Hiện nay, khi tình hình dịch bệnh Covid-19 đã có chiều hướng suy giảm và cuộc sống dần trở lại bình thường, nhưng các tổ chức vẫn tiếp tục duy trì mô hình làm việc từ xa để bổ trợ thêm cho phương thức làm việc truyền thống. Do vậy, có rất nhiều các câu hỏi vẫn ngày càng tăng lên chủ yếu liên quan về tìm một giải pháp an toàn trong khi làm việc từ xa, trong số đó có một giải pháp có tên gọi là SDP – Session Description Protocol (Giao thức Mô tả) đang thu hút rất nhiều sự chú ý của cộng đồng mạng.

Vậy SDP là gì? Tại sao giải pháp SDP lại nhận được sự quan tâm lớn đến vậy? Hãy cùng Teleworking tìm ra câu trả lời trong bài viết này nhé!

SDP – Giao thức mô tả

SDP, từ viết tắt của Session Description Protocol (Giao thức Mô tả), một giao thức xác định định dạng dựa trên văn bản để mô tả các phiên phương tiện truyền trực tuyến và truyền phát đa hướng. SDP không phải là một giao thức truyền tải mà là một phương pháp mô tả các chi tiết của quá trình truyền.

Ví dụ: tệp SDP chứa thông tin về định dạng, thời gian và quyền tác giả của việc truyền, tên và mục đích của phiên, mọi phương tiện, giao thức hoặc định dạng codec, số phiên bản, thông tin liên hệ và thời gian phát sóng.

Tại sao nên chọn SDP (phạm vi được xác định bởi phần mềm)?

Phạm vi SDP là một khung bảo mật được thiết kế để phân đoạn vi mô truy cập mạng. Nó tạo ra các kết nối mạng 1-1 giữa người dùng và tài nguyên mà người đó muốn truy cập. Đáng chú ý, nó không tạo điều kiện cho thiết bị từ xa truy cập trực tiếp với mạng nội bộ. SDP là điểm trung chuyển các kết nối mà không đặt người dùng vào mạng lưới. Và theo Liên minh bảo mật đám mây: “Mô hình bảo mật SDP đã được chứng minh có thể ngăn chặn tất cả hình thức tấn công mạng bao gồm DDoS, Man-in-the-Middle (MITM), Server Query (OWASP10), cũng như APT (Chuỗi tấn công có chủ đích cấp độ cao)”.

SDP bao gồm hai cốt lõi. Nó lấy danh tính làm trung tâm và được xây dựng trên nguyên tắc Zero-Trust. Lấy danh tính làm trung tâm nghĩa là nó dựa trên danh tính và mức độ quyền hạn của người dùng, chứ không dựa trên thiết bị. Còn Zero-Trust tức là nó áp dụng nguyên tắc tối thiểu hóa đặc quyền vào mạng (need-to-know) để vừa giảm thiểu các chiều tấn công vừa giúp bộ phận kỹ thuật giám sát nhiều hơn hoạt động của người dùng và các ứng dụng.

Với phạm vi SDP, tài nguyên mạng mặc định là bất khả xâm phạm. Ngay cả người dùng đã được xác thực cũng chỉ có thể truy cập vào một hoặc vài dịch vụ nhất định bên trong mạng khi được cấp quyền rõ ràng, thay vì truy cập vào khắp mạng lưới nội bộ như khi sử dụng VPN. Nhờ đó, phạm vi SDP phân tách các dịch vụ của công ty khỏi internet, chặn đứng (hầu hết) mọi hình thức tấn công mạng.

Ngày càng nhiều tổ chức áp dụng nguyên tắc Zero-Trust, với hơn 73% tổ chức đang áp dụng Zero-Trust ở các giai đoạn khác nhau nhằm giảm thiểu rủi ro trong không gian mạng. Lý do đằng sau xu hướng này trước hết là nhờ tính bảo mật và khả năng bảo vệ dữ liệu (85%), tiếp đến là khả năng ngăn chặn xâm phạm (70%), giảm các mối đe dọa nội bộ (49%), cuối cùng là loại bỏ các mối đe dọa endpoint và an ninh loT (49%).

SDP hoạt động như thế nào?

Với một SDP, về mặt công nghệ sẽ không thể kết nối với máy chủ trừ khi được cấp phép. SDP chỉ cho phép người dùng truy cập sau khi:

• Xác minh danh tính người dùng.
• Đánh giá trạng thái của thiết bị.

