BẢO MẬT MẠNG OT VỚI MICROSEGMENTATION
Microsegmentation đề cập tới một phương pháp bảo mật mạng, thực hiện tách biệt các phân vùng bảo mật trong một trung tâm dữ liệu hoặc môi trường đám mây. Microsegmentation đặc biệt hữu ích trong triển khai kiến trúc bảo mật Zero-trust.
Sự khác nhau giữa Microsegmentation với Network Segmentation
Network Segmentation là gì?
Phân đoạn Segmentation là một kiến trúc chia một mạng thành nhiều đoạn mạng nhỏ hơn hoặc thành các subnet nhỏ hơn, mỗi phân đoạn hoạt động như một mạng riêng, cho phép quản trị viên có thể kiểm soát luồng dữ liệu giữa các mạng con dựa trên các chính sách cụ thể. Các VLAN thường được sử dụng cho chức năng phân đoạn cơ bản.
Phân đoạn mạng (network segmentation) cung cấp nhiều lợi ích cho các doanh nghiệp. Phân đoạn mạng cải thiện bảo mật bằng cách ngăn chặn các cuộc tấn công lan rộng trong hệ thống mạng và xâm nhập vào các thiết bị không được bảo vệ. Khi xảy ra một cuộc tấn công, phân đoạn mạng cũng đảm bảo các mã độc sẽ không thể lan truyền trong hệ thống. Nghẽn mạng dẫn tới giảm hiệu suất, phân đoạn mạng làm giảm nghẽn mạng, cải thiện hiệu suất. Điều này đăc biệt quan trọng đối với các dịch vụ cần sử dụng nhiều tài nguyên như nhà máy điện, khu công nghiệp, hệ thống xử lý nước, giàn khoan dầu, .v.v
Network Microsegmentation là gì?
Phân đoạn Microsegmentation là kỹ thuật bảo mật mạng giúp bảo mật sâu hơn đối với các phân đoạn mạng segmentation bằng cách phân chia các trung tâm dữ liệu và môi trường đám mây thành các phân đoạn theo mức độ khối lượng công việc riêng lẻ. Các tổ chức thực hiện phân đoạn Microsegmentation nhằm mục đích giảm bề mặt tấn công và đạt được sự tuân thủ chính sách, ngăn chặn các vi phạm.
Ứng dụng của kiến trúc Microsegmentation trong môi trường OT
Trong môi trường ICS/OT, các giải pháp mạng LAN như bridge hay gateway được sử dụng để phân đoạn các thành phần khác nhau, hạn chế mạng broadcast hoặc nghẽn mạng trong PCN. VLAN được sử dụng làm tăng tính linh hoạt cho quy trình phân đoạn, tuy nhiên VLAN cũng không thể giải quyết được bài toán về bảo mật trong môi trường OT.
Giai đoạn công nghiệp OT, IIoT, IoT và sự hội tụ
Sự phát triển của công nghiệp 4.0 và các công nghệ như Internet of Things (IoT) và Industrial IoT (IIoT), đã làm thay đổi hệ thống mạng ICS/OT thành các mạng hội tụ lớn hơn. ICS/OT không còn hoạt động trong môi trường biệt lập mà ICS/OT được kết nối với mạng IT doanh nghiệp và kết nối tới mạng Internet để phục vụ mục đích kinh doanh. Trong một hệ thống mạng hội tụ ICS/OT và IT thì quá trình truyền thông không còn dựa trên các kiến trúc giao thức dành riêng cho môi trường ICS/OT mà thay vào đó là dựa trên sự kết hợp của các giao thức tiêu chuẩn mở – những giao thức này chứa nhiều lỗ hổng bảo mật. Những lí do này làm cho môi trường ICS/OT dễ bị tấn công hơn, các biện pháp bảo mật truyền thống như sử dụng VLAN là không đủ để đảm bảo an toàn trong cơ sở hạ tầng mạng hội tụ cũng như ngăn chặn các cuộc tấn công mạng ngày càng tinh vi và phức tạp.
