Đây là một slide rất đáng chú ý vì nó phản ánh xu hướng bảo mật mới của các AI Data Center và môi trường Hybrid Cloud. Thay vì chỉ dựa vào một chiếc firewall đặt ở biên mạng (Perimeter Firewall), Cisco đang hướng đến mô hình Hybrid Mesh Firewall, nơi khả năng bảo vệ được phân tán khắp hạ tầng, từ switch, máy chủ, workload, Kubernetes cho đến ứng dụng AI.
Hybrid Mesh Firewall – Firewall không còn là một thiết bị
Trong nhiều năm, khi nhắc đến Firewall, chúng ta thường nghĩ đến một thiết bị NGFW đặt ở cổng Internet hoặc giữa các vùng mạng.
Kiến trúc này hoạt động tốt khi phần lớn ứng dụng nằm trong Data Center và lưu lượng chủ yếu đi từ người dùng vào hệ thống (North-South Traffic).
Nhưng AI đã làm thay đổi hoàn toàn cách dữ liệu di chuyển.
Trong AI Data Center hiện đại:
Một firewall đặt ở biên mạng không còn đủ để quan sát và bảo vệ toàn bộ hệ thống.
Đó là lý do Cisco giới thiệu kiến trúc Hybrid Mesh Firewall.
Security Cloud Control – Bộ não điều khiển tập trung
Ở trung tâm sơ đồ là Security Cloud Control.
Đây không phải là firewall, mà là nền tảng quản lý tập trung.
Security Cloud Control giúp:
Nhờ đó, doanh nghiệp có thể áp dụng một chính sách bảo mật thống nhất cho Data Center, Cloud và Edge thay vì cấu hình riêng lẻ trên từng thiết bị.
Secure Firewall – Lớp bảo vệ truyền thống
Đây là dòng Cisco Secure Firewall (Firepower).
Nó vẫn đảm nhiệm những vai trò quen thuộc như:
Firewall vật lý vẫn rất quan trọng để kiểm soát lưu lượng North-South giữa Internet và hệ thống nội bộ.
Secure Workload – Bảo vệ từng máy chủ và ứng dụng
AI ngày nay chủ yếu chạy trong:
Secure Workload tập trung bảo vệ từng workload thay vì chỉ bảo vệ mạng.
Các chức năng chính gồm:
Nếu một container bị xâm nhập, chính sách có thể giới hạn ngay phạm vi giao tiếp để ngăn kẻ tấn công lan sang các workload khác.
Cilium – Bảo mật Kubernetes bằng eBPF
Một thành phần nổi bật là Cilium.
Cilium là nền tảng mã nguồn mở sử dụng eBPF trong Linux để kiểm soát lưu lượng mạng ngay trong nhân hệ điều hành.
Trong Kubernetes, Cilium đảm nhận nhiều vai trò:
Nhờ eBPF, Cilium có thể kiểm tra và áp dụng chính sách cho lưu lượng giữa các container mà không cần chuyển qua firewall vật lý, giúp giảm độ trễ và tăng hiệu năng.
Hypershield – Firewall phân tán bằng eBPF và DPU
Hypershield là một trong những công nghệ mới nhất của Cisco.
Thay vì chỉ bảo vệ tại một điểm, Hypershield đưa khả năng bảo mật đến gần từng workload.
Nó tận dụng:
Điều này cho phép chính sách bảo mật được thực thi ngay tại nơi lưu lượng được tạo ra, thay vì đợi đến khi dữ liệu đi qua một firewall tập trung.
Đối với AI Data Center, nơi lưu lượng East-West giữa các GPU và container rất lớn, cách tiếp cận này giúp giảm độ trễ và hạn chế các điểm nghẽn.
Smart Switch – Switch cũng trở thành thiết bị bảo mật
Một điểm mới trong kiến trúc là Smart Switch.
Các switch thế hệ mới không còn chỉ chuyển tiếp gói tin.
Chúng có thể:
Nhờ đó, một phần lưu lượng độc hại có thể bị chặn ngay tại switch mà không cần chuyển lên firewall.
3rd Party Firewall – Không khóa khách hàng vào một hệ sinh thái
Một điểm đáng chú ý là Cisco không chỉ hỗ trợ các sản phẩm của mình.
Kiến trúc Hybrid Mesh Firewall vẫn có thể tích hợp với các firewall của bên thứ ba như:
Điều này giúp doanh nghiệp bảo vệ khoản đầu tư hiện có và triển khai dần theo lộ trình phù hợp, thay vì phải thay thế toàn bộ hạ tầng.
Bảo vệ từ hạ tầng đến ứng dụng
Dòng chữ cuối của sơ đồ là:
Đây chính là triết lý của Hybrid Mesh Firewall.
