VPN trên NGFW – Hacker có thể nhìn thấy mọi gói tin của bạn... nếu không có VPN
Hãy tưởng tượng một nhân viên đang ngồi làm việc tại quán cà phê và kết nối vào hệ thống ERP của công ty.
Hoặc một chi nhánh đang đồng bộ dữ liệu tài chính với Data Center thông qua Internet.
Hay một quản trị viên đăng nhập SSH vào firewall của doanh nghiệp từ khách sạn khi đang đi công tác.
Nếu những phiên làm việc này không được mã hóa, toàn bộ dữ liệu có thể bị đọc, ghi lại hoặc thậm chí bị sửa đổi bởi bất kỳ ai có khả năng quan sát lưu lượng trên đường truyền.
Đây chính là lý do VPN vẫn là một trong những công nghệ quan trọng nhất trong an ninh mạng hiện đại.
VPN không chỉ tạo ra một kết nối từ điểm A đến điểm B.
Nó tạo ra một đường hầm được mã hóa (Encrypted Tunnel), biến một hạ tầng công cộng như Internet thành một "mạng riêng" để doanh nghiệp có thể truyền dữ liệu một cách an toàn.
Và trên các Next-Generation Firewall (NGFW), VPN không còn là một tính năng độc lập. Nó được tích hợp chặt chẽ với Firewall, IPS, Threat Intelligence và Identity-Based Policy để vừa bảo vệ đường truyền, vừa kiểm soát những gì đang đi qua đường truyền đó.
VPN thực sự bảo vệ điều gì?
Một hiểu lầm khá phổ biến là:
Chưa đủ.
VPN bảo vệ đồng thời ba thuộc tính quan trọng của an toàn thông tin: Tính bảo mật (Confidentiality)
Dữ liệu được mã hóa trước khi rời khỏi thiết bị.
Nếu hacker chặn được lưu lượng trên Internet, họ chỉ nhìn thấy các gói tin đã được mã hóa.
Tính toàn vẹn (Integrity)
VPN đảm bảo dữ liệu không bị sửa đổi trong quá trình truyền.
Nếu bất kỳ gói tin nào bị thay đổi, phía nhận sẽ phát hiện và từ chối.
Xác thực (Authentication)
Hai đầu VPN phải chứng minh danh tính trước khi thiết lập đường hầm.
Điều này giúp ngăn chặn các thiết bị giả mạo tham gia vào kết nối.
Đó là lý do VPN hiện đại như IPsec VPN sử dụng các giao thức như IKEv2, chứng chỉ số (Digital Certificate) hoặc khóa chia sẻ trước (Pre-Shared Key) để xác thực các bên tham gia.
Site-to-Site VPN – "Đường cao tốc" kết nối các chi nhánh
Đây là loại VPN quen thuộc nhất trong doanh nghiệp.
Thay vì kết nối từng người dùng, Site-to-Site VPN (S2S VPN) kết nối toàn bộ mạng LAN của hai hoặc nhiều địa điểm.
Ví dụ:
Toàn bộ lưu lượng giữa các địa điểm sẽ được mã hóa trước khi đi qua Internet.
Đối với người dùng, trải nghiệm gần như không khác gì đang làm việc trong cùng một mạng nội bộ.
Đây là giải pháp phổ biến để truyền:
Remote Access VPN – Văn phòng ở bất cứ đâu
Sau đại dịch COVID-19, mô hình Hybrid Work đã thay đổi hoàn toàn cách doanh nghiệp vận hành.
Nhân viên có thể làm việc từ:
Nhưng dữ liệu doanh nghiệp vẫn phải được bảo vệ như khi họ đang ngồi trong văn phòng.
Đó là vai trò của Remote Access VPN (RAVPN).
Sau khi xác thực thành công (thường kết hợp Multi-Factor Authentication - MFA), người dùng sẽ được cấp quyền truy cập vào các tài nguyên nội bộ như:
Điều này giúp doanh nghiệp mở rộng khả năng làm việc từ xa mà không phải mở trực tiếp các dịch vụ nội bộ ra Internet.
Clientless VPN – Không cần cài phần mềm vẫn truy cập an toàn
Không phải mọi người dùng đều có thể cài đặt VPN Client.
Ví dụ:
Trong những trường hợp này, Clientless VPN là lựa chọn phù hợp.
Thông qua SSL/TLS, người dùng chỉ cần một trình duyệt web để truy cập các cổng thông tin hoặc ứng dụng nội bộ được cấp quyền.
