Khi công nghệ xung quanh chúng ta phát triển, tường lửa cũng cần được đưa lên đám mây để bắt kịp xu hướng. Đó chính là lý do thuật ngữ cloud firewall (tường lửa điện toán đám mây) ra đời. Nhưng cloud firewall là gì và tại sao lại cần đưa tường lửa lên đám mây? Hãy cùng Viettelco tìm câu trả lời qua bài viết sau đây nhé!
Tường lửa là gì?
Trước đây, Viettelco đã có bài viết giải thích tường lửa (Firewall) là gì và tổng hợp một số kiến thức tổng quan về Firewall.
Firewall được đặt tên theo tên của những bức tường xây dựng trong thế giới thực, nhằm ngăn chặn ngọn lửa lan qua các tòa nhà. Bạn sẽ tìm thấy tường lửa trong các trung tâm truyền dữ liệu, nơi mọi hoạt động độc hại được sàng lọc và kiểm tra.
Bạn cũng sẽ tìm thấy tường lửa ngay trong chính mạng gia đình của mình. Thông thường, router và máy tính sẽ có tường lửa để “trông chừng” những kết nối ra vào khỏi hệ thống. Bạn có thể sử dụng tường lửa tích hợp với hệ điều hành của mình hoặc lựa chọn sản phẩm của bên thứ ba.
Tường lửa ngăn mọi người truy cập mạng từ bên ngoài mà không có sự cho phép của bạn. Nếu phát hiện thứ gì đó có khả năng gây hại, tường lửa sẽ chặn kết nối và bảo vệ PC.
Bạn cũng có thể đặt quy tắc tùy chỉnh cho tường lửa của mình để chặn những thứ bạn không muốn mọi người nhìn thấy trên mạng của mình. Chẳng hạn, chủ doanh nghiệp có thể sử dụng tường lửa để ngăn nhân viên trong công ty xem những trang web không được phép.
Tường lửa thiết lập perimeter như thế nào?
Trong thế giới an ninh mạng, có một khái niệm bảo mật được gọi là “perimeter”. Perimeter là một “bức tường” kỹ thuật số ảo tưởng tượng, được thiết lập trên mạng để ngăn chặn các tác nhân độc hại.
Ví dụ, bạn đang điều hành mạng cho một doanh nghiệp nhỏ, gồm 10 máy tính, tất cả đều kết nối Internet với một router trung tâm.
Để thiết lập bảo mật mạng đúng cách, bạn cần cung cấp cho tường lửa các quy tắc. Bạn “nói” với tường lửa của router cho phép mọi người trong văn phòng truy cập vào router đó. Thêm vào đó, bạn từ chối tất cả mọi người bên ngoài kết nối vào mạng. Nói cách khác, mô hình này giống như một lâu đài. Mọi người bên trong đều được chào đón còn những người bên ngoài đều phải tránh xa.
Lớp bảo vệ này (những “bức tường” mà bạn thiết lập trên mạng) chính là perimeter. Tất cả các máy tính và máy chủ trong văn phòng (on-prem hay tại chỗ) đều sẽ được an toàn, còn các thiết bị bên ngoài thì không.
Perimeter là sự phân chia giữa mạng nội bộ mà một tổ chức quản lý và truy cập mạng, được đưa ra bởi nhà cung cấp bên ngoài, thường là nhà cung cấp dịch vụ Internet (ISP). Mạng cũng có thể bị “khóa” về mặt vật lý: Nhân viên của một công ty có thể phải ở trong văn phòng và sử dụng thiết bị do công ty quản lý mới có thể kết nối với mạng công ty.
Ban đầu, tường lửa được thiết kế để kiểm soát loại perimeter này và không cho bất cứ thứ gì độc hại lọt qua. Trong điện toán đám mây, perimeter về cơ bản biến mất. Người dùng truy cập các dịch vụ qua Internet không được kiểm soát. Vị trí thực của người dùng và đôi khi thiết bị họ đang sử dụng không còn quan trọng nữa.
