Dưới góc nhìn của một kỹ sư an toàn thông tin (cybersecurity), cơn ác mộng lớn nhất không phải là một nhóm hacker siêu đẳng có khả năng gõ code nhanh như chớp trên màn hình đen. Cơn ác mộng thực sự là một chiếc laptop của nhân viên bị nhiễm mã độc, sau đó đăng nhập hợp lệ vào mạng VPN của công ty.
Trong nhiều năm, chúng ta đã đặt niềm tin vào VPN và các bức tường lửa (firewall) đặt tại trụ sở. Nhưng thế giới đã thay đổi. Dữ liệu chạy lên đám mây (cloud), nhân viên thì ngồi làm việc ở khắp nơi. Việc cố gắng gò ép một kiến trúc mạng cũ kỹ vào một môi trường làm việc phân tán đã sinh ra vô số rủi ro bảo mật và sự bực dọc về tốc độ mạng.
Đó là lý do kiến trúc SASE (Secure Access Service Edge) ra đời, định nghĩa lại hoàn toàn cách chúng ta bảo vệ hệ thống doanh nghiệp trong kỷ nguyên số.
SASE là gì ?
SASE chính xác là một mô hình/khung kiến trúc mạng Architecture/Framework chứ không phải là một phần mềm đơn lẻ.
Được hãng nghiên cứu Gartner giới thiệu vào năm 2019, SASE không phải là một thiết bị phần cứng đơn lẻ. Nó là một khung kiến trúc kết hợp hai yếu tố:
Mạng diện rộng định nghĩa bằng phần mềm (SD-WAN): Tối ưu hóa luồng định tuyến trên Internet.
Dịch vụ bảo mật đám mây (SSE - Security Service Edge): Tổ hợp các công nghệ kiểm soát an ninh mạng.
Thay vì bắt mọi luồng dữ liệu phải chạy về trạm trung tâm ở trụ sở công ty để kiểm tra, SASE phân tán các điểm kiểm soát an ninh này lên đám mây và đặt chúng rải rác khắp toàn cầu. Dù người dùng đang ở bất kỳ đâu, luồng dữ liệu của họ sẽ tự động kết nối đến điểm SASE gần nhất để được xác thực danh tính, quét mã độc và lọc web ngay lập tức, sau đó đi thẳng đến ứng dụng đích bằng con đường ngắn nhất.
Vấn đề của mô hình mạng biên truyền thống
Hãy tưởng tượng mạng nội bộ của công ty bạn là một tòa nhà, và firewall/VPN chính là cổng.
Trước đây, khi mọi người đều đến văn phòng làm việc và dữ liệu nằm ở máy chủ dưới tầng hầm, mô hình này rất hoàn hảo. Ai đi qua cổng (đăng nhập VPN) sẽ được mặc định coi là người nhà và được tự do đi lại trong nhà. Tuy nhiên, bối cảnh hiện tại đã khác:
Chúng ta dùng Google Workspace, Microsoft 365, Salesforce (dữ liệu không còn trong nhà).
Chúng ta làm việc ở nhà, đi công tác, ngồi quán cà phê (người dùng không còn ở trong nhà).
Sự bất cập lộ rõ: Nếu bạn đang ngồi ở nhà và muốn truy cập vào một file trên nền tảng đám mây, mô hình cũ sẽ ép luồng dữ liệu chạy vòng về công ty để firewall kiểm tra an ninh, sau đó mới đẩy lên ứng dụng đích, rồi lại vòng về công ty trước khi đến máy tính của bạn. Hiện tượng "định tuyến kẹp tóc" này làm tốc độ mạng chậm đi đáng kể và gây quá tải hệ thống phần cứng tại trụ sở.
