Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • IDS/IPS nên đặt ở đâu? Sai vị trí thì "mù", đúng vị trí mới phát huy sức mạnh

    IDS/IPS nên đặt ở đâu? Sai vị trí thì "mù", đúng vị trí mới phát huy sức mạnh


    Rất nhiều doanh nghiệp đầu tư hàng chục, thậm chí hàng trăm nghìn USD cho IDS/IPS nhưng vẫn để xảy ra sự cố. Vấn đề không phải vì thiết bị yếu, mà vì đặt sai vị trí.

    Một IDS/IPS giống như camera an ninh. Camera 8K cũng vô dụng nếu quay vào bức tường thay vì cửa ra vào.

    Trong an ninh mạng cũng vậy. Vị trí triển khai quyết định những gì IDS/IPS có thể nhìn thấy, phân tích và ngăn chặn.
    1. Aggregation Point – "Trạm quan sát" của toàn bộ hệ thống


    Đây là nơi lưu lượng từ nhiều VLAN, nhiều khu vực hoặc nhiều chi nhánh hội tụ trước khi đi đến các tài nguyên khác.

    Triển khai IDS/IPS tại Aggregation Point giúp hệ thống không chỉ phát hiện tấn công mà còn xây dựng một bức tranh toàn cảnh về hoạt động của mạng.

    Ngoài phân tích gói tin, IDS/IPS còn có thể thu thập rất nhiều Contextual Information như:
    • User ID
    • Ứng dụng đang sử dụng
    • Port và Protocol
    • Hệ điều hành của endpoint (OS Fingerprinting)
    • Thông tin phiên kết nối
    • Metadata của lưu lượng

    Đây là nguồn dữ liệu cực kỳ giá trị cho:
    • SIEM
    • XDR
    • SOAR
    • NDR
    • UEBA (User and Entity Behavior Analytics)

    Một SOC hiện đại không chỉ cần biết "có cuộc tấn công xảy ra", mà còn cần biết:
    Ai thực hiện? Từ thiết bị nào? Chạy ứng dụng gì? Đang truy cập dịch vụ nào? Có liên quan đến sự kiện nào khác không?

    Chính Aggregation Point là nơi cung cấp bức tranh đó.
    2. Perimeter Defense – Tuyến phòng thủ đầu tiên


    Đây là vị trí quen thuộc nhất.

    IDS/IPS được đặt giữa:
    • Internet ↔ Enterprise Network
    • Internet ↔ DMZ
    • Branch ↔ Data Center

    Mục tiêu là chặn các mối đe dọa ngay từ cửa ngõ trước khi chúng đi sâu vào hệ thống.

    Tại đây IDS/IPS thường xử lý:
    • Port Scan
    • DDoS
    • Malware Download
    • Exploit từ Internet
    • Botnet Traffic
    • Command & Control (C2)

    Ngoài Deep Packet Inspection, vị trí này thường tích hợp thêm:
    • Firewall
    • Threat Intelligence
    • URL Filtering
    • DNS Security
    • Reputation-Based Filtering
    • Geo-IP Filtering

    Vì đóng vai trò như ranh giới mạng, Routed Mode thường là lựa chọn phù hợp.
    3. Internal Segments – Nơi nhiều doanh nghiệp vẫn còn "bỏ trống"


    Đây là vị trí ngày càng được các chuyên gia bảo mật đánh giá cao.

    Lý do rất đơn giản.

    Theo nhiều báo cáo an ninh mạng trong những năm gần đây, phần lớn thiệt hại không xảy ra ở thời điểm hacker xâm nhập, mà xảy ra sau khi chúng đã ở bên trong mạng và bắt đầu di chuyển ngang (Lateral Movement).

    Nếu IDS/IPS chỉ đặt ở Internet Edge thì lúc này gần như... không nhìn thấy gì nữa.

    Đó là lý do IDS/IPS nên được triển khai trước các tài sản quan trọng như:
    • Domain Controller
    • Database Server
    • ERP
    • File Server
    • Application Server
    • VMware Cluster
    • Kubernetes Cluster

    Tại đây hệ thống sử dụng các chính sách kiểm tra rất sâu để phát hiện:
    • SQL Injection
    • Remote Code Execution (RCE)
    • Buffer Overflow
    • SMB Exploit
    • LDAP Attack
    • Kerberos Abuse
    • Application Exploit

    Đây cũng là nơi Deep Packet Inspection phát huy giá trị lớn nhất.

