IDS/IPS nên đặt ở đâu? Sai vị trí thì "mù", đúng vị trí mới phát huy sức mạnh
Rất nhiều doanh nghiệp đầu tư hàng chục, thậm chí hàng trăm nghìn USD cho IDS/IPS nhưng vẫn để xảy ra sự cố. Vấn đề không phải vì thiết bị yếu, mà vì đặt sai vị trí.
Một IDS/IPS giống như camera an ninh. Camera 8K cũng vô dụng nếu quay vào bức tường thay vì cửa ra vào.
Trong an ninh mạng cũng vậy. Vị trí triển khai quyết định những gì IDS/IPS có thể nhìn thấy, phân tích và ngăn chặn.
1. Aggregation Point – "Trạm quan sát" của toàn bộ hệ thống
Đây là nơi lưu lượng từ nhiều VLAN, nhiều khu vực hoặc nhiều chi nhánh hội tụ trước khi đi đến các tài nguyên khác.
Triển khai IDS/IPS tại Aggregation Point giúp hệ thống không chỉ phát hiện tấn công mà còn xây dựng một bức tranh toàn cảnh về hoạt động của mạng.
Ngoài phân tích gói tin, IDS/IPS còn có thể thu thập rất nhiều Contextual Information như:
Đây là nguồn dữ liệu cực kỳ giá trị cho:
Một SOC hiện đại không chỉ cần biết "có cuộc tấn công xảy ra", mà còn cần biết:
Chính Aggregation Point là nơi cung cấp bức tranh đó.
2. Perimeter Defense – Tuyến phòng thủ đầu tiên
Đây là vị trí quen thuộc nhất.
IDS/IPS được đặt giữa:
Mục tiêu là chặn các mối đe dọa ngay từ cửa ngõ trước khi chúng đi sâu vào hệ thống.
Tại đây IDS/IPS thường xử lý:
Ngoài Deep Packet Inspection, vị trí này thường tích hợp thêm:
Vì đóng vai trò như ranh giới mạng, Routed Mode thường là lựa chọn phù hợp.
3. Internal Segments – Nơi nhiều doanh nghiệp vẫn còn "bỏ trống"
Đây là vị trí ngày càng được các chuyên gia bảo mật đánh giá cao.
Lý do rất đơn giản.
Theo nhiều báo cáo an ninh mạng trong những năm gần đây, phần lớn thiệt hại không xảy ra ở thời điểm hacker xâm nhập, mà xảy ra sau khi chúng đã ở bên trong mạng và bắt đầu di chuyển ngang (Lateral Movement).
Nếu IDS/IPS chỉ đặt ở Internet Edge thì lúc này gần như... không nhìn thấy gì nữa.
Đó là lý do IDS/IPS nên được triển khai trước các tài sản quan trọng như:
Tại đây hệ thống sử dụng các chính sách kiểm tra rất sâu để phát hiện:
Đây cũng là nơi Deep Packet Inspection phát huy giá trị lớn nhất.
Để giảm ảnh hưởng đến kiến trúc mạng hiện có, nhiều doanh nghiệp lựa chọn Transparent Mode, giúp đưa IDS/IPS vào đường truyền mà không phải thay đổi IP hay định tuyến.
4. Cloud & Hybrid Cloud – Chiến trường mới của IDS/IPS
Ngày nay, ứng dụng không còn nằm hoàn toàn trong Data Center.
Chúng có thể chạy trên:
Lưu lượng quan trọng nhất cũng không còn là North-South Traffic mà chuyển thành East-West Traffic giữa các workload.
Một VM bị khai thác có thể nhanh chóng tấn công:
Nếu không có IDS/IPS trong Cloud, doanh nghiệp gần như không có khả năng quan sát các cuộc tấn công này.
Các giải pháp hiện đại triển khai dưới dạng:
và hoạt động như một "lá chắn" bảo vệ từng workload trong môi trường Cloud.
Một IDS/IPS là chưa đủ
Đây là điểm mà rất nhiều doanh nghiệp hiểu nhầm.
Họ thường hỏi:
Câu trả lời của các kiến trúc sư bảo mật thường là:
Một IDS/IPS tại Internet chỉ nhìn thấy lưu lượng Internet.
Một IDS/IPS trong Data Center chỉ nhìn thấy lưu lượng Data Center.
Một IDS/IPS trong Cloud chỉ nhìn thấy workload trên Cloud.
Không có vị trí nào quan sát được toàn bộ hệ thống.
Vì vậy, các doanh nghiệp lớn thường triển khai nhiều lớp IDS/IPS theo mô hình Defense in Depth.