Thay vì chỉ bảo vệ tại lớp mạng, hệ thống mở rộng khả năng kiểm soát đến mọi tầng của AI Stack:
Mỗi lớp đều có khả năng thực thi chính sách bảo mật, tạo thành một "lưới" (mesh) thay vì phụ thuộc vào một điểm kiểm soát duy nhất.
Kết luận
Hybrid Mesh Firewall đánh dấu sự chuyển dịch từ mô hình "một firewall bảo vệ cả hệ thống" sang "bảo mật được phân tán trên toàn bộ hạ tầng". Trong các AI Data Center hiện đại, nơi hàng nghìn container, AI Agent và GPU liên tục trao đổi dữ liệu, lưu lượng East-West đã vượt xa lưu lượng North-South truyền thống. Vì vậy, việc chỉ đặt firewall ở biên mạng không còn đáp ứng được yêu cầu về hiệu năng và an toàn.
Bằng cách kết hợp Cisco Secure Firewall, Secure Workload, Cilium, Hypershield, Smart Switch và Security Cloud Control, Cisco xây dựng một kiến trúc bảo mật nhiều lớp, nơi chính sách có thể được thực thi ngay tại switch, DPU, máy chủ hoặc workload. Đây cũng là xu hướng chung của ngành an ninh mạng: đưa khả năng bảo vệ đến sát nơi dữ liệu được tạo ra và xử lý, giúp AI Data Center vừa đạt hiệu năng cao vừa đáp ứng các yêu cầu ngày càng khắt khe về bảo mật và Zero Trust.
Hybrid Mesh Firewall – Firewall không còn là một thiết bị
Trong nhiều năm, khi nhắc đến Firewall, chúng ta thường nghĩ đến một thiết bị NGFW đặt ở cổng Internet hoặc giữa các vùng mạng.
Kiến trúc này hoạt động tốt khi phần lớn ứng dụng nằm trong Data Center và lưu lượng chủ yếu đi từ người dùng vào hệ thống (North-South Traffic).
Nhưng AI đã làm thay đổi hoàn toàn cách dữ liệu di chuyển.
Trong AI Data Center hiện đại:
- AI Agent liên tục gọi API.
- Kubernetes tạo và hủy container liên tục.
- GPU trao đổi dữ liệu với GPU.
- Workload chạy trên nhiều Cloud khác nhau.
- Lưu lượng East-West chiếm tỷ trọng lớn.
Một firewall đặt ở biên mạng không còn đủ để quan sát và bảo vệ toàn bộ hệ thống.
Đó là lý do Cisco giới thiệu kiến trúc Hybrid Mesh Firewall.
Security Cloud Control – Bộ não điều khiển tập trung
Ở trung tâm sơ đồ là Security Cloud Control.
Đây không phải là firewall, mà là nền tảng quản lý tập trung.
Security Cloud Control giúp:
- Quản lý policy.
- Đồng bộ cấu hình.
- Theo dõi toàn bộ firewall.
- Thu thập telemetry.
- Điều phối bảo mật trên Hybrid Cloud.
Nhờ đó, doanh nghiệp có thể áp dụng một chính sách bảo mật thống nhất cho Data Center, Cloud và Edge thay vì cấu hình riêng lẻ trên từng thiết bị.
Secure Firewall – Lớp bảo vệ truyền thống
Đây là dòng Cisco Secure Firewall (Firepower).
Nó vẫn đảm nhiệm những vai trò quen thuộc như:
- NGFW.
- IPS.
- VPN.
- URL Filtering.
- Malware Protection.
- SSL Inspection.
Firewall vật lý vẫn rất quan trọng để kiểm soát lưu lượng North-South giữa Internet và hệ thống nội bộ.
Secure Workload – Bảo vệ từng máy chủ và ứng dụng
AI ngày nay chủ yếu chạy trong:
- Virtual Machine.
- Kubernetes.
- Container.
- Bare Metal GPU Server.
Secure Workload tập trung bảo vệ từng workload thay vì chỉ bảo vệ mạng.
Các chức năng chính gồm:
- Microsegmentation.
- Zero Trust.
- Quan sát luồng ứng dụng.
- Phát hiện hành vi bất thường.
- Kiểm soát giao tiếp giữa các dịch vụ.
Nếu một container bị xâm nhập, chính sách có thể giới hạn ngay phạm vi giao tiếp để ngăn kẻ tấn công lan sang các workload khác.
Cilium – Bảo mật Kubernetes bằng eBPF
Một thành phần nổi bật là Cilium.
Cilium là nền tảng mã nguồn mở sử dụng eBPF trong Linux để kiểm soát lưu lượng mạng ngay trong nhân hệ điều hành.
