơn cho môi trường kinh doanh mà những chuẩn bảo mật trước đây không đáp ứng được. Vì các công cụ bảo mật truyền thống phụ thuộc nhiều vào khả năng quản lý và thường nằm khoảng giữa đường đi của dữ liệu và các bộ phận phòng ban. Đôi khi điều này là chưa đủ vì chúng ta không thể quản lý hết được cơ sở hạ tầng vật lý, hoặc điều kiện môi trường có thể thay đổi quá nhanh nên không thể sử dụng các công cụ bảo mật truyền thống.

    SDS có thể cải thiện được cách mà doanh nghiệp bảo vệ cho các dịch vụ đám mây hoặc các hệ thống ảo hoá, và nó thực hiện điều này theo cách linh động. Ví dụ như nhiều ứng dụng chạy trong một môi trường ảo hoá, có nhiều nhu cầu bảo mật khác nhau chưa chạy được trên cùng loại thiết bị. Hoặc ví dụ một môi trường động mà các dữ liệu di chuyển khắp nơi theo một trình tự logic và doanh nghiệp muốn có một phương thức bảo mật đi theo dữ liệu ấy mà không cần nhiều đội ngũ nhân sự cứ phải bám theo dữ liệu ấy khi chúng di chuyển.

    Điểm chính yếu ở đây là luồng dữ liệu logic đầu cuối luôn được phân tích và xử lý về mặt bảo mật ở mỗi bước mà dữ liệu ấy vận hành. Các sản phẩm bảo mật dựa trên phần mềm có thể mang lại khả năng quản lý dễ dàng, thích hợp hơn cho môi trường điện toán động như vậy.
     

    PC World VN, 09/2014
     

    ID: A1409_41