Rất khó để đặt một lớp bảo mật xung quanh các nguồn lực của công ty, vì hầu như không thể xác định được lớp bảo mật sẽ đi đến đâu. Một vài công ty sử dụng đến giải pháp kết hợp một số sản phẩm bảo mật khác nhau, bao gồm tường lửa truyền thống, VPN, tính năng kiểm soát truy cập và các sản phẩm IPS, nhưng điều này làm tăng thêm nhiều sự phức tạp cho bộ phận CNTT và khó quản lý.
Các perimeter không còn phù hợp ở phạm vi lớn hơn
Mọi thứ có thể chưa thực sự rõ ràng khi ta xem xét giá trị thực tiễn của việc giữ tất cả các thiết bị on-prem. Hiện nay, các nhân viên có thể làm việc từ xa, tại bất cứ nơi nào trên thế giới. Các doanh nghiệp chịu trách nhiệm về những dịch vụ sử dụng máy chủ on-prem, yêu cầu sự giao tiếp từ bên ngoài perimeter.
Bây giờ, phạm vi đã lớn hơn. Bạn không thể tạo một vòng tròn xung quanh một nhóm máy tính và máy chủ, rồi gọi nó là perimeter được nữa. Với những người được ủy quyền kết nối với máy chủ on-prem từ bên ngoài, cũng như những người trong văn phòng sử dụng các dịch vụ bên ngoài công ty, ranh giới có thể trải rộng trên phạm vi toàn cầu!
Với perimeter rộng lớn như vậy, tường lửa on-prem không thể gánh nổi trọng trách này. Ta cần một tường lửa dựa trên đám mây có thể hỗ trợ lưu lượng quốc tế đến từ nhiều nguồn khác nhau.
Làm thế nào để tường lửa dựa trên đám mây phù hợp với framework SASE?
Secure access service edge hay SASE là kiến trúc mạng dựa trên đám mây kết hợp các chức năng mạng, như mạng WAN do phần mềm xác định, với một tập hợp các dịch vụ bảo mật, bao gồm cả FWaaS. Không giống như các mô hình mạng truyền thống, trong đó perimeter của các trung tâm dữ liệu tại chỗ phải được bảo vệ bằng tường lửa tại chỗ, SASE cung cấp bảo mật toàn diện và kiểm soát truy cập ở biên mạng.
Trong mô hình mạng SASE, tường lửa dựa trên đám mây hoạt động song song với các sản phẩm bảo mật khác để bảo vệ vành đai mạng khỏi các cuộc tấn công, vi phạm dữ liệu và các mối đe dọa mạng khác.
Tường lửa dựa trên đám mây giúp ích cho doanh nghiệp như thế nào?
Tường lửa dựa trên đám mây có nghĩa là các doanh nghiệp không phải phụ thuộc vào các dịch vụ on-prem nữa, mà thay vào đó, họ có thể chuyển tường lửa tới bất cứ nơi nào mong muốn. Có thể lựa chọn giữa hai loại tường lửa:
Doanh nghiệp có thể thuê một tường lửa nằm trên đám mây. Sau đó, họ có thể thiết lập tường lửa này giống như họ làm với tường lửa on-prem (điểm khác biệt duy nhất là nó dựa trên đám mây). Chúng thường được gọi là Firewalls-as-a-Service (FWaaS), trong đó một công ty có thể thuê tường lửa dựa trên đám mây chuyên dụng cho doanh nghiệp của mình.
Nếu doanh nghiệp đủ can đảm, họ có thể thuê một máy chủ và thiết lập tường lửa của riêng mình. Các doanh nghiệp thường thực hiện điều này bằng cách thuê một máy chủ và cài đặt phần mềm bảo mật trên đó. Doanh nghiệp sẽ sử dụng Infrastructure-as-a-Service (IaaS) để thuê không gian cần thiết cho tường lửa.
Tóm lại, doanh nghiệp có hai sự lựa chọn: Thuê một tường lửa dựa trên đám mây có sẵn hoặc tự thiết lập lấy. Lựa chọn đầu tiên giống như thuê một công ty lắp đặt camera an ninh để giám sát ngôi nhà của bạn, thay vì tự mình thiết lập hệ thống camera quan sát.
Việc tự thiết lập tường lửa sẽ phụ thuộc vào lựa chọn của bạn. Ví dụ, nếu bạn không biết các cổng phù hợp với các quy tắc tường lửa, thì có lẽ bạn nên thuê một công ty có dịch vụ tường lửa hoạt động với đầy đủ chức năng.
