Ba thị trường an ninh mạng lớn nhất hiện nay là an ninh điểm cuối (endpoint security), an ninh mạng (network security), và danh tính (identity). Có thể có các thị trường an ninh mạng lớn khác như email security, web security, cloud security, SIEM, và SOC, nhưng ba thị trường bên trên chiếm hơn 50% thị trường cybersecurity và chiếm một phần lớn ngân sách của bất kỳ Doanh nghiệp nào.

Tương tự như các thị trường và công nghệ khác, an ninh mạng đã trải qua các chu kỳ tiến hóa qua nhiều thập kỷ, đặc biệt là khi các tính năng mới được thêm vào hoặc hợp nhất vào một nền tảng. Ngày nay, an ninh mạng đã bắt đầu giai đoạn phát triển thứ ba của mình—nhưng điều này bắt đầu từ đâu?

Stateful Firewall - Thời kỳ đầu của an ninh mạng

Tin tưởng vào mọi thứ và kết nối mọi thứ càng nhanh càng tốt. Mục tiêu ban đầu của việc kết nối mạng vẫn còn đúng cho đến ngày nay. Tuy nhiên, các kẻ tấn công nhanh chóng lợi dụng những kết nối đó. Vì vậy, vào những năm đầu thập kỷ 1990, stateful firewall đã được phát minh để kiểm soát truy cập vào các mạng riêng.

Những stateful firewall ban đầu này bắt đầu chặn lưu lượng dựa trên địa chỉ IP, Port, giao thức (protocol). Chúng tạo ra mạng đáng tin cậy và mạng không đáng tin cậy, và đôi khi còn có khu vực DMZ giữa cả hai. Điều này là một cải tiến lớn so với việc kết nối mọi thứ. Tuy nhiên, khi các cổng ứng dụng trở nên phổ biến nhờ vào việc lưu lượng di chuyển đến các cổng ứng dụng như HTTP và HTTPS, việc đơn giản chỉ cho phép lưu lượng trên các cổng này không còn là một phòng thủ hiệu quả nữa vì việc lọc ở Lớp 7 không đủ chi tiết. Kết quả là, nhiều lưu lượng sẽ đi qua mà không được kiểm tra.

Nhiều nhà cung cấp firewall cũng bắt đầu thêm tính năng truy cập từ xa an toàn thông qua mạng riêng ảo (VPN). Điều này cho phép người dùng từ xa và các văn phòng chi nhánh làm việc như thể họ đang trên mạng. Tuy nhiên, điều này yêu cầu họ phải thêm một phần mềm mở rộng kết nối an toàn đến các điểm cuối từ xa. Khi người dùng ngày càng kết nối với internet, một proxy được đặt giữa người dùng và internet; proxy sẽ hoạt động như trung gian giữa người dùng và internet. Trong thực tế, khi băng thông quý hiếm, các thiết bị bộ nhớ đệm được tích hợp để cải thiện hiệu suất internet.

Cần lưu ý rằng trong khi firewall mạng đã tiến hóa, firewall có trạng thái truyền thống sẽ không biến mất hoàn toàn. Các use case như phân đoạn nội bộ vẫn là cần thiết để bảo vệ mạng chống lại sự di chuyển ngang của các mối đe dọa.

NGFW và các thiết bị UTM  - Kỷ nguyên thứ hai của An ninh mạng

Khi những kẻ tấn công bắt đầu nhắm vào lưu lượng ứng dụng (application traffic), các công cụ bảo mật cần kiểm tra ứng dụng và nội dung để đánh giá xem lưu lượng đó có độc hại hay không trở nên rất quan trọng. Nói cách khác, bảo vệ mối đe dọa đang trở thành một công việc quan trọng đối với tường lửa. Do đó, các tường lửa có trạng thái phát triển thành các thiết bị quản lý mối đe dọa hợp nhất (UTM – Unified Threat Management), sau này được gọi là tường lửa thế hệ tiếp theo (NGFW).

