fbpx
Teleworking Blog

Phạm vi do phần mềm xác định là gì? SDP so với VPN

Posted on by Nguyễn Đức Thịnh
SDP hoạt động như thế nào?
25
Th11

Phạm vi do phần mềm xác định (SDP) là gì?

Phạm vi do phần mềm xác định (SDP) là một cách để ẩn cơ sở hạ tầng được kết nối Internet (máy chủ, bộ định tuyến, v.v.) để bên ngoài và những kẻ tấn công không thể nhìn thấy nó, cho dù nó được lưu trữ tại chỗ hay trên đám mây. Mục tiêu của phương pháp SDP là đặt phạm vi mạng dựa trên phần mềm thay vì phần cứng. Một công ty sử dụng SDP về cơ bản giống như đang khoác một tấm áo tàng hình lên các máy chủ và cơ sở hạ tầng khác của họ để không ai có thể nhìn thấy nó từ bên ngoài; tuy nhiên, người dùng được ủy quyền vẫn có thể truy cập cơ sở hạ tầng.

Phạm vi do phần mềm xác định tạo thành một ranh giới ảo xung quanh tài sản của công ty ở tầng mạng chứ không phải ở tầng ứng dụng. Điều này đã ngăn cách với các điều khiển dựa trên quyền truy cập hạn chế các đặc quyền của người dùng. Một điểm khác biệt chính nữa là SDP xác thực các thiết bị cũng như danh tính người dùng. Kết hợp Bảo mật Đám mây lần đầu tiên phát triển trên khái niệm SDP.

SDP hoạt động như thế nào?

Với một SDP, về mặt công nghệ sẽ không thể kết nối với máy chủ trừ khi được cấp phép. SDP chỉ cho phép người dùng truy cập sau khi:

  1. Xác minh danh tính người dùng.
  2. Đánh giá trạng thái của thiết bị.

Sau khi người dùng và thiết bị được xác thực, SDP sẽ thiết lập một kết nối mạng riêng lẻ giữa thiết bị đó với máy chủ mà nó đang cố gắng truy cập. Người dùng được xác thực không được đăng nhập vào một mạng lớn hơn, mà chỉ được cung cấp kết nối đến tài nguyên đã được phê duyệt quyền truy cập.

Hãy tưởng tượng một máy chủ web được kết nối với Internet nhưng không mở kết nối với bất kỳ thứ gì (Các thiết bị, người dùng). Nó không chấp nhận yêu cầu hay gửi phản hồi; nó không có cổng mở và không có quyền truy cập mạng mặc dù nó đã được cắm vào Internet (phần này giống như máy nướng bánh mì hoặc đèn được cắm vào ổ cắm trên tường, mặc dù có dòng điện nhưng khi bị tắt thì dòng điện không thể chạy qua). Đây là trạng thái mặc định cho các máy chủ bên trong phạm vi do phần mềm xác định.

Một cách khác để hiểu hơn về SDP là tưởng tượng một cánh cửa phía trước luôn được khóa. Không ai có thể đi qua cửa, hoặc thậm chí nhìn vào bên trong, cho đến khi người ở phía bên kia cửa xác minh xem khách là ai và họ đến có việc gì. Khi đã xác minh xong và người bên trong mở cửa thì khách mới được phép vào trong nhà, sau đó cánh cửa sẽ đóng lại ngay.

Làm cách nào để người dùng có quyền truy cập qua SDP?

Kha nang tuong thich
Làm cách nào để người dùng có quyền truy cập qua SDP?

Xác minh danh tính người dùng

Danh tính người dùng thường được xác minh thông qua nhà cung cấp danh tính bên thứ ba (IdP). SDP cũng có thể tích hợp với giải pháp Single Sign-On (SSO). Xác thực người dùng có thể liên quan đến sự kết hợp tên người dùng và mật khẩu đơn giản, nhưng sẽ an toàn hơn khi sử dụng xác thực đa yếu tố với một số loại mã khai báo phần cứng.

Xác minh thiết bị

Điều này liên quan đến việc kiểm tra để đảm bảo thiết bị của người dùng đang chạy phần mềm cập nhật, kiểm tra các phần mềm độc hại và thực hiện các kiểm tra bảo mật khác. Về mặt lý thuyết, một SDP thậm chí có thể tạo danh sách chặn các thiết bị không được phép và kiểm tra để đảm bảo thiết bị không có trong danh sách chặn.