Mặt khác, bạn có thể nhận được ý tưởng về việc tường lửa của doanh nghiệp của bạn là một người khác chịu trách nhiệm, chắc chắn là của riêng bạn.
4 lợi ích của tường lửa dựa trên đám mây
1. Tường lửa dựa trên đám mây dễ dàng cấu hình
Trước hết, tường lửa dựa trên đám mây có tính mô đun hơn nhiều so với tường lửa thông thường. Chúng được thiết kế để xử lý tất cả các loại thông tin liên lạc khác nhau.
Ví dụ, nếu bạn muốn hướng lưu lượng người dùng thông qua tường lửa, tường lửa dựa trên đám mây có thể làm điều đó. Nếu bạn muốn một công cụ có thể bảo vệ bạn khỏi các cuộc tấn công, tường lửa dựa trên đám mây cũng có thể thực hiện điều đó. Tường lửa có thể mở rộng theo nhu cầu. Chỉ cần nói những gì bạn muốn và nó sẽ làm điều đó cho bạn.
2. Tường lửa đám mây phát triển song hành cùng bạn
Một lý do khác để chọn tường lửa dựa trên đám mây là chúng có thể phát triển song hành cùng doanh nghiệp của bạn. Ví dụ, bạn muốn thêm nhiều văn phòng, trung tâm dữ liệu hoặc trang web vào tường lửa, bạn có thể thuê thêm không gian máy chủ để lấy tài nguyên bạn cần. Đây là một giải pháp có khả năng mở rộng mà không làm ảnh hưởng đến sự tăng trưởng của doanh nghiệp, cũng như giúp bạn không phải lo lắng về không gian phần cứng on-prem.
3. Firewalls-as-a-Service nhận được bản cập nhật tự động
Nếu bạn sử dụng FWaaS, công ty cung cấp dịch vụ tường lửa có thể theo dõi Internet và nắm bắt những dự báo về phần mềm độc hại. Dịch vụ này bao gồm các mối đe dọa Zero-day. Nếu bạn sử dụng FWaaS có uy tín, công ty đứng cung cấp dịch vụ sẽ vá và sửa chữa tường lửa khi tìm thấy những mối đe dọa này.
4. Tường lửa Infrastructure-as-a-Service giúp có thêm không gian
Nếu sử dụng tường lửa dựa trên IaaS, bạn có thể tận dụng không gian trống trên máy chủ cho những thứ khác. Ví dụ, bạn có thể lưu trữ dữ liệu, một trang web hoặc thiết lập máy ảo trên đó, tuỳ theo sở thích. Kết quả là, mặc dù IaaS gây áp lực lớn hơn trong việc giữ cho mọi thứ bảo mật, nhưng nó cũng mang lại cho bạn sự tự do khi sử dụng các máy chủ.
Nhược điểm của tường lửa đám mây
Thật không may, đặt một tường lửa trên một đám mây có nghĩa là nó có thể ngừng hoạt động bất cứ lúc nào. Chẳng hạn, nhà cung cấp hoặc máy chủ FWaaS của bạn ngừng hoạt động và bạn phụ thuộc vào nó để kiểm tra lưu lượng truy cập, nhằm tìm ra các tác nhân độc hại, toàn bộ mạng doanh nghiệp có thể ngừng hoạt động ngay lập tức. Đó là lý do tại sao việc chọn một dịch vụ đáng tin cậy lại vô cùng quan trọng. Ít nhất cũng nên có một kế hoạch dự phòng khi gặp sự cố.
Tường lửa dựa trên đám mây là một lựa chọn tuyệt vời cho bất kỳ ai cần sự bảo vệ mang tính thích ứng với nhiều hoàn cảnh. Nếu bạn thuê dịch vụ tường lửa hoặc tự tạo, chúng có thể là một tài sản có giá trị vì phạm vi bảo mật mạng sẽ ngày càng lớn hơn.
Có rất nhiều lý do tại sao bạn nên sử dụng tường lửa. Tham khảo bài viết: Tại sao bạn nên sử dụng một tường lửa máy tính để biết thêm chi tiết!