Microsegmentation trong mạng ICS/OT VLAN cung cấp tính linh hoạt trong phân chia mạng tuy nhiên với microsegmentation – cung cấp khả năng kiểm soát chi tiết hơn về lưu lượng mạng bằng cách tiếp tục phân chia VLAN thành các phân vùng và thực hiện các chính sách bảo mật cho riêng từng phân vùng. Các chính sách bảo mật được điều chỉnh phù hợp với từng loại lưu lượng mạng khác nhau để giới hạn luồng ứng dụng và mạng giữa các thành phần khác nhau trong hệ thống ICS. Với Microsegmentation, có thể triển khai mô hình bảo mật zero-trust đảm bảo rằng trong ICS, một PLC cụ thể không thể giao tiếp được với một PLC khác trong cùng một VLAN trừ khi được cho phép bởi chính sách bảo mật.
Hình 1: Giao tiếp giữa các PLC với VLAN sử dụng Fortinet FortiSwitch và FortiGate
Hình 2: Giao tiếp giữa các PLC với Microsegmentation sử dụng Fortinet FortiSwitch và FortiGate
Giải pháp của Fortinet về bảo mật trong môi trường OT với Microsegmentation
Fortinet Microsegmentation cung cấp các chính sách bảo mật zero-trust và thực hiện quét tất cả các lưu lượng truy cập trong môt VLAN bằng cách sử dụng next-generation firewall (NGFW). Điều này làm giảm đáng kể khả năng lây lan của Malware. Microsegmentation cung cấp bảo mật cho mạng OT mà không ảnh hưởng tới hiệu suất mạng.
Trong mạng phân đoạn Microsegmentation, NGFW sử dụng chung với VLAN để áp dụng các chính sách bảo mật và kiểm tra các thông tin giao tiếp trong mạng. Fortinet FortiSwitch và Fortigate NGFW được kết hợp để thực hiện phân đoạn microsegmentation.
- FortiSwitch hoạt động ở lớp 2: định nghĩa VLAN,
- FortiGate sẽ hoạt động ở lớp 3 thực hiện định tuyến kết nối giữa các VLAN và các kết nối trong cùng một VLAN và thực hiện kiểm tra lưu lượng mạng thông qua chính sách bảo mật trên NGFW cho phép kiểm tra tới Lớp 7 với các giao thức và lưu lượng đi qua tường lửa.
Giải pháp của Fortinet mang lại một số lợi ích sau đối với ICS:
- Cách ly từng máy chủ / thiết bị: cô lập từng thiết bị trong mạng ICS cung cấp khả năng kiểm soát lưu lượng mạng vào và ra khỏi thiết bị, NGFW cho phép thực thi các chính sách bảo mật, kiểm tra lưu lượng, kiểm soát ứng dụng, phát hiện và nhăn chặn xâm nhập vào ICS
- Kiểm tra sâu gói tin trong hệ thống ICS: Fortigate NGFW cung cấp kiểm tra sâu gói tin DPI cho hơn 32 giao thức ICS/OT, khả năng nhận diện hơn 1,500 ứng dụng
- Ngăn chặn sự lây lan: cô lập từng thành phần của ICS ngăn chặn sự lây lan bên trong mạng ICS. Tất cả các lưu lượng truy cập trong mạng ICS đều được kiểm tra và áp dụng chính sách bảo mật
- Hiệu suất cao: Fortigate NGFW là thiết bị tưởng lửa với hiệu năng cao, độ trễ thấp, là sự lựa chọn lý tưởng cho việc thực hiện bảo mật trong một mạng ICS được phân đoạn.
- Tích hợp liền mạch: không thay đổi kết nối mạng logic và vật lý
- Khả năng quản lý trên một màn hình duy nhất
Hình 3: Fortinet FortiSwitch và FortiGate microsegmentation trong kiến trúc PERA
Phân đoạn microsegmentation dựa trên VLAN trong ICS giúp kiểm soát rủi ro nâng cao bảo mật trong môi trường OT. Giải pháp của Fortinet cho phân đoạn Microsegmentation được thực hiện ở bất kỳ cấp độ nào trong mạng ICS/OT. Fortinet cung cấp tưởng lửa FortiGate NGFW giúp nâng cao khả năng bảo mật thông qua chính sách bảo mật zero-trust, ngăn chặn phần mềm độc hại di chuyển sang các phân đoạn microsegment khác trong hệ thống ICS/OT, đồng thời cho phép nhận dạng các tấn công cũng như các mối đe dọa khác tới hệ thống.
Hiện tại Tech Horizon là nhà phân phối chính thức của FORTINET tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.
————————————————————————-
CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP)
Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội:Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam
Xuân Hoàng/ Tech Horizon