Các NGFW này được đặt ở rìa mạng (network edge), thường ở biên của trung tâm dữ liệu cho lưu lượng truy cập các ứng dụng bên ngoài và Internet. Chúng có thể nhận biết ứng dụng lạ và chặn hầu hết các mối nguy hại, rất quan trọng cho việc bảo mật kết nối. Việc kiểm tra nội dung kỹ càng cũng như hiểu chi tiết các ứng dụng giúp ta thấy rõ hơn các rủi ro và tìm cách xử lý chúng.

Tuy nhiên, những lớp kiểm tra bổ sung này, bao gồm cả giải mã dữ liệu (như SSL) và kiểm tra kỹ các gói tin, đòi hỏi rất nhiều sức mạnh xử lý. Điều này vượt quá khả năng của các bộ xử lý thông thường dùng trong NGFW.  Để giải quyết thách thức này, Fortinet đã phát triển bộ xử lý bảo mật đầu tiên trong ngành, một ASIC được thiết kế riêng để tăng hiệu suất bằng cách giảm bớt các chức năng bảo mật quan trọng. Nhờ vậy, các thiết bị NGFW của Fortinet có thể xử lý các tác vụ kiểm tra phức tạp một cách nhanh chóng và hiệu quả, đảm bảo an ninh mạng mà không ảnh hưởng đến hiệu suất.

Đồng thời, hệ thống ngăn chặn xâm nhập (intrusion prevention systems- IPS) đã trở thành một công cụ bảo mật được các nhóm InfoSec sử dụng để bảo vệ các điểm cuối khỏi bị tấn công, với các signature IPS khác nhau cho các loại ứng dụng khác nhau. Do các thiết bị IPS và NGFW thường được triển khai trên cùng một edge nên việc kiểm tra và phòng vệ sẽ dễ dàng (và đôi khi hiệu quả) hơn nếu chúng là một phần của NGFW.

Và khi các cuộc tấn công từ internet gia tăng, tính năng bảo mật bổ sung cũng được thêm vào proxy truyền thống và được gọi là cổng web an toàn (secure web gateway - SWG). Điều này bao gồm URL filtering, antivirus, data leakage protection, và SSL inspection.

Unified SASE - Kỷ nguyên thứ ba của An ninh mạng:

Ngày xưa, bảo mật mạng giống như xây thành phố có tường bao quanh thật kiên cố. Nhưng giờ đây, mọi người làm việc ở khắp mọi nơi - tại nhà, trong quán cafe, trên đám mây… vì thế những "bức tường" truyền thống đó không còn bảo vệ hiệu quả được nữa.

Ta cần một kiểu bảo vệ mới, một tấm lưới an toàn có thể bao phủ tất cả những nơi mọi người làm việc, trên mạng và cả trên đám mây. Không những thế, "tấm lưới" này còn phải linh hoạt, có thể chạy trên máy ảo, máy thật, trên đám mây và dễ dàng mở rộng khi cần. Đó chính là ý tưởng của Unified SASE (dịch vụ truy cập an toàn thống nhất).

Unified SASE - Cách tiếp cận mới, bảo vệ bạn mọi lúc, mọi nơi

Các thức bảo vệ mới này không chỉ đơn giản là chống lại những kẻ xấu bên ngoài, mà nó còn bảo vệ dữ liệu của bạn dù dữ liệu đó ở bất cứ đâu. Để làm được điều này, các thành phần của Unified SASE phải kết hợp cực kỳ chặt chẽ với nhau, và giải pháp này cần sử dụng trí tuệ nhân tạo (AI) để có thể phát hiện, liên kết thông tin và đối phó với các mối đe dọa gần như ngay lập tức, dù chúng tấn công mạng ở bất kỳ vị trí nào.

