Phân đoạn Microsegmentation là gì?

Microsegmentation là một phương pháp trong lĩnh vực mạng và bảo mật mạng, trong đó mạng được chia thành các phân đoạn nhỏ hơn để tạo ra các khu vực mạng riêng biệt và cách ly. Mục tiêu của microsegmentation là tăng cường bảo mật mạng bằng cách giới hạn khả năng lây lan của các cuộc tấn công và giảm thiểu tác động của chúng trong hệ thống mạng.

Trong mô hình microsegmentation, mỗi phân đoạn mạng nhỏ được cấu hình để có các quy tắc và chính sách riêng, cho phép hoặc từ chối sự truy cập giữa các phân đoạn khác nhau. Điều này đảm bảo rằng các tài nguyên và dịch vụ trong mỗi phân đoạn chỉ có thể được truy cập bởi các thiết bị và người dùng được ủy quyền.

Microsegmentation giúp ngăn chặn sự lan truyền ngang hàng giữa các máy chủ, ứng dụng và người dùng trong mạng. Nó cung cấp một lớp bảo vệ bổ sung bằng cách giới hạn quyền truy cập dựa trên nguyên tắc của nguyên lý của nguyên tắc "chỉ cần biết" và "chỉ cần truy cập" (need-to-know và least privilege). Thay vì sử dụng một mô hình mạng phẳng truyền thống, microsegmentation tạo ra các khối mạng nhỏ hơn, làm giảm khả năng tấn công từ bên trong và lây lan của các cuộc tấn công.

1, Microsegmentation Explained

Microsegmentation (Phân đoạn nhỏ) là một phương pháp bảo mật giúp chia mạng thành các phân đoạn và áp dụng các điều khiển bảo mật cho mỗi phân đoạn dựa trên yêu cầu của phân đoạn đó.

Phần mềm microsegmentation kết hợp công nghệ ảo hóa mạng để tạo ra các vùng an toàn trong các triển khai đám mây. Các vùng an toàn chi tiết này cô lập các khối công việc, bảo vệ chúng cá nhân với các chính sách tùy chỉnh dành riêng cho từng khối công việc. Tương tự, mỗi máy ảo (VM) trong mạng cũng có thể được bảo vệ, đến cấp độ ứng dụng, với các điều khiển bảo mật chính xác

Các điều khiển bảo mật chi tiết mà microsegmentation mang lại cho khối công việc hoặc ứng dụng là rất quan trọng đối với môi trường đám mây hiện đại với nhiều ứng dụng chạy trên cùng một máy chủ hoặc máy ảo. Các tổ chức có thể áp dụng các điều khiển bảo mật cho từng khối công việc và ứng dụng cụ thể, thay vì có một chính sách bảo mật duy nhất cho máy chủ.

2, Beyond Perimeter Security

Bảo mật vùng biên giới chiếm một phần quan trọng trong các điều khiển bảo mật mạng của hầu hết các tổ chức. Các thiết bị bảo mật mạng, chẳng hạn như tường lửa mạng, kiểm tra lưu lượng "từ bắc vào" (từ khách hàng đến máy chủ) khi vượt qua vùng biên giới bảo mật và ngăn chặn lưu lượng xấu. Các tài sản trong vùng biên giới được tin tưởng mặc định, điều đó có nghĩa là lưu lượng "từ đông sang tây" (từ khối công việc đến khối công việc) có thể không được kiểm tra.

Đối với hầu hết các tổ chức, giao tiếp từ đông sang tây chiếm phần lớn trong các mẫu lưu lượng trung tâm dữ liệu và đám mây, và các phòng vệ tập trung vào vùng biên giới không có khả năng nhìn thấy lưu lượng từ đông sang tây. Dựa trên những yếu tố này, các kẻ tấn công độc hại sử dụng điều này như một cơ hội để di chuyển ngang qua các khối công việc.
Mạng tạo ra các đường đi đáng tin cậy giữa các khối công việc và xác định Microsegmentation là phương pháp bảo mật quản lý quyền truy cập mạng giữa các khối công việc. Với microsegmentation, các quản trị viên có thể quản lý các chính sách bảo mật giới hạn lưu lượng dựa trên nguyên tắc đặc quyền ít nhất và Zero Trust. Các tổ chức sử dụng microsegmentation để giảm bề mặt tấn công, cải thiện khả năng kiểm soát việc xâm nhập và tăng cường tuân thủ quy định.

Microsegmentation được giải thích như là một phương pháp bảo mật mạng bằng cách chia mạng thành các phân đoạn và áp dụng các điều khiển bảo mật cho từng phân đoạn dựa trên yêu cầu của phân đoạn đó. Phần mềm microsegmentation kết hợp công nghệ ảo hóa mạng để tạo ra các vùng an toàn trong các triển khai đám mây. Các vùng an toàn này cô lập các khối công việc và áp dụng các chính sách bảo mật tùy chỉnh cho từng khối công việc. Điều này cho phép áp dụng các điều khiển bảo mật chi tiết cho từng khối công việc và ứng dụng, thay vì áp dụng một chính sách bảo mật chung cho toàn bộ máy chủ.

Microsegmentation vượt ra ngoài bảo mật vùng biên giới, một phần quan trọng của các điều khiển bảo mật mạng trong hầu hết các tổ chức. Bảo mật vùng biên giới tập trung vào việc kiểm tra lưu lượng từ khách hàng đến máy chủ (lưu lượng "từ bắc vào") và ngăn chặn lưu lượng xấu. Tuy nhiên, nhiều tổ chức gặp thách thức khi giao tiếp giữa các khối công việc (lưu lượng "từ đông sang tây") chiếm phần lớn trong các mô hình lưu lượng trung tâm dữ liệu và đám mây. Các phòng vệ tập trung vào vùng biên giới không có khả năng nhìn thấy lưu lượng từ đông sang tây, tạo cơ hội cho kẻ tấn công di chuyển ngang qua các khối công việc. Microsegmentation giúp tạo ra sự cô lập giữa các khối công việc và giới hạn sự di chuyển ngang qua các khối công việc, từ đó cung cấp khả năng kiểm soát tốt hơn và hạn chế các cuộc xâm nhập dữ liệu.

Microsegmentation giải quyết cả những thách thức của việc phân đoạn mạng. Phân đoạn mạng là phương pháp chia mạng thành các phân đoạn nhỏ hơn. Việc phân đoạn mạng cải thiện hiệu suất và bảo mật. Nó giúp giảm phạm vi các gói tin phát tán và cải thiện hiệu suất mạng. Đội ngũ bảo mật mạng có thể áp dụng danh sách điều khiển truy cập (ACL) cho các VLAN và mạng con để cô lập các máy trên các phân đoạn mạng khác nhau và ngăn chặn sự lan rộng của mối đe dọa.

Microsegmentation có thể được triển khai trong mạng vật lý hoặc trong môi trường ảo hóa. Nó cung cấp một cơ chế hiệu quả để kiểm soát và giám sát luồng dữ liệu trong mạng, tăng cường bảo mật và giảm thiểu rủi ro từ các cuộc tấn công mạng.