Đây là giải pháp rất hữu ích khi cần cung cấp quyền truy cập giới hạn mà không phải triển khai phần mềm VPN trên thiết bị của người dùng.
VPN nên được triển khai ở đâu?
Một hệ thống doanh nghiệp hiện đại thường triển khai VPN tại nhiều vị trí khác nhau. Internet Edge
Đây là nơi phổ biến nhất.
NGFW đóng vai trò là VPN Gateway, tiếp nhận các kết nối từ Internet, xác thực người dùng hoặc chi nhánh, sau đó thiết lập các đường hầm được mã hóa.
Đồng thời, firewall còn thực hiện:
WAN Edge
Đây là nơi kết nối:
Trong nhiều doanh nghiệp, Site-to-Site VPN tại WAN Edge đã thay thế phần lớn các đường truyền riêng đắt tiền, giúp giảm chi phí nhưng vẫn duy trì mức độ bảo mật cao.
Enterprise Branch
Các chi nhánh từ xa thường sử dụng kết nối Internet băng rộng để thiết lập VPN về trung tâm.
Trong các kiến trúc SD-WAN, những đường hầm VPN này còn tạo thành Overlay Network, giúp doanh nghiệp xây dựng mạng WAN linh hoạt, tối ưu đường đi và tăng khả năng dự phòng.
VPN trên NGFW mạnh hơn VPN truyền thống ở điểm nào?
Ngày trước, VPN chỉ đơn giản là:
Ngày nay, trên Next-Generation Firewall, mọi thứ không dừng lại ở đó.
Sau khi lưu lượng được giải mã, NGFW có thể tiếp tục:
Điều đó có nghĩa là một gói tin đi qua VPN không được mặc định là "an toàn" chỉ vì nó đã được mã hóa.
Nếu lưu lượng VPN chứa malware hoặc exploit, NGFW vẫn có thể phát hiện và ngăn chặn trước khi chúng xâm nhập vào mạng nội bộ.
Đây là điểm khác biệt rất lớn giữa VPN trên NGFW và các thiết bị VPN truyền thống.
Điều mà rất nhiều doanh nghiệp vẫn hiểu sai
Một câu nói rất phổ biến là:
Thực tế, VPN chỉ bảo vệ đường truyền, chứ không bảo vệ thiết bị.
Nếu:
Thì VPN sẽ tạo ra... một đường hầm được mã hóa để chính kẻ tấn công đi thẳng vào mạng doanh nghiệp.
Đây là lý do nhiều vụ tấn công ransomware lớn trên thế giới bắt đầu bằng Remote Access VPN bị lộ thông tin đăng nhập hoặc không được bảo vệ bằng MFA.
Góc nhìn của một Security Architect
Trong các kiến trúc bảo mật hiện đại, VPN không còn được xem là "đích đến" mà chỉ là một thành phần của chiến lược truy cập an toàn. Một kết nối VPN chỉ nên là bước đầu tiên để thiết lập kênh truyền được mã hóa. Sau đó, doanh nghiệp vẫn cần xác minh danh tính bằng MFA, đánh giá trạng thái bảo mật của thiết bị (Posture Assessment), áp dụng Least Privilege, kiểm tra lưu lượng bằng IPS và giám sát liên tục thông qua SIEM/XDR.
Xu hướng hiện nay cũng đang dịch chuyển từ mô hình "kết nối vào mạng" sang "kết nối vào ứng dụng" với các giải pháp như Zero Trust Network Access (ZTNA) và Secure Access Service Edge (SASE). Tuy nhiên, VPN – đặc biệt là IPsec Site-to-Site VPN và Remote Access VPN – vẫn là nền tảng quan trọng trong rất nhiều hệ thống doanh nghiệp, Data Center và SD-WAN. Điều thay đổi không phải là VPN đã lỗi thời, mà là VPN cần được tích hợp vào một kiến trúc Zero Trust toàn diện thay vì hoạt động như một giải pháp độc lập.
Hãy tưởng tượng một nhân viên đang ngồi làm việc tại quán cà phê và kết nối vào hệ thống ERP của công ty.
Hoặc một chi nhánh đang đồng bộ dữ liệu tài chính với Data Center thông qua Internet.
Hay một quản trị viên đăng nhập SSH vào firewall của doanh nghiệp từ khách sạn khi đang đi công tác.
Nếu những phiên làm việc này không được mã hóa, toàn bộ dữ liệu có thể bị đọc, ghi lại hoặc thậm chí bị sửa đổi bởi bất kỳ ai có khả năng quan sát lưu lượng trên đường truyền.