Unified SASE vượt trội hơn các giải pháp SASE truyền thống bởi nó kết nối mạng lưới của người dùng với khả năng kết nối mạng quan trọng khác bằng cách sử dụng mạng diện rộng được xác định bằng phần mềm (SD-WAN). SD-WAN nhanh chóng trở thành công nghệ cốt yếu để thay thế mấy cái router đơn giản ở các công ty chi nhánh bằng các kết nối nhanh hơn, thông minh hơn và tiết kiệm chi phí hơn. Thêm SD-WAN vào Unified SASE đảm bảo bạn có thể kiểm soát và nhìn thấy toàn bộ mạng của mình.

Nhiều giải pháp SD-WAN đời đầu không chú trọng bảo mật. Chúng cần thêm tường lửa và các phần mềm bảo mật hoạt động độc lập, điều này làm mất đi sự linh hoạt của SD-WAN. Fortinet giải quyết vấn đề này bằng cách tích hợp SD-WAN bảo mật cấp doanh nghiệp vào ngay trong chính tường lửa của mình.

Các thành phần quan trọng khác:

• CASB (Cloud Access Security Broker): Bảo vệ các ứng dụng chạy trên nền tảng đám mây (SaaS). Khi kết hợp với SWG, nó sẽ thành giải pháp bảo mật toàn diện cho môi trường đám mây gọi là SSE (Security Service Edge).
• ZTNA (Zero Trust Network Access): Cho phép truy cập ứng dụng một cách cụ thể và an toàn. ZTNA dùng kết hợp với SSE để thay thế hoặc bổ sung cho truy cập từ xa bằng VPN truyền thống.

Mối liên hệ chặt chẽ giữa thiết bị người dùng và bảo mật mạng:

Trong Unified SASE, bảo mật thiết bị người dùng (điện thoại, máy tính…) và mạng lưới là không thể tách rời. VPN, SASE, và ZTNA bảo đảm rằng các thiết bị đó cũng được bảo vệ giống như cả hệ thống lớn. Thêm vào đó, các công cụ theo dõi trải nghiệm kỹ thuật số (DEM) giúp đánh giá chất lượng dịch vụ.  Tất nhiên, không thể thiếu khả năng bảo vệ và xử lý các mối đe dọa ngay trên thiết bị người dùng!

Các thành phần chủ chốt của Unified SASE bao gồm:

Rất tiếc là đa số nhà cung cấp không tích hợp SASE một cách toàn diện. Thay vào đó, họ chỉ đơn giản là mua lại các công ty và ghép các công nghệ lại với nhau. Dù có vẻ hấp dẫn, nhưng thực ra đó không phải là một nền tảng thực sự, làm cho việc tương tác không hiệu quả và kiểm soát khó khăn.

Nền tảng SASE hợp nhất thực sự phải sử dụng một hệ điều hành duy nhất, một máy khách hợp nhất, một công cụ phân tích duy nhất và một công cụ chính sách duy nhất có thể chạy trên các thiết bị vật lý và ảo, trên đám mây (bao gồm tất cả các nền tảng của nhà cung cấp đám mây chính). Nó cũng phải được hỗ trợ bởi trí thông minh mối đe dọa tích hợp và AI.

Thiết lập giai đoạn cho kỷ nguyên tiếp theo

Bằng cách tích hợp các biện pháp bảo vệ dành cho đám mây, kết nối, mạng và điểm cuối vào một chiến lược bảo mật thống nhất, thế hệ thứ ba của an ninh mạng mở rộng bảo mật đến mọi biên. Phương pháp tích hợp dựa trên nền tảng của Unified SASE cho phép tổ chức xây dựng và phát triển mạng của họ theo nhu cầu, cho phép họ đáp ứng các yêu cầu kinh doanh mà không đặt ra sự đe dọa đến bảo mật, hiệu suất hoặc trải nghiệm người dùng. Sự linh hoạt bẩm sinh của nó cũng cung cấp một con đường tiến lên phù hợp để đối mặt với các thách thức của thời đại tiếp theo.

Nguồn Fortinet.com