Bốn trụ cột công nghệ tạo nên SASE
Để hiện thực hóa kiến trúc trên, SASE tích hợp 4 công nghệ lõi vào một nền tảng duy nhất:
ZTNA (Zero Trust Network Access): Nền tảng thay thế VPN. ZTNA loại bỏ sự tin tưởng ngầm định, chỉ cấp quyền truy cập vào từng ứng dụng cụ thể thay vì toàn bộ mạng nội bộ, đồng thời liên tục đánh giá mức độ an toàn của thiết bị theo thời gian thực.
CASB (Cloud Access Security Broker): Công cụ kiểm soát ứng dụng SaaS. CASB giám sát hành vi người dùng và ngăn chặn các nguy cơ rò rỉ dữ liệu nhạy cảm ra bên ngoài (ví dụ: cấm tải dữ liệu từ CRM công ty lên ổ đĩa cá nhân).
SWG (Secure Web Gateway): Cổng bảo mật web. Đóng vai trò làm màng lọc, ngăn chặn nhân viên truy cập vào các trang web độc hại, lừa đảo (phishing) hoặc chứa mã độc tống tiền (ransomware).
FWaaS (Firewall as a Service): Tường lửa đám mây. Đảm nhiệm việc kiểm soát các giao thức mạng, ngăn chặn các cuộc tấn công DDoS hay xâm nhập trái phép mà không yêu cầu doanh nghiệp phải tự duy trì, vận hành thiết bị phần cứng cồng kềnh.
Lợi ích cốt lõi của SASE dưới góc nhìn an toàn thông tin
Sự dịch chuyển sang mô hình SASE giải quyết triệt để 3 bài toán lớn của các đội ngũ vận hành và bảo mật:
Giới hạn bán kính tấn công: Nhờ nguyên tắc Zero Trust, nếu thiết bị đầu cuối của một nhân viên bị chiếm quyền, kẻ tấn công sẽ bị cô lập tại một dịch vụ duy nhất và hoàn toàn không thể di chuyển ngang (lateral movement) để đánh sập các máy chủ khác trong hệ thống.
Xóa bỏ điểm mù bảo mật: Mọi luồng dữ liệu đi ra Internet hay vào mạng nội bộ đều được giám sát và phân tích liên tục thông qua các tác nhân (agent) cài đặt trên thiết bị, khắc phục tình trạng thiếu kiểm soát khi người dùng quên bật VPN ở mô hình cũ.
Quản trị tập trung: SASE cung cấp một bảng điều khiển duy nhất để quản trị viên thiết lập và thực thi các chính sách an ninh mạng trên quy mô toàn cầu, thay vì phải vận hành rời rạc nhiều giải pháp bảo mật từ các nhà cung cấp khác nhau.
Các nhà cung cấp SASE tiêu biểu
Fortinet (FortiSASE)
Fortinet có lợi thế cực lớn về thị phần phần cứng mạng (FortiGate). FortiSASE là cách họ mở rộng sức mạnh tường lửa của mình lên đám mây.
Đặc điểm: Tích hợp liền mạch hệ điều hành FortiOS. Doanh nghiệp có thể duy trì chính sách bảo mật đồng nhất giữa các thiết bị phần cứng on-premise và người dùng làm việc từ xa trên đám mây.
Phù hợp cho: Các doanh nghiệp đang sử dụng sẵn hạ tầng phần cứng của Fortinet và muốn nâng cấp lên mô hình SASE mà không phải thay đổi kiến trúc quản trị.
Cisco (Cisco Secure Connect)
Cisco gia nhập thị trường SASE bằng cách gộp hệ sinh thái khổng lồ của mình lại với nhau.
Đặc điểm: Là sự kết hợp giữa giải pháp mạng Cisco Meraki (SD-WAN) và nền tảng bảo mật Cisco Umbrella (SWG, CASB) cùng Cisco Secure Access (ZTNA).
Phù hợp cho: Những doanh nghiệp đã quen thuộc và "trung thành" với hệ sinh thái của Cisco, muốn quản trị mạng tập trung qua nền tảng Meraki.