Trong Kubernetes, Cilium đảm nhận nhiều vai trò:
- CNI (Container Network Interface).
- Network Policy.
- Service Mesh.
- Observability.
- Load Balancing.
Nhờ eBPF, Cilium có thể kiểm tra và áp dụng chính sách cho lưu lượng giữa các container mà không cần chuyển qua firewall vật lý, giúp giảm độ trễ và tăng hiệu năng.
Hypershield – Firewall phân tán bằng eBPF và DPU
Hypershield là một trong những công nghệ mới nhất của Cisco.
Thay vì chỉ bảo vệ tại một điểm, Hypershield đưa khả năng bảo mật đến gần từng workload.
Nó tận dụng:
- eBPF trên Linux.
- DPU (Data Processing Unit).
- AI.
- Distributed Enforcement.
Điều này cho phép chính sách bảo mật được thực thi ngay tại nơi lưu lượng được tạo ra, thay vì đợi đến khi dữ liệu đi qua một firewall tập trung.
Đối với AI Data Center, nơi lưu lượng East-West giữa các GPU và container rất lớn, cách tiếp cận này giúp giảm độ trễ và hạn chế các điểm nghẽn.
Smart Switch – Switch cũng trở thành thiết bị bảo mật
Một điểm mới trong kiến trúc là Smart Switch.
Các switch thế hệ mới không còn chỉ chuyển tiếp gói tin.
Chúng có thể:
- Thực hiện ACL phần cứng.
- Phát hiện bất thường.
- Telemetry thời gian thực.
- Hỗ trợ eBPF hoặc DPU.
- Thực thi một phần chính sách bảo mật ngay trong tầng mạng.
Nhờ đó, một phần lưu lượng độc hại có thể bị chặn ngay tại switch mà không cần chuyển lên firewall.
3rd Party Firewall – Không khóa khách hàng vào một hệ sinh thái
Một điểm đáng chú ý là Cisco không chỉ hỗ trợ các sản phẩm của mình.
Kiến trúc Hybrid Mesh Firewall vẫn có thể tích hợp với các firewall của bên thứ ba như:
- Palo Alto Networks.
- Fortinet.
- Check Point.
- Juniper.
- Các nền tảng bảo mật khác.
Điều này giúp doanh nghiệp bảo vệ khoản đầu tư hiện có và triển khai dần theo lộ trình phù hợp, thay vì phải thay thế toàn bộ hạ tầng.
Bảo vệ từ hạ tầng đến ứng dụng
Dòng chữ cuối của sơ đồ là:
Protecting from the infrastructure to the application layer
Đây chính là triết lý của Hybrid Mesh Firewall.
Thay vì chỉ bảo vệ tại lớp mạng, hệ thống mở rộng khả năng kiểm soát đến mọi tầng của AI Stack:
- Infrastructure Layer: Switch, DPU, NIC, GPU Server.
- Network Layer: Secure Firewall, Smart Switch.
- Container Layer: Cilium, Kubernetes Network Policy.
- Workload Layer: Secure Workload, Microsegmentation.
- Application Layer: AI Agent, API, LLM Service.
- Cloud Layer: Security Cloud Control và chính sách xuyên suốt Hybrid Cloud.
Mỗi lớp đều có khả năng thực thi chính sách bảo mật, tạo thành một "lưới" (mesh) thay vì phụ thuộc vào một điểm kiểm soát duy nhất.
Kết luận
Hybrid Mesh Firewall đánh dấu sự chuyển dịch từ mô hình "một firewall bảo vệ cả hệ thống" sang "bảo mật được phân tán trên toàn bộ hạ tầng". Trong các AI Data Center hiện đại, nơi hàng nghìn container, AI Agent và GPU liên tục trao đổi dữ liệu, lưu lượng East-West đã vượt xa lưu lượng North-South truyền thống. Vì vậy, việc chỉ đặt firewall ở biên mạng không còn đáp ứng được yêu cầu về hiệu năng và an toàn.
Bằng cách kết hợp Cisco Secure Firewall, Secure Workload, Cilium, Hypershield, Smart Switch và Security Cloud Control, Cisco xây dựng một kiến trúc bảo mật nhiều lớp, nơi chính sách có thể được thực thi ngay tại switch, DPU, máy chủ hoặc workload. Đây cũng là xu hướng chung của ngành an ninh mạng: đưa khả năng bảo vệ đến sát nơi dữ liệu được tạo ra và xử lý, giúp AI Data Center vừa đạt hiệu năng cao vừa đáp ứng các yêu cầu ngày càng khắt khe về bảo mật và Zero Trust.