Phê duyệt bộ điều khiển SDP

“Bộ điều khiển” SDP là thành phần logic của SDP chịu trách nhiệm xác định thiết bị và máy chủ nào được phép kết nối. Sau khi người dùng và thiết bị được xác thực, bộ điều khiển sẽ chuyển sự chấp thuận của người dùng và thiết bị tới cổng SDP. Cổng SDP là nơi được phép hoặc từ chối truy cập.

Kết nối mạng an toàn được thiết lập

Cổng SDP mở “cổng” ảo để cho phép người dùng đi qua. Nó thiết lập kết nối mạng an toàn với thiết bị người dùng ở một bên của cổng và ở bên kia nó thiết lập kết nối mạng với các dịch vụ mà người dùng có quyền truy cập. Không có người dùng hoặc máy chủ nào khác chia sẻ kết nối này. Các kết nối mạng an toàn này thường liên quan đến việc sử dụng TLS 2 chiều và có thể sử dụng VPN.

Quyền truy cập của người dùng

Người dùng có thể truy cập các tài nguyên mạng đã ẩn trước đó và có thể tiếp tục sử dụng thiết bị của họ như bình thường. Người dùng hoạt động trong một mạng được mã hóa mà chỉ họ và các dịch vụ mà họ truy cập thuộc về.

TLS 2 chiều là gì?

TLS 2 chiều là gì?
TLS 2 chiều là gì?

TLS, hay Bảo mật tầng truyền tải, là một giao thức mã hóa xác minh rằng máy chủ là hợp pháp, có nghĩa là máy chủ đó có danh tính rõ ràng. Trong TLS 2 chiều, quá trình xác minh diễn ra ở cả hai phía: máy khách được xác minh cũng như máy chủ.

VPN là gì?

VPN – Mạng riêng ảo, là một mạng được mã hóa chạy trên một mạng không được mã hóa. Nó tạo ra các kết nối được mã hóa giữa các thiết bị và máy chủ để nó giống như thể chúng đang ở trên mạng riêng của chúng.

Theo truyền thống, VPN được sử dụng để bảo mật và quản lý quyền truy cập vào cơ sở hạ tầng của công ty. Trong một số trường hợp, SDP có thể thay thế VPN.

SDP và VPN: Sự khác biệt là gì?

SDP có thể kết hợp VPN vào kiến ​​trúc của chúng để tạo kết nối mạng an toàn giữa thiết bị người dùng và máy chủ mà họ cần truy cập. Tuy nhiên, SDP rất khác với VPN. Theo một số cách, chúng an toàn hơn: trong khi VPN cho phép tất cả người dùng được kết nối truy cập vào toàn bộ mạng, thì SDP không chia sẻ kết nối mạng. SDP cũng có thể dễ quản lý hơn VPN, đặc biệt nếu người dùng nội bộ cần nhiều cấp truy cập.

Quản lý một số cấp độ truy cập mạng khác nhau bằng VPN liên quan đến việc triển khai nhiều VPN. Giả sử có 3 nhân viên:

  • Nhân viên thứ nhất làm trong lĩnh vực kế toán.
  • Nhân viên thứ hai làm trong lĩnh vực bán hàng.
  • Nhân viên thứ ba làm trong lĩnh vực kỹ thuật.

Quản lý quyền truy cập của họ ở cấp độ mạng bao gồm việc phải thiết lập ba VPN: 1) VPN kế toán để cung cấp quyền truy cập vào cơ sở dữ liệu kế toán, 2) VPN bán hàng cho cơ sở dữ liệu khách hàng và 3) VPN kỹ thuật cho cơ sở mã. Điều này không chỉ khiến bộ phận CNTT khó quản lý mà còn kém an toàn hơn: bất kỳ ai có quyền truy cập vào VPN kế toán, chẳng hạn, giờ đây ai đó có thể truy cập vào thông tin tài chính của công ty. Nếu nhân viên thứ nhất vô tình cung cấp thông tin đăng nhập của mình cho nhân viên thứ hai, thì nhân viên thứ hai rất dễ truy cập và làm rò rỉ thông tin tài chính của công ty và bộ phận CNTT thậm chí có thể không nhận ra được điều này.