Đây chính là lý do VPN vẫn là một trong những công nghệ quan trọng nhất trong an ninh mạng hiện đại.
VPN không chỉ tạo ra một kết nối từ điểm A đến điểm B.
Nó tạo ra một đường hầm được mã hóa (Encrypted Tunnel), biến một hạ tầng công cộng như Internet thành một "mạng riêng" để doanh nghiệp có thể truyền dữ liệu một cách an toàn.
Và trên các Next-Generation Firewall (NGFW), VPN không còn là một tính năng độc lập. Nó được tích hợp chặt chẽ với Firewall, IPS, Threat Intelligence và Identity-Based Policy để vừa bảo vệ đường truyền, vừa kiểm soát những gì đang đi qua đường truyền đó.
VPN thực sự bảo vệ điều gì?
Một hiểu lầm khá phổ biến là:
"VPN giúp ẩn dữ liệu."
Chưa đủ.
VPN bảo vệ đồng thời ba thuộc tính quan trọng của an toàn thông tin: Tính bảo mật (Confidentiality)
Dữ liệu được mã hóa trước khi rời khỏi thiết bị.
Nếu hacker chặn được lưu lượng trên Internet, họ chỉ nhìn thấy các gói tin đã được mã hóa.
Tính toàn vẹn (Integrity)
VPN đảm bảo dữ liệu không bị sửa đổi trong quá trình truyền.
Nếu bất kỳ gói tin nào bị thay đổi, phía nhận sẽ phát hiện và từ chối.
Xác thực (Authentication)
Hai đầu VPN phải chứng minh danh tính trước khi thiết lập đường hầm.
Điều này giúp ngăn chặn các thiết bị giả mạo tham gia vào kết nối.
Đó là lý do VPN hiện đại như IPsec VPN sử dụng các giao thức như IKEv2, chứng chỉ số (Digital Certificate) hoặc khóa chia sẻ trước (Pre-Shared Key) để xác thực các bên tham gia.
Site-to-Site VPN – "Đường cao tốc" kết nối các chi nhánh
Đây là loại VPN quen thuộc nhất trong doanh nghiệp.
Thay vì kết nối từng người dùng, Site-to-Site VPN (S2S VPN) kết nối toàn bộ mạng LAN của hai hoặc nhiều địa điểm.
Ví dụ:
- Trụ sở chính tại TP.HCM.
- Chi nhánh Hà Nội.
- Data Center.
- Kho hàng.
- Nhà máy sản xuất.
Toàn bộ lưu lượng giữa các địa điểm sẽ được mã hóa trước khi đi qua Internet.
Đối với người dùng, trải nghiệm gần như không khác gì đang làm việc trong cùng một mạng nội bộ.
Đây là giải pháp phổ biến để truyền:
- ERP.
- SAP.
- Giao dịch tài chính.
- Đồng bộ Active Directory.
- Replication cơ sở dữ liệu.
- Sao lưu giữa các Data Center.
Remote Access VPN – Văn phòng ở bất cứ đâu
Sau đại dịch COVID-19, mô hình Hybrid Work đã thay đổi hoàn toàn cách doanh nghiệp vận hành.
Nhân viên có thể làm việc từ:
- Nhà.
- Khách sạn.
- Sân bay.
- Quán cà phê.
- Quốc gia khác.
Nhưng dữ liệu doanh nghiệp vẫn phải được bảo vệ như khi họ đang ngồi trong văn phòng.
Đó là vai trò của Remote Access VPN (RAVPN).
Sau khi xác thực thành công (thường kết hợp Multi-Factor Authentication - MFA), người dùng sẽ được cấp quyền truy cập vào các tài nguyên nội bộ như:
- ERP.
- CRM.
- File Server.
- Hệ thống quản trị.
- Ứng dụng nội bộ.
Điều này giúp doanh nghiệp mở rộng khả năng làm việc từ xa mà không phải mở trực tiếp các dịch vụ nội bộ ra Internet.
Clientless VPN – Không cần cài phần mềm vẫn truy cập an toàn
Không phải mọi người dùng đều có thể cài đặt VPN Client.
Ví dụ:
- Đối tác.
- Nhà thầu.
- Khách hàng.
- Nhân viên sử dụng thiết bị cá nhân.
Trong những trường hợp này, Clientless VPN là lựa chọn phù hợp.
Thông qua SSL/TLS, người dùng chỉ cần một trình duyệt web để truy cập các cổng thông tin hoặc ứng dụng nội bộ được cấp quyền.
Đây là giải pháp rất hữu ích khi cần cung cấp quyền truy cập giới hạn mà không phải triển khai phần mềm VPN trên thiết bị của người dùng.
