• Thứ Hai, 15/09/2014 10:35 (GMT+7)

    Cách triển khai mạng dựa trên phần mềm an toàn

    Bùi Lê Duy (Theo CSO)
    Mặc dù có một số người cho rằng nó không an toàn nhưng mạng dựa trên phần mềm - SDN đã tốt dần lên trong vài năm trở lại đây, tăng thêm khả năng an toàn cho hệ thống.

    Vài chuyên gia bảo mật cho rằng cách tạo mạng dựa trên phần mềm SDN (software-defined networking) về bản chất là không an toàn. Họ cho rằng SDN loại bỏ những rào cản phần cứng như tường lửa. Họ cho rằng SDN tạo ra những bề mặt mới không được bảo vệ. Tuy nhiên, các chuyên gia ấy đang nghĩ theo hướng cổ điển, đó chưa phải là SDN phát triển như hiện nay. CEO của công ty dịch vụ ứng dụng phần mềm VastEdge, ông Vik Mehta, cho biết SDN đã thay đổi rất nhiều trong vòng 5 năm gần đây. Khi chúng ta biết thêm thông tin về công nghệ này, có thể chúng ta sẽ đồng ý rằng bảo mật SDN giống như 2 mặt của đồng tiền. Cùng với tuổi đời của SDN, nó càng ngày càng bảo mật hơn, tận dụng các nguồn tài nguyên sẵn có khi công nghệ phát triển. Hãy xem cách áp dụng một hệ thống thông thường và điểm mạnh của SDN để bảo vệ hệ thống ngay từ bên trong. Cùng thử bắt đầu với các công cụ và phương thức thường dùng nhất hiện nay để xem liệu SDN có phù hợp với giá trị của dữ liệu mà chúng ta cần bảo vệ hay không.

    Chuyển đổi theo từng bước thích hợp
    Để an toàn với SDN, doanh nghiệp cần phải bắt đầu một cách thật chính xác. SDN là sự chuyển đổi từ một hệ thống mạng có thể cấu hình sang một hệ thống mạng có thể lập trình. Do đó, có một số bước mà doanh nghiệp buộc phải tuân theo.

    Đầu tiên, doanh nghiệp phải tích hợp mọi thiết bị, gồm bộ cân bằng tải, tường lửa, hệ thống truyền thông, thiết bị không dây hoặc hệ thống lưu trữ… vào các bộ điều khiển SDN. Các nhà sản xuất SDN có các công cụ có thể di dời cấu hình hiện thời sang các bộ điều khiển SDN cho doanh nghiệp. Mọi thiết bị trên mạng đều phải hỗ trợ SDN. Đây là yếu tố rất quan trọng bởi vì bây giờ doanh nghiệp đang tạo ra một chức năng mạng SDN duy nhất, phủ khắp mọi thiết bị của mọi nhà sản xuất và nền tảng. Nhà quản trị phải đảm bảo tất cả thiết bị được chuyển đổi thông qua cập nhật phần mềm IOS (phần mềm chuyển đổi), hoặc mua các thiết bị mới có hỗ trợ SDN.

    Khi trang bị thiết bị mới, bạn cũng cần cẩn thận về việc các nhà sản xuất hỗ trợ công nghệ SDN nào, và công nghệ SDN nào là tốt nhất cho từng loại triển khai hệ thống khác nhau. Ví dụ, HP sử dụng công nghệ OpenFlow trong khi Brocade lại dùng OpenStack, Cisco dùng cả OpenFlow và OpenStack. OpenFlow là giao thức mở để điều khiển luồng dữ liệu qua nhiều bộ chuyển mạch, thông qua một bộ điều khiển trung tâm. OpenStack là phần mềm nguồn mở để tạo đám mây dựa trên kết nối mạng như một dịch vụ giữa các thiết bị mạng, do các thiết bị OpenStack quản lý. Chọn lựa giữa OpenFlow và OpenStack ngay từ ban đầu dựa trên hạ tầng hiện thời của doanh nghiệp và loại mạng SDN mà doanh nghiệp cần.