    Để giảm ảnh hưởng đến kiến trúc mạng hiện có, nhiều doanh nghiệp lựa chọn Transparent Mode, giúp đưa IDS/IPS vào đường truyền mà không phải thay đổi IP hay định tuyến.
    4. Cloud & Hybrid Cloud – Chiến trường mới của IDS/IPS


    Ngày nay, ứng dụng không còn nằm hoàn toàn trong Data Center.

    Chúng có thể chạy trên:
    • AWS
    • Azure
    • Google Cloud
    • Private Cloud
    • Kubernetes
    • OpenShift

    Lưu lượng quan trọng nhất cũng không còn là North-South Traffic mà chuyển thành East-West Traffic giữa các workload.

    Một VM bị khai thác có thể nhanh chóng tấn công:
    • VM khác
    • Container
    • Kubernetes Pod
    • Database
    • API Gateway

    Nếu không có IDS/IPS trong Cloud, doanh nghiệp gần như không có khả năng quan sát các cuộc tấn công này.

    Các giải pháp hiện đại triển khai dưới dạng:
    • Virtual IPS
    • Cloud-Native IPS
    • Container Security
    • Kubernetes Network Security

    và hoạt động như một "lá chắn" bảo vệ từng workload trong môi trường Cloud.
    Một IDS/IPS là chưa đủ


    Đây là điểm mà rất nhiều doanh nghiệp hiểu nhầm.

    Họ thường hỏi:
    "Nên đặt IDS/IPS ở đâu?"

    Câu trả lời của các kiến trúc sư bảo mật thường là:
    Ở nhiều nơi.

    Một IDS/IPS tại Internet chỉ nhìn thấy lưu lượng Internet.

    Một IDS/IPS trong Data Center chỉ nhìn thấy lưu lượng Data Center.

    Một IDS/IPS trong Cloud chỉ nhìn thấy workload trên Cloud.

    Không có vị trí nào quan sát được toàn bộ hệ thống.

    Vì vậy, các doanh nghiệp lớn thường triển khai nhiều lớp IDS/IPS theo mô hình Defense in Depth.
    Kiến trúc triển khai được khuyến nghị


    Một mô hình phổ biến hiện nay là:

    Lớp 1 – Internet Edge
    • Firewall + IPS
    • Reputation Filtering
    • Threat Intelligence
    • Anti-Malware



    Lớp 2 – Aggregation/Core
    • IDS
    • Network Telemetry
    • Context Collection
    • Flow Analytics



    Lớp 3 – Data Center
    • Deep Packet Inspection
    • East-West Inspection
    • Database Protection
    • Application Protection



    Lớp 4 – Cloud
    • Virtual IPS
    • Kubernetes Security
    • Microsegmentation
    • Workload Protection

    Mỗi lớp đều quan sát một góc nhìn khác nhau, bổ sung cho nhau để tạo thành một hệ thống phòng thủ nhiều tầng.
    Góc nhìn của một Security Architect


    Một sai lầm phổ biến là xem IDS/IPS như một "chiếc hộp chống hacker".

    Thực tế, IDS/IPS hiện đại là một cảm biến (sensor) của toàn bộ hệ thống an ninh mạng. Nó không chỉ phát hiện tấn công mà còn cung cấp dữ liệu ngữ cảnh, hành vi và dấu hiệu xâm nhập cho SIEM, XDR, SOAR và Threat Intelligence. Trong các mô hình SOC hiện đại, IDS/IPS chính là một trong những nguồn telemetry quan trọng nhất để phát hiện sớm và phản ứng với các cuộc tấn công.

    Đầu tư vào IDS/IPS là cần thiết, nhưng đặt đúng vị trí mới là yếu tố quyết định để biến nó từ một thiết bị chỉ biết tạo cảnh báo thành một thành phần chủ lực trong chiến lược Defense in DepthZero Trust của doanh nghiệp.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X