Tweet
🔒 Góc nhìn truyền thống về bảo mật mạng WAN – Đã đến lúc nhìn lại?
Trước khi các dịch vụ đám mây lên ngôi, các ứng dụng doanh nghiệp phần lớn được triển khai và vận hành trong trung tâm dữ liệu nội bộ (on-premises data center). Vì thế, kiến trúc WAN truyền thống thường thiết kế toàn bộ traffic từ các chi nhánh (branch) đi về trung tâm dữ liệu (data center). Tại đây, các security stack – tức là các thiết bị bảo mật trọng yếu – được triển khai tập trung để kiểm soát truy cập, bảo vệ dữ liệu và phòng chống tấn công.
Về mặt kỹ thuật, trong mô hình này, hệ thống bảo mật sẽ bao gồm:
Nghe có vẻ toàn diện, nhưng…
⚠️ Vấn đề bắt đầu khi... Cloud xuất hiện!
Khi các doanh nghiệp bắt đầu chuyển dịch lên Cloud (Office 365, Salesforce, AWS, Azure...), thì lưu lượng mạng không còn đi về data center nữa mà trực tiếp ra Internet. Điều này làm cho mô hình backhaul truyền thống trở nên:
Ví dụ thực tế: Một chi nhánh tại Đà Nẵng truy cập Office 365. Lưu lượng bị ép backhaul về data center ở TP.HCM để kiểm tra, sau đó mới ra Internet. Kết quả: latency cao, chất lượng video kém, người dùng phản ánh thường xuyên.
🔄 Mô hình bảo mật truyền thống: Không còn phù hợp?
Việc mở rộng bảo mật bằng cách gia tăng throughput cho thiết bị tường lửa tại trung tâm dữ liệu, hoặc nâng cấp đường truyền MPLS, sẽ rất tốn kém và khó nhân rộng cho các doanh nghiệp có hàng trăm chi nhánh.
Ngoài ra, việc vận hành một stack bảo mật tập trung đòi hỏi đội ngũ vận hành phải có kiến thức sâu, phải liên tục update các chính sách – một bài toán không dễ trong môi trường dynamic như hiện nay.
📌 Tổng kết nhanh
Mô hình WAN truyền thống dựa vào bảo mật tập trung tại trung tâm dữ liệu bao gồm:
✅ Stateful Firewall
✅ Application-Aware Firewall
✅ IDS/IPS
✅ DNS/URL Filtering
✅ TLS/SSL Decryption
✅ Antimalware
✅ Sandboxing
Tuy nhiên, khi xu hướng SaaS-first và Cloud-first lên ngôi, mô hình này trở nên thiếu linh hoạt, tăng độ trễ và khó mở rộng.
💡 Vậy giải pháp thay thế là gì?
Câu trả lời nằm ở các mô hình bảo mật phân tán, như:
Trước khi các dịch vụ đám mây lên ngôi, các ứng dụng doanh nghiệp phần lớn được triển khai và vận hành trong trung tâm dữ liệu nội bộ (on-premises data center). Vì thế, kiến trúc WAN truyền thống thường thiết kế toàn bộ traffic từ các chi nhánh (branch) đi về trung tâm dữ liệu (data center). Tại đây, các security stack – tức là các thiết bị bảo mật trọng yếu – được triển khai tập trung để kiểm soát truy cập, bảo vệ dữ liệu và phòng chống tấn công.
Về mặt kỹ thuật, trong mô hình này, hệ thống bảo mật sẽ bao gồm:
- Stateful Firewall (tường lửa có trạng thái) hoạt động ở tầng 4, theo dõi trạng thái các phiên giao tiếp mạng.
- Application-Aware Firewall hỗ trợ phân tích và kiểm soát theo ứng dụng, chẳng hạn như phân biệt giữa Facebook và Facebook Messenger.
- Hệ thống IDS/IPS (Intrusion Detection/Prevention) để phát hiện hoặc ngăn chặn các hành vi xâm nhập bất thường.
- DNS Filtering hoặc Cisco URL Filtering để kiểm soát truy cập web, thường triển khai dưới dạng proxy lọc.
- TLS/SSL Decryption để giải mã lưu lượng được mã hóa, giúp các giải pháp bảo mật nội dung kiểm tra sâu hơn.
- Antimalware để ngăn tải xuống file độc hại, lọc nội dung nguy hiểm.
- Sandboxing để cách ly và phân tích các file không rõ nguồn gốc, kiểm tra các kỹ thuật tấn công “day 0”.
Nghe có vẻ toàn diện, nhưng…
⚠️ Vấn đề bắt đầu khi... Cloud xuất hiện!
Khi các doanh nghiệp bắt đầu chuyển dịch lên Cloud (Office 365, Salesforce, AWS, Azure...), thì lưu lượng mạng không còn đi về data center nữa mà trực tiếp ra Internet. Điều này làm cho mô hình backhaul truyền thống trở nên:
- Tốn kém và phức tạp: Mọi traffic đi Internet phải “quá giang” về trung tâm dữ liệu để được kiểm tra bảo mật.
- Tăng độ trễ (latency): Vì không còn tuyến đường tối ưu trực tiếp tới dịch vụ cloud.
- Trải nghiệm người dùng bị ảnh hưởng: Đặc biệt là khi truy cập ứng dụng SaaS như Microsoft Teams, Zoom, hay Google Meet.
Ví dụ thực tế: Một chi nhánh tại Đà Nẵng truy cập Office 365. Lưu lượng bị ép backhaul về data center ở TP.HCM để kiểm tra, sau đó mới ra Internet. Kết quả: latency cao, chất lượng video kém, người dùng phản ánh thường xuyên.
🔄 Mô hình bảo mật truyền thống: Không còn phù hợp?
Việc mở rộng bảo mật bằng cách gia tăng throughput cho thiết bị tường lửa tại trung tâm dữ liệu, hoặc nâng cấp đường truyền MPLS, sẽ rất tốn kém và khó nhân rộng cho các doanh nghiệp có hàng trăm chi nhánh.
Ngoài ra, việc vận hành một stack bảo mật tập trung đòi hỏi đội ngũ vận hành phải có kiến thức sâu, phải liên tục update các chính sách – một bài toán không dễ trong môi trường dynamic như hiện nay.
📌 Tổng kết nhanh
Mô hình WAN truyền thống dựa vào bảo mật tập trung tại trung tâm dữ liệu bao gồm:
✅ Stateful Firewall
✅ Application-Aware Firewall
✅ IDS/IPS
✅ DNS/URL Filtering
✅ TLS/SSL Decryption
✅ Antimalware
✅ Sandboxing
Tuy nhiên, khi xu hướng SaaS-first và Cloud-first lên ngôi, mô hình này trở nên thiếu linh hoạt, tăng độ trễ và khó mở rộng.
💡 Vậy giải pháp thay thế là gì?
Câu trả lời nằm ở các mô hình bảo mật phân tán, như:
- Secure Access Service Edge (SASE)
- Cloud-delivered Firewall
- Local Internet Breakout với kiểm soát tập trung
- Zero Trust Network Access (ZTNA)
Attached Files