    Khi di dời, chuyển đổi cấu hình thiết bị, bạn hãy cẩn thận khi định nghĩa các chính sách để di dời hoàn toàn, nhận diện các công cụ của nhà sản xuất có thể trích xuất đúng và đủ các chính sách bảo mật cũng như đặt chúng vào bộ điều khiển SDN một cách hoàn chỉnh.

    Bước thứ 2 là cẩn thận thử nghiệm và triển khai các bộ điều khiển SDN. Bạn có thể tạo một môi trường thử nghiệm gồm các thiết bị mạng "nói chuyện" được với bộ điều khiển SDN để chắc chắn mọi thứ đều chạy tốt. Các thiết bị đều phải cùng chung một giao thức, hoặc OpenFlow hoặc OpenStack, và doanh nghiệp cần đảm bảo bước thứ 2 này là các thiết bị trong mạng và bộ điều khiển giao tiếp thành công với nhau.

    Bước thứ 3 là bước quan trọng nhất, là bật SDN tương tác được với ứng dụng. Để gắn ứng dụng hoàn toàn tận dụng được mạng SDN, đầu tiên bạn cần áp dụng các chính sách như ưu tiên lệnh thực thi cao hơn lệnh báo cáo để cho luồng dữ liệu quan trọng nhất chạy mượt mà trong hệ thống mạng. Khi SDN đã sẵn sàng, bạn có thể cho các ứng dụng gửi các bộ nhận diện bổ sung vào header, không chỉ đơn giản là các giao thức, TCP/UDP và cổng dữ liệu nữa. Các bộ điều khiển SDN sẽ phải nhận diện được các gói dữ liệu thông qua header mà không phải đọc toàn bộ dữ liệu để nhận diện loại dữ liệu.

    Tới đây, bạn cũng có thể tạo bảo mật vào các lớp ứng dụng. Doanh nghiệp có thể thêm bảo mật dạng rule ở lớp thứ 7 bằng cách đầu tiên là nhận diện tương tác ứng dụng thích hợp và không thích hợp, sau đó áp dụng các rule bổ sung dựa trên hành vi (nếu hành vi này xuất hiện). Nhiều công ty đang rất nóng lòng triển khai hệ thống như vậy, trong đó có Juniper và Cisco. Một khi đã thiết lập được mạng SDN, bạn nên giám sát mạng thông qua các bộ điều khiển SDN. Vài công ty tách chức năng giám sát ra khỏi bộ điều khiển, ví dụ như tách riêng giám sát ứng dụng và giám sát gói dữ liệu. Tách ra như vậy phải sử dụng các công cụ giám sát chạy ở cấp cao hơn và phải có giao diện của bộ điều khiển, mạng và ứng dụng SDN. Doanh nghiệp cũng nên giám sát cả các chính sách bảo mật.

     

    Những quan ngại đã được giải quyết
    Một mạng SDN được triển khai đúng cách, sử dụng các biện pháp bảo mật thích hợp có thể loại trừ được các quan ngại bảo mật trước kia về SDN. Ví dụ, vài chuyên gia bảo mật e sợ SDN bỏ đi lớp phần cứng như tường lửa. Nhưng SDN thực sự giám sát các gói dữ liệu ở nhiều tầng khác nhau trong mạng, từ thiết bị cân bằng tải đến tường lửa, ứng dụng, bộ điều khiển LAN không dây cho đến lưu trữ và hệ thống điện thoại.

    Thông qua điều khiển tập trung của mô hình mạng, cùng với những khả năng liên kết dịch vụ, SDN có được các phương pháp bảo mật theo cách mà trước nay không có. Nhà quản trị có thể khai thác tường lửa, IDS/IPS và các biện pháp bảo mật khác cùng chung với các thay đổi khác trên mạng theo thời gian thực. Điều này giúp cho SDN đưa ra được các biện pháp bảo mật mạnh hơn và có được những khả năng mà mức phần cứng không có.