Kiến trúc triển khai được khuyến nghị
Một mô hình phổ biến hiện nay là:
Lớp 1 – Internet Edge
⬇
Lớp 2 – Aggregation/Core
⬇
Lớp 3 – Data Center
⬇
Lớp 4 – Cloud
Mỗi lớp đều quan sát một góc nhìn khác nhau, bổ sung cho nhau để tạo thành một hệ thống phòng thủ nhiều tầng.
Góc nhìn của một Security Architect
Một sai lầm phổ biến là xem IDS/IPS như một "chiếc hộp chống hacker".
Thực tế, IDS/IPS hiện đại là một cảm biến (sensor) của toàn bộ hệ thống an ninh mạng. Nó không chỉ phát hiện tấn công mà còn cung cấp dữ liệu ngữ cảnh, hành vi và dấu hiệu xâm nhập cho SIEM, XDR, SOAR và Threat Intelligence. Trong các mô hình SOC hiện đại, IDS/IPS chính là một trong những nguồn telemetry quan trọng nhất để phát hiện sớm và phản ứng với các cuộc tấn công.
Đầu tư vào IDS/IPS là cần thiết, nhưng đặt đúng vị trí mới là yếu tố quyết định để biến nó từ một thiết bị chỉ biết tạo cảnh báo thành một thành phần chủ lực trong chiến lược Defense in Depth và Zero Trust của doanh nghiệp.
Rất nhiều doanh nghiệp đầu tư hàng chục, thậm chí hàng trăm nghìn USD cho IDS/IPS nhưng vẫn để xảy ra sự cố. Vấn đề không phải vì thiết bị yếu, mà vì đặt sai vị trí.
Một IDS/IPS giống như camera an ninh. Camera 8K cũng vô dụng nếu quay vào bức tường thay vì cửa ra vào.
Trong an ninh mạng cũng vậy. Vị trí triển khai quyết định những gì IDS/IPS có thể nhìn thấy, phân tích và ngăn chặn.
1. Aggregation Point – "Trạm quan sát" của toàn bộ hệ thống
Đây là nơi lưu lượng từ nhiều VLAN, nhiều khu vực hoặc nhiều chi nhánh hội tụ trước khi đi đến các tài nguyên khác.
Triển khai IDS/IPS tại Aggregation Point giúp hệ thống không chỉ phát hiện tấn công mà còn xây dựng một bức tranh toàn cảnh về hoạt động của mạng.
Ngoài phân tích gói tin, IDS/IPS còn có thể thu thập rất nhiều Contextual Information như:
- User ID
- Ứng dụng đang sử dụng
- Port và Protocol
- Hệ điều hành của endpoint (OS Fingerprinting)
- Thông tin phiên kết nối
- Metadata của lưu lượng
Đây là nguồn dữ liệu cực kỳ giá trị cho:
- SIEM
- XDR
- SOAR
- NDR
- UEBA (User and Entity Behavior Analytics)
Một SOC hiện đại không chỉ cần biết "có cuộc tấn công xảy ra", mà còn cần biết:
Ai thực hiện? Từ thiết bị nào? Chạy ứng dụng gì? Đang truy cập dịch vụ nào? Có liên quan đến sự kiện nào khác không?
Chính Aggregation Point là nơi cung cấp bức tranh đó.
2. Perimeter Defense – Tuyến phòng thủ đầu tiên
Đây là vị trí quen thuộc nhất.
IDS/IPS được đặt giữa:
- Internet ↔ Enterprise Network
- Internet ↔ DMZ
- Branch ↔ Data Center
Mục tiêu là chặn các mối đe dọa ngay từ cửa ngõ trước khi chúng đi sâu vào hệ thống.
Tại đây IDS/IPS thường xử lý:
- Port Scan
- DDoS
- Malware Download
- Exploit từ Internet
- Botnet Traffic
- Command & Control (C2)
Ngoài Deep Packet Inspection, vị trí này thường tích hợp thêm:
- Firewall
- Threat Intelligence
- URL Filtering
- DNS Security
- Reputation-Based Filtering
- Geo-IP Filtering
Vì đóng vai trò như ranh giới mạng, Routed Mode thường là lựa chọn phù hợp.
3. Internal Segments – Nơi nhiều doanh nghiệp vẫn còn "bỏ trống"
Đây là vị trí ngày càng được các chuyên gia bảo mật đánh giá cao.
Lý do rất đơn giản.
Theo nhiều báo cáo an ninh mạng trong những năm gần đây, phần lớn thiệt hại không xảy ra ở thời điểm hacker xâm nhập, mà xảy ra sau khi chúng đã ở bên trong mạng và bắt đầu di chuyển ngang (Lateral Movement).