Một giả dụ khác, nếu như giám đốc tài chính của công ty muốn truy cập vào cơ sở dữ liệu kế toán và dữ liệu khách hàng, thì giám đốc cần đăng nhập vào hai VPN riêng biệt hay bộ phận CNTT phải thiết lập một VPN mới để cấp quyền truy cập cả 2 hệ cơ sở dữ liệu này? Thật rắc rối phải không? Bên cạnh đó cả 2 cách làm trên đều rất khó quản lý thậm chí còn mang đến nhiều rủi ro hơn nếu tin tặc xâm nhập được VPN có quyền truy cập cả 2 cơ sở dữ liệu – thiệt hại sẽ gấp đôi so với trước đây.

Mặt khác, SDPs chi tiết hơn nhiều. Không có VPN tổng thể mà tất cả những người truy cập cùng một tài nguyên đều đăng nhập vào; thay vào đó, một kết nối mạng riêng biệt được thiết lập cho từng người dùng. Nó gần như thể mọi người đều có VPN riêng của họ. Ngoài ra, các SDP xác minh thiết bị cũng như người dùng, khiến kẻ tấn công khó có thể xâm nhập vào hệ thống chỉ bằng thông tin đăng nhập bị đánh cắp.

Một số tính năng chính khác tách biệt SDP với VPN: SDP là bí ẩn về vị trí và cơ sở hạ tầng. Vì chúng dựa trên phần mềm chứ không phải phần cứng, SDP có thể được triển khai ở bất kỳ đâu để bảo vệ cơ sở hạ tầng tại chỗ, cơ sở hạ tầng đám mây hoặc cả hai. SDP cũng dễ dàng tích hợp với việc triển khai đa đám mây và đám mây kết hợp (hybrid cloud). Và cuối cùng, SDP có thể kết nối người dùng ở bất kỳ vị trí nào; họ không cần phải ở trong phạm vi mạng vật lý của công ty. Điều này làm cho các SDP hữu ích để quản lý các nhóm từ xa không hoạt động trong văn phòng công ty.

SDP liên quan như thế nào đến bảo mật bằng Zero-Trust?

Đúng như tên gọi của nó, không có sự tin cậy trong bảo mật Zero-Trust; không có người dùng, thiết bị hoặc mạng nào được coi là đáng tin cậy theo mặc định. Bảo mật Zero-Trust là một mô hình bảo mật yêu cầu xác minh danh tính nghiêm ngặt cho mọi người và thiết bị cố gắng truy cập tài nguyên nội bộ, bất kể họ đang ở bên trong hay bên ngoài phạm vi mạng (hoặc, phạm vi do phần mềm xác định).

SDP là một cách để triển khai bảo mật Zero-Trust. Người dùng và thiết bị đều phải được xác minh trước khi có thể kết nối và họ chỉ có quyền truy cập mạng tối thiểu mà họ cần. Không thiết bị nào, thậm chí ngay cả máy tính xách tay của CEO, cũng không thể tạo kết nối mạng với tài nguyên nếu thiết bị đó không được cấp phép sử dụng.

Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP

Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP
Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP

Giải pháp G/On giúp truy cập an toàn tới máy tính tại văn phòng từ máy tính cá nhân (PC, Mac) thông qua một chiếc USB-Token. Giải pháp truy cập từ xa G/On được tích hợp bảo mật, cung cấp một môi trường an toàn cho nhân viên làm việc từ xa.

G/On thay thế các kết nối VPN của bạn bằng một phạm vi kết nối do phần mềm xác định. Hoạt động theo mô hình bảo mật Zero-trust, giải pháp G/On chỉ cho phép những người dùng đã được xác minh vào hệ thống và cách ly hoàn toàn mạng lưới của bạn với thế giới bên ngoài.

Do vậy giải pháp G/On có đầy đủ những đặc tính mà mô hình SDP có, bên cạnh đó còn có những ưu việt khác như:

  • Dễ dàng sử dụng trên mọi máy tính (kể cả máy không có sẵn hệ điều hành).
  • Truy cập mọi lúc, mọi nơi thông qua chiếc USB nhỏ gọn.
  • Tôi ưu chi phí (Khi chỉ cần cung cấp cho nhân viên một chiếc máy có đủ cấu hình cần thiết, thậm chí là không cần cấp nếu nhân viên đã có máy tính cá nhân là đã có thể sử dụng toàn bộ các tài nguyên trên máy tính tại văn phòng thông qua G/On).
  • Tính năng bảo mật mạnh giúp ngay cả khi nhân viên dùng máy tính cá nhân vẫn đảm bảo an toàn.
  • Cung cấp chức năng cân bằng tải và chuyển đổi dự phòng.
  • Chi phí thấp.
Nguyễn Đức Thịnh