Sau khi người dùng và thiết bị được xác thực, SDP sẽ thiết lập một kết nối mạng riêng lẻ giữa thiết bị đó với máy chủ mà nó đang cố gắng truy cập. Người dùng được xác thực không được đăng nhập vào một mạng lớn hơn, mà chỉ được cung cấp kết nối đến tài nguyên đã được phê duyệt quyền truy cập.

Hãy tưởng tượng một máy chủ web được kết nối với Internet nhưng không mở kết nối với bất kỳ thứ gì (Các thiết bị, người dùng). Nó không chấp nhận yêu cầu hay gửi phản hồi; nó không có cổng mở và không có quyền truy cập mạng mặc dù nó đã được cắm vào Internet (phần này giống như máy nướng bánh mì hoặc đèn được cắm vào ổ cắm trên tường, mặc dù có dòng điện nhưng khi bị tắt thì dòng điện không thể chạy qua). Đây là trạng thái mặc định cho các máy chủ bên trong phạm vi do phần mềm xác định.

Một cách khác để hiểu hơn về SDP là tưởng tượng một cánh cửa phía trước luôn được khóa. Không ai có thể đi qua cửa, hoặc thậm chí nhìn vào bên trong, cho đến khi người ở phía bên kia cửa xác minh xem khách là ai và họ đến có việc gì. Khi đã xác minh xong và người bên trong mở cửa thì khách mới được phép vào trong nhà, sau đó cánh cửa sẽ đóng lại ngay.

SDP liên quan như thế nào đến bảo mật bằng Zero-Trust?

Đúng như tên gọi của nó, không có sự tin cậy trong bảo mật Zero-Trust; không có người dùng, thiết bị hoặc mạng nào được coi là đáng tin cậy theo mặc định. Bảo mật Zero-Trust là một mô hình bảo mật yêu cầu xác minh danh tính nghiêm ngặt cho mọi người và thiết bị cố gắng truy cập tài nguyên nội bộ, bất kể họ đang ở bên trong hay bên ngoài phạm vi mạng (hoặc, phạm vi do phần mềm xác định).

SDP là một cách để triển khai bảo mật Zero-Trust. Người dùng và thiết bị đều phải được xác minh trước khi có thể kết nối và họ chỉ có quyền truy cập mạng tối thiểu mà họ cần. Không thiết bị nào, thậm chí ngay cả máy tính xách tay của CEO, cũng không thể tạo kết nối mạng với tài nguyên nếu thiết bị đó không được cấp phép sử dụng.

Giải pháp G/On hoạt động theo Zero-Trust của mô hình SDP

Giải pháp G/On giúp truy cập an toàn tới máy tính tại văn phòng từ máy tính cá nhân (PC, Mac) thông qua một chiếc USB-Token. Giải pháp truy cập từ xa G/On được tích hợp bảo mật, cung cấp một môi trường an toàn cho nhân viên làm việc từ xa.

G/On thay thế các kết nối VPN của bạn bằng một phạm vi kết nối do phần mềm xác định. Hoạt động theo mô hình bảo mật Zero-trust, giải pháp G/On chỉ cho phép những người dùng đã được xác minh vào hệ thống và cách ly hoàn toàn mạng lưới của bạn với thế giới bên ngoài.

Do vậy giải pháp G/On có đầy đủ những đặc tính mà mô hình SDP có, bên cạnh đó còn có những ưu việt khác như:

• Dễ dàng sử dụng trên mọi máy tính (kể cả máy không có sẵn hệ điều hành).
• Truy cập mọi lúc, mọi nơi thông qua chiếc USB nhỏ gọn.
• Tôi ưu chi phí (Khi chỉ cần cung cấp cho nhân viên một chiếc máy có đủ cấu hình cần thiết, thậm chí là không cần cấp nếu nhân viên đã có máy tính cá nhân là đã có thể sử dụng toàn bộ các tài nguyên trên máy tính tại văn phòng thông qua G/On).
• Tính năng bảo mật mạnh giúp ngay cả khi nhân viên dùng máy tính cá nhân vẫn đảm bảo an toàn.
• Cung cấp chức năng cân bằng tải và chuyển đổi dự phòng.
• Chi phí thấp.