VPN nên được triển khai ở đâu?
Một hệ thống doanh nghiệp hiện đại thường triển khai VPN tại nhiều vị trí khác nhau. Internet Edge
Đây là nơi phổ biến nhất.
NGFW đóng vai trò là VPN Gateway, tiếp nhận các kết nối từ Internet, xác thực người dùng hoặc chi nhánh, sau đó thiết lập các đường hầm được mã hóa.
Đồng thời, firewall còn thực hiện:
- IPS.
- URL Filtering.
- Malware Inspection.
- Threat Intelligence.
- Application Control.
WAN Edge
Đây là nơi kết nối:
- Trụ sở chính.
- Chi nhánh.
- Data Center.
Trong nhiều doanh nghiệp, Site-to-Site VPN tại WAN Edge đã thay thế phần lớn các đường truyền riêng đắt tiền, giúp giảm chi phí nhưng vẫn duy trì mức độ bảo mật cao.
Enterprise Branch
Các chi nhánh từ xa thường sử dụng kết nối Internet băng rộng để thiết lập VPN về trung tâm.
Trong các kiến trúc SD-WAN, những đường hầm VPN này còn tạo thành Overlay Network, giúp doanh nghiệp xây dựng mạng WAN linh hoạt, tối ưu đường đi và tăng khả năng dự phòng.
VPN trên NGFW mạnh hơn VPN truyền thống ở điểm nào?
Ngày trước, VPN chỉ đơn giản là:
Mã hóa → Truyền → Giải mã.
Ngày nay, trên Next-Generation Firewall, mọi thứ không dừng lại ở đó.
Sau khi lưu lượng được giải mã, NGFW có thể tiếp tục:
- Deep Packet Inspection (DPI).
- Intrusion Prevention System (IPS).
- Malware Detection.
- URL Filtering.
- Application Identification.
- User Identity Mapping.
- Threat Intelligence.
- Data Loss Prevention (DLP).
Điều đó có nghĩa là một gói tin đi qua VPN không được mặc định là "an toàn" chỉ vì nó đã được mã hóa.
Nếu lưu lượng VPN chứa malware hoặc exploit, NGFW vẫn có thể phát hiện và ngăn chặn trước khi chúng xâm nhập vào mạng nội bộ.
Đây là điểm khác biệt rất lớn giữa VPN trên NGFW và các thiết bị VPN truyền thống.
Điều mà rất nhiều doanh nghiệp vẫn hiểu sai
Một câu nói rất phổ biến là:
"Có VPN rồi thì an toàn."
Thực tế, VPN chỉ bảo vệ đường truyền, chứ không bảo vệ thiết bị.
Nếu:
- Laptop bị nhiễm ransomware.
- Tài khoản VPN bị đánh cắp.
- Thiết bị không vá lỗ hổng.
- Người dùng bị phishing.
Thì VPN sẽ tạo ra... một đường hầm được mã hóa để chính kẻ tấn công đi thẳng vào mạng doanh nghiệp.
Đây là lý do nhiều vụ tấn công ransomware lớn trên thế giới bắt đầu bằng Remote Access VPN bị lộ thông tin đăng nhập hoặc không được bảo vệ bằng MFA.
Góc nhìn của một Security Architect
Trong các kiến trúc bảo mật hiện đại, VPN không còn được xem là "đích đến" mà chỉ là một thành phần của chiến lược truy cập an toàn. Một kết nối VPN chỉ nên là bước đầu tiên để thiết lập kênh truyền được mã hóa. Sau đó, doanh nghiệp vẫn cần xác minh danh tính bằng MFA, đánh giá trạng thái bảo mật của thiết bị (Posture Assessment), áp dụng Least Privilege, kiểm tra lưu lượng bằng IPS và giám sát liên tục thông qua SIEM/XDR.
Xu hướng hiện nay cũng đang dịch chuyển từ mô hình "kết nối vào mạng" sang "kết nối vào ứng dụng" với các giải pháp như Zero Trust Network Access (ZTNA) và Secure Access Service Edge (SASE). Tuy nhiên, VPN – đặc biệt là IPsec Site-to-Site VPN và Remote Access VPN – vẫn là nền tảng quan trọng trong rất nhiều hệ thống doanh nghiệp, Data Center và SD-WAN. Điều thay đổi không phải là VPN đã lỗi thời, mà là VPN cần được tích hợp vào một kiến trúc Zero Trust toàn diện thay vì hoạt động như một giải pháp độc lập.