Love AI
New member
Khi doanh nghiệp mở rộng sang đa đám mây, container và AI, cách bảo mật theo chu vi truyền thống đang trở nên lỗi thời. Nhiều tổ chức không nhìn thấy các lỗ hổng nội bộ—từ lưu lượng east-west đến truy xuất dữ liệu ra bên ngoài—mở đường cho cuộc tấn công tinh vi.
Cảnh quan an ninh mạng đã thay đổi sâu sắc. Lưu lượng trước đây nằm trong trung tâm dữ liệu được bảo vệ giờ chạy trên hạ tầng công cộng, thường thiếu tầm nhìn và kiểm soát, khiến nhiều tổ chức mù nguy cơ trong môi trường đám mây của chính họ.
Nhiều công ty gặp khó khi tích hợp firewall đám mây vào chiến lược rộng hơn và còn vất vả hơn để giám sát lưu lượng east-west — tức di chuyển ngang giữa các ứng dụng nội bộ đám mây. Thậm chí đáng lo nhất là thiếu kiểm soát với lưu lượng egress (ra ngoài), con đường mà kẻ tấn công thường dùng để thiết lập kênh điều khiển hoặc rút trộm dữ liệu.
Ví dụ thực tế: một VM trên Azure thường khởi tạo với quyền truy cập internet ra ngoài không hạn chế. Những workload như vậy là cơ hội để kẻ tấn công ẩn mình, leo thang quyền và di chuyển ngang, cuối cùng chèn mã độc hoặc rút dữ liệu từ hệ thống.
Áp dụng mô hình này giúp bảo vệ cả các ứng dụng “VM gắn chặt” được lift-and-shift lên đám mây lẫn các workload hiện đại, nhất thời như Kubernetes và serverless. Để bảo vệ hiệu quả, doanh nghiệp cần đồng bộ hoá công cụ, chính sách và quy trình trên mọi môi trường, đồng thời tăng cường giám sát lưu lượng nội bộ và outbound.
Cảnh quan an ninh mạng đã thay đổi sâu sắc. Lưu lượng trước đây nằm trong trung tâm dữ liệu được bảo vệ giờ chạy trên hạ tầng công cộng, thường thiếu tầm nhìn và kiểm soát, khiến nhiều tổ chức mù nguy cơ trong môi trường đám mây của chính họ.
Vấn đề chính
Bảo mật theo chu vi (perimeter) từng hiệu quả khi mọi thứ tập trung trong một ranh giới cố định. Ngày nay, mỗi VPC, cụm Kubernetes, container nhất thời và endpoint API đều có thể trở thành điểm vào, làm vỡ bề mặt tấn công từ một thành một ngàn hoặc hàng trăm nghìn lỗ hổng tiềm ẩn.Nhiều công ty gặp khó khi tích hợp firewall đám mây vào chiến lược rộng hơn và còn vất vả hơn để giám sát lưu lượng east-west — tức di chuyển ngang giữa các ứng dụng nội bộ đám mây. Thậm chí đáng lo nhất là thiếu kiểm soát với lưu lượng egress (ra ngoài), con đường mà kẻ tấn công thường dùng để thiết lập kênh điều khiển hoặc rút trộm dữ liệu.
Nguyên nhân tạo ra các khoảng trống
Sự gia tăng nhanh của IaC, container hóa và các sáng kiến AI do nhân viên khởi tạo thường diễn ra ngoài quản trị CNTT chính thức, vượt quá khả năng giám sát và quản trị của đội an ninh. Đồng thời, chiến lược đa đám mây mang theo sự phân mảnh: từng nhà cung cấp có công cụ, chính sách và cấu hình khác nhau, dẫn đến khung chính sách không đồng nhất và các điểm mù giữa các môi trường.Ví dụ thực tế: một VM trên Azure thường khởi tạo với quyền truy cập internet ra ngoài không hạn chế. Những workload như vậy là cơ hội để kẻ tấn công ẩn mình, leo thang quyền và di chuyển ngang, cuối cùng chèn mã độc hoặc rút dữ liệu từ hệ thống.
Chuyển hướng: từ bảo vệ chu vi sang nhúng bảo mật vào mạng
Thay vì xây tường ở ngoại vi, tổ chức cần nhúng bảo mật ngay trong cấu trúc mạng đám mây—một cách tiếp cận “từ trong ra” tập trung vào các đường giao tiếp thực tế giữa workload. Khái niệm đang nổi lên mà Aviatrix gọi là cloud native security fabric (CNSF) hình dung bảo mật như một lớp thực thi phân tán, di chuyển cùng workload và thích ứng theo topology thời gian thực.- Nhúng bảo mật: chính sách và cơ chế thực thi triển khai ngay trong hạ tầng, không chỉ áp đặt từ bên ngoài.
- Phân đoạn động: chính sách bảo mật tự điều chỉnh khi workload được tạo, dừng hoặc di chuyển, dựa trên chính sách theo mục đích.
- Kiểm soát dựa trên danh tính: quyết định truy cập dựa trên danh tính và ngữ cảnh của workload, kể cả khi giao tiếp được mã hóa.
- Tầm nhìn và kiểm soát egress: giám sát và giới hạn lưu lượng ra ngoài để ngăn kẻ tấn công thiết lập kênh điều khiển hay rút dữ liệu.
Áp dụng mô hình này giúp bảo vệ cả các ứng dụng “VM gắn chặt” được lift-and-shift lên đám mây lẫn các workload hiện đại, nhất thời như Kubernetes và serverless. Để bảo vệ hiệu quả, doanh nghiệp cần đồng bộ hoá công cụ, chính sách và quy trình trên mọi môi trường, đồng thời tăng cường giám sát lưu lượng nội bộ và outbound.
Kết luận
Bảo mật đám mây hiệu quả không còn là xây tường ngoài cùng mà là tích hợp chính sách, thẩm quyền và tầm nhìn vào mọi điểm giao tiếp giữa workload. Chỉ khi đó tổ chức mới thu hẹp được những lỗ hổng ẩn và phòng ngừa việc kẻ xấu lợi dụng lưu lượng east-west và egress để xâm nhập hoặc rút dữ liệu.Bài viết liên quan