    Các chuyên gia bảo mật cho rằng tách mảng điều khiển ra khỏi mảng dữ liệu sẽ hình thành nên những yếu tố mới như mạch điều khiển mạng SDN, các giao thức và API, là những yếu tố dễ bị tấn công. Nhưng mảng điều khiển có đặc quyền riêng và doanh nghiệp cần đảm bảo an toàn cho nó cũng tương tự như các đặc quyền khác. Những đặc quyền này cần có bản ghi log và giám sát. Mảng điều khiển phải được lên lịch chặt chẽ và vì chúng rất nhạy cảm nên cần tránh những tác động bên lề hay đăng nhập không rõ ràng.

    Đặc quyền của mảng điều khiển cũng yêu cầu doanh nghiệp hạn chế quyền truy cập mức admin. Bộ điều khiển này nên có nhiều ràng buộc chặt chẽ, chỉ có vài nhà quản trị mới được cấp quyền. Vì nhiều công việc có thể làm ở mức API và những tinh chỉnh cấu hình cho bộ điều khiển này nên ở mức tối thiểu. Với một mảng điều khiển được tách riêng ra như vậy, truyền thông API cần được hạn chế đến những đầu kết nối cụ thể trên mạng. Giao tiếp API nằm giữa các node trên mạng. Doanh nghiệp nên đóng các API lại, đảm bảo cho chúng chỉ giao tiếp với những thiết bị có đăng ký trên mạng thông qua một kênh an toàn.

    Các chuyên gia bảo mật cũng lo ngại một điều khiển SDN được cài đặt trên các hệ điều hành COTS cũng sẽ là đối tượng tấn công. Tuy vậy, một doanh nghiệp không nên lập trình cho các hệ điều hành quyền cài đặt, luân chuyển dữ liệu hoặc chạy dịch vụ liên quan đến chức năng của bộ điều khiển SDN. Người dùng không thể chạy cửa sổ dòng lệnh, cài trình duyệt hoặc mở cửa sổ file thư mục.

    Doanh nghiệp nên đảm bảo độ an toàn cho bộ điều khiển này bằng cách cẩn thận cài các bản vá và cập nhật, tăng điều khiển máy chủ lên cấp AAA. Hãy đối xử với bộ điều khiển mạng SDN như với một bộ điều khiển tên miền. Đó là thành phần tối quan trọng trong cơ sở hạ tầng, nó cần nhà quản trị quan tâm ở mức cao hơn thông thường.

    Các chuyên gia bảo mật cũng nói công nghệ dự báo APT (Applied Predictive Technologies) chỉ cần tác động đến bộ điều khiển này thì hệ thống mạng sẽ trục trặc. Nhưng một APT sẽ không còn là vấn đề nếu doanh nghiệp sử dụng theo cách thông thường, đảm bảo APT không kết nối gì đến bộ điều khiển SDN ra Internet. Có những quan ngại và không chắc chắn về chuyện gì sẽ xảy ra nếu hệ thống mạng cần tải nặng. Nhưng các bộ điều khiển SDN tập trung đủ thông minh để quản lý cân bằng tải, bằng cách ưu tiên các gói dữ liệu trên toàn hệ thống mà không phải ghi các rule qua các bộ chuyển mạch đơn.

    Điều cuối cùng là nhiều nhà quản trị không chắc chắn làm thế nào các node trên mạng đơn lẻ sẽ quy định được tốc độ cho dữ liệu. Có vài cách làm điều này. Một là quy định tỉ lệ qua proxy, chỉ cho phép tốc độ nào đó mà một node mạng có thể tiếp nhận. Đây không phải là phương cách tối ưu nhưng lại là biện pháp phòng ngừa. Cách khác nữa là cải thiện băng thông cho từng node vì khi ảo hóa và SDN vào cuộc thì các nhà sản xuất sẽ đưa ra nhiều node nhanh hơn để việc giao tiếp giữa các thiết bị tốt hơn.
     

    PC World VN, 09/2014
     

    ID: A1409_44