Nếu IDS/IPS chỉ đặt ở Internet Edge thì lúc này gần như... không nhìn thấy gì nữa.
Đó là lý do IDS/IPS nên được triển khai trước các tài sản quan trọng như:
- Domain Controller
- Database Server
- ERP
- File Server
- Application Server
- VMware Cluster
- Kubernetes Cluster
Tại đây hệ thống sử dụng các chính sách kiểm tra rất sâu để phát hiện:
- SQL Injection
- Remote Code Execution (RCE)
- Buffer Overflow
- SMB Exploit
- LDAP Attack
- Kerberos Abuse
- Application Exploit
Đây cũng là nơi Deep Packet Inspection phát huy giá trị lớn nhất.
Để giảm ảnh hưởng đến kiến trúc mạng hiện có, nhiều doanh nghiệp lựa chọn Transparent Mode, giúp đưa IDS/IPS vào đường truyền mà không phải thay đổi IP hay định tuyến.
4. Cloud & Hybrid Cloud – Chiến trường mới của IDS/IPS
Ngày nay, ứng dụng không còn nằm hoàn toàn trong Data Center.
Chúng có thể chạy trên:
- AWS
- Azure
- Google Cloud
- Private Cloud
- Kubernetes
- OpenShift
Lưu lượng quan trọng nhất cũng không còn là North-South Traffic mà chuyển thành East-West Traffic giữa các workload.
Một VM bị khai thác có thể nhanh chóng tấn công:
- VM khác
- Container
- Kubernetes Pod
- Database
- API Gateway
Nếu không có IDS/IPS trong Cloud, doanh nghiệp gần như không có khả năng quan sát các cuộc tấn công này.
Các giải pháp hiện đại triển khai dưới dạng:
- Virtual IPS
- Cloud-Native IPS
- Container Security
- Kubernetes Network Security
và hoạt động như một "lá chắn" bảo vệ từng workload trong môi trường Cloud.
Một IDS/IPS là chưa đủ
Đây là điểm mà rất nhiều doanh nghiệp hiểu nhầm.
Họ thường hỏi:
"Nên đặt IDS/IPS ở đâu?"
Câu trả lời của các kiến trúc sư bảo mật thường là:
Ở nhiều nơi.
Một IDS/IPS tại Internet chỉ nhìn thấy lưu lượng Internet.
Một IDS/IPS trong Data Center chỉ nhìn thấy lưu lượng Data Center.
Một IDS/IPS trong Cloud chỉ nhìn thấy workload trên Cloud.
Không có vị trí nào quan sát được toàn bộ hệ thống.
Vì vậy, các doanh nghiệp lớn thường triển khai nhiều lớp IDS/IPS theo mô hình Defense in Depth.
Kiến trúc triển khai được khuyến nghị
Một mô hình phổ biến hiện nay là:
Lớp 1 – Internet Edge
- Firewall + IPS
- Reputation Filtering
- Threat Intelligence
- Anti-Malware
⬇
Lớp 2 – Aggregation/Core
- IDS
- Network Telemetry
- Context Collection
- Flow Analytics
⬇
Lớp 3 – Data Center
- Deep Packet Inspection
- East-West Inspection
- Database Protection
- Application Protection
⬇
Lớp 4 – Cloud
- Virtual IPS
- Kubernetes Security
- Microsegmentation
- Workload Protection
Mỗi lớp đều quan sát một góc nhìn khác nhau, bổ sung cho nhau để tạo thành một hệ thống phòng thủ nhiều tầng.
Góc nhìn của một Security Architect
Một sai lầm phổ biến là xem IDS/IPS như một "chiếc hộp chống hacker".
Thực tế, IDS/IPS hiện đại là một cảm biến (sensor) của toàn bộ hệ thống an ninh mạng. Nó không chỉ phát hiện tấn công mà còn cung cấp dữ liệu ngữ cảnh, hành vi và dấu hiệu xâm nhập cho SIEM, XDR, SOAR và Threat Intelligence. Trong các mô hình SOC hiện đại, IDS/IPS chính là một trong những nguồn telemetry quan trọng nhất để phát hiện sớm và phản ứng với các cuộc tấn công.
Đầu tư vào IDS/IPS là cần thiết, nhưng đặt đúng vị trí mới là yếu tố quyết định để biến nó từ một thiết bị chỉ biết tạo cảnh báo thành một thành phần chủ lực trong chiến lược Defense in Depth và Zero Trust của doanh nghiệp.