Tweet
Trong SD-WAN, mặt phẳng dữ liệu (data plane) là nơi xử lý và truyền tải lưu lượng người dùng qua các tunnel IPsec giữa các WAN Edge. Để đảm bảo an toàn, Cisco đã tích hợp nhiều cơ chế bảo mật nâng cao, bao gồm xác thực, mã hóa AES-256-GCM và kiểm tra toàn vẹn dựa trên ESP với khả năng chống tấn công anti-replay. Vì sao cần bảo mật Data Plane?
Trong mạng truyền thống, khi lưu lượng được gửi trực tiếp qua Internet hoặc MPLS, nếu không mã hóa thì bất kỳ ai cũng có thể sniff gói tin, triển khai tấn công Man-in-the-Middle (MITM) hoặc chèn sửa dữ liệu.
Trong SD-WAN, nền tảng bảo mật của data plane chính là control plane. Vì control plane đã được bảo mật bằng TLS/DTLS, xác thực thiết bị và mã hóa toàn bộ traffic điều khiển, nên ta có thể tin tưởng vào thông tin định tuyến từ control plane để thiết lập các kênh dữ liệu an toàn. Các thành phần bảo mật trong Data Plane
Trong IPsec truyền thống, IKE thực hiện key exchange cho từng cặp thiết bị. Với mô hình full-mesh n nút, sẽ cần n² key exchange và mỗi router phải quản lý (n-1) key. Ví dụ, với 1.000 node → 1.000.000 key exchange, rất khó mở rộng và tiêu tốn tài nguyên.
Ngược lại, SD-WAN loại bỏ IKE:
Cisco SD-WAN Data Plane cung cấp cơ chế bảo mật vượt trội so với IPsec/IKE truyền thống:
Nói cách khác, SD-WAN đã giải quyết triệt để điểm nghẽn về scalability và bảo mật của IPsec/IKE trong môi trường WAN quy mô lớn.
Trong mạng truyền thống, khi lưu lượng được gửi trực tiếp qua Internet hoặc MPLS, nếu không mã hóa thì bất kỳ ai cũng có thể sniff gói tin, triển khai tấn công Man-in-the-Middle (MITM) hoặc chèn sửa dữ liệu.
Trong SD-WAN, nền tảng bảo mật của data plane chính là control plane. Vì control plane đã được bảo mật bằng TLS/DTLS, xác thực thiết bị và mã hóa toàn bộ traffic điều khiển, nên ta có thể tin tưởng vào thông tin định tuyến từ control plane để thiết lập các kênh dữ liệu an toàn. Các thành phần bảo mật trong Data Plane
- Authentication (Xác thực)
- Mô hình key truyền thống: vSmart phân phối khóa IPsec cho Edge.
- Mô hình pairwise key: vSmart phân phối giá trị Diffie-Hellman để Edge dùng ECDH sinh ra cặp khóa IPsec riêng cho từng phiên.
- Cả hai đều dựa trên ESP đã được chỉnh sửa để xác thực tunnel.
- Encryption (Mã hóa)
- Payload của gói dữ liệu được bảo vệ bằng AES-256-GCM.
- Phiên bản ESP được chỉnh sửa còn kiểm tra cả IP/UDP header ngoài, tương tự như Authentication Header (AH).
- Integrity (Toàn vẹn)
- ESP cải tiến hỗ trợ cơ chế giống AH để xác thực header ngoài.
- Các WAN Edge thương lượng thuật toán toàn vẹn mạnh nhất thông qua TLOC property.
- Anti-replay chống kẻ tấn công tái gửi gói tin đã mã hóa.
Trong IPsec truyền thống, IKE thực hiện key exchange cho từng cặp thiết bị. Với mô hình full-mesh n nút, sẽ cần n² key exchange và mỗi router phải quản lý (n-1) key. Ví dụ, với 1.000 node → 1.000.000 key exchange, rất khó mở rộng và tiêu tốn tài nguyên.
Ngược lại, SD-WAN loại bỏ IKE:
- Tận dụng control plane vốn đã an toàn (DTLS/TLS) để trao đổi khóa.
- Chỉ cần n+1 keypath thay vì n².
- Key được phát sinh cục bộ, refresh định kỳ và phân phối qua OMP update.
- Mỗi Edge sinh AES key cho từng TLOC, gửi lên vSmart trong OMP route update.
- vSmart phân phối lại key đến các Edge được phép giao tiếp (theo policy).
- Mặc định key được regenerate mỗi 24h, không làm gián đoạn traffic.
- Từ phiên bản 19.2.x / 16.12.x, SD-WAN hỗ trợ pairwise key (ECDH) tăng cường bảo mật.
- SA giữa các Edge được duy trì bằng BFD chạy trong tunnel IPsec.
- Không có SA idle timeout như IPsec truyền thống → SA tồn tại miễn là BFD còn sống.
- Cơ chế refresh key định kỳ thay thế cho idle timeout.
Cisco SD-WAN Data Plane cung cấp cơ chế bảo mật vượt trội so với IPsec/IKE truyền thống:
- Khả năng mở rộng cao: n+1 key thay vì n².
- Key exchange an toàn: tận dụng control plane đã được mã hóa và xác thực.
- Mã hóa mạnh mẽ: AES-256-GCM, ESP cải tiến, integrity check và anti-replay.
- Tự động hóa: key refresh định kỳ, phân phối qua OMP, không cần cấu hình thủ công.
Nói cách khác, SD-WAN đã giải quyết triệt để điểm nghẽn về scalability và bảo mật của IPsec/IKE trong môi trường WAN quy mô lớn.
Attached Files