Cato Networks (Cato SASE Cloud)
Cato Networks thường được xem là người tiên phong đưa ra khái niệm mạng SASE thực thụ (single-vendor SASE) từ trước khi thuật ngữ này trở nên phổ biến.
Đặc điểm: Thay vì mua lại và chắp vá các giải pháp khác nhau, Cato tự xây dựng một kiến trúc hợp nhất từ đầu. Họ cung cấp một nền tảng đám mây duy nhất quản lý cả SD-WAN và các lớp bảo mật (ZTNA, SWG, CASB, FWaaS).
Phù hợp cho: Các doanh nghiệp muốn một giải pháp trọn gói, dễ quản trị với một bảng điều khiển duy nhất, không muốn phụ thuộc vào quá nhiều nhà cung cấp.
Palo Alto Networks (Prisma SASE)
Palo Alto Networks là "ông lớn" trong ngành tường lửa và an toàn thông tin. Nền tảng Prisma SASE của họ là sự kết hợp giữa Prisma Access (phần bảo mật - SSE) và Prisma SD-WAN.
Đặc điểm: Tận dụng tối đa sức mạnh của trí tuệ nhân tạo (AI) và máy học (ML) để phân tích hành vi, dự đoán rủi ro và tự động hóa việc khắc phục sự cố mạng. Khả năng bảo mật của Palo Alto luôn được đánh giá ở mức cao nhất.
Phù hợp cho: Các tập đoàn lớn, các tổ chức có yêu cầu bảo mật cực kỳ khắt khe và hệ thống mạng phức tạp.
Zscaler (Zscaler Zero Trust Exchange)
Zscaler là cái tên định hình mảng bảo mật đám mây (SSE). Mặc dù họ không tự làm SD-WAN (thường phải hợp tác với các hãng như VMware, Silver Peak), nhưng phần SSE của họ lại dẫn đầu thị trường.
Đặc điểm: Các sản phẩm chủ lực bao gồm Zscaler Internet Access (ZIA - đóng vai trò SWG/CASB) và Zscaler Private Access (ZPA - đóng vai trò ZTNA). Hạ tầng mạng lưới đám mây của họ cực kỳ khổng lồ.
Phù hợp cho: Doanh nghiệp có lực lượng lao động từ xa lớn, tập trung mạnh vào việc bảo vệ quyền truy cập ứng dụng (ZTNA) và an toàn web.
Cloudflare (Cloudflare One)
Vốn nổi tiếng với dịch vụ CDN và chống DDoS, Cloudflare đã tận dụng mạng lưới máy chủ biên (Edge Network) khổng lồ của mình để bước vào sân chơi SASE.
Đặc điểm: Mạng lưới của Cloudflare có mặt ở hàng trăm thành phố trên toàn cầu, giúp kết nối SASE đạt tốc độ và độ trễ tối ưu nhất. Sản phẩm của họ rất linh hoạt, bao gồm Cloudflare Access (ZTNA) và Cloudflare Gateway (SWG).
Phù hợp cho: Doanh nghiệp ưu tiên tốc độ định tuyến toàn cầu, có nhiều ứng dụng web và muốn tận dụng hạ tầng biên (Edge computing)
Kết luận
Việc duy trì mô hình mạng truyền thống ngày nay giống như việc bảo vệ một tòa thành trống rỗng, trong khi tài sản và người dùng đều đã chuyển lên môi trường trực tuyến.
Sự chuyển dịch sang kiến trúc SASE không đơn thuần là nâng cấp thiết bị mạng. Đây là sự thay đổi mang tính cốt lõi về tư duy kiến trúc hệ thống: chuyển từ việc cố gắng bảo vệ một ranh giới mạng vật lý sang việc bảo vệ dữ liệu, ứng dụng và danh tính ở bất cứ nơi đâu chúng tồn tại. Đầu tư vào SASE chính là đầu tư vào tương lai của bảo mật doanh nghiệp hiện đại.