Các tiêu chuẩn mạng máy tính đã và đang trải qua một giai đoạn phát triển vượt bậc trong suốt 2 thập kỷ gần đây. Sự phức tạp trong việc tích hợp các giải pháp bảo mật cho các luồng dữ liệu khi cần chuyển đổi công năng trong hệ thống Network, phục vụ cho các mục đích khác nhau trong hệ thống; Các quyết định xử lý như thế nào đối với từng luồng lưu lượng hiện tại đang được thực hiện trên các thiết bị riêng biệt như switch/router… đó là một vài vấn đề tồn tại trong các hệ thống mạng. Công nghệ SDN - Software defined Networking (Mạng định nghĩa bằng phần mềm) ra đời như một giải pháp cho hệ thống Network hiện nay, đồng thời nó cũng đặt ra những thách thức trong việc đảm bảo an ninh và an toàn dữ liệu trong thời gian tới.
Công nghệ mạng định nghĩa bằng phần mềm (SDN) dựa trên các tiêu chuẩn mở đầu tiên giúp mở rộng hạ tầng cơ sở, phần mềm điều khiển và các lớp ứng dụng với một “mặt bằng điều khiển duy nhất”, cho phép các doanh nghiệp và các nhà cung cấp dịch vụ điện toán đám mây đơn giản và tối đa hóa tính linh hoạt từ trung tâm dữ liệu tới các mạng lưới chi nhánh.
1. Tổng quan về SDN
Hầu hết các mạng thông thường đều theo kiến trúc phân cấp, được xây dựng với các tầng của thiết bị chuyển mạch Ethernet, được sắp xếp theo cấu trúc cây. Thiết kế này thực sự hiệu quả khi mô hình tính toán khách – chủ chiếm ưu thế, nhưng kiến trúc cố định như vậy không thích hợp với yêu cầu tính toán đa dạng, năng động và nhu cầu lưu trữ dữ liệu tại các trung tâm dữ liệu của doanh nghiệp, trường học và trong môi trường của các nhà cung cấp dịch vụ. Một số xu hướng tính toán quan trọng dẫn tới yêu cầu ngày càng tăng cho một mô hình mạng mới bao gồm: Sự thay đổi mô hình lưu lượng; Hướng tới người dùng CNTT; Sự phát triển của các dịch vụ điện toán đám mây; “Dữ liệu lớn” yêu cầu nhiều băng thông hơn.
Mạng định nghĩa bằng phần mềm (SDN) được dựa trên cơ chế tách bạch việc kiểm soát một luồng mạng với luồng dữ liệu. SDN tách riêng việc định tuyến và chuyển các luồng dữ liệu, và chuyển kiểm soát luồng sang thành phần mạng riêng có tên gọi là thiết bị kiểm soát luồng (Flow controller). Điều này cho phép luồng các gói dữ liệu đi qua mạng được kiểm soát theo một cách thức có lập trình.
SDN cũng bao gồm khả năng ảo hóa các nguồn lực mạng. Nguồn lực mạng ảo hóa được biết đến như một “ngăn mạng” (network slice). Một ngăn có thể mở rộng nhiều thành phần mạng bao gồm đường trục mạng, bộ định tuyến và các host. Khả năng kiểm soát nhiều luồng dữ liệu sẽ tạo ra sự linh hoạt và nguồn lớn hơn trong tay người sử dụng.
Kiến trúc của SDN
Kiến trúc SDN bao gồm: Lớp ứng dụng (Application Layer), lớp điều khiển (Control Layer) và lớp hạ tầng cơ sở (Infrastructure Layer).
Lớp ứng dụng cung cấp các giao diện có khả năng lập trình mở; Phần mềm Virtual Cloud Networks cho phép các nhà cung cấp dịch vụ điện toán đám mây cung cấp các dịch vụ đám mây công cộng tự động và có khả năng mở cho các doanh nghiệp. Sử dụng phần mềm này, các tổ chức, doanh nghiệp có thể tạo ra một “đám mây ảo” cô lập, thông qua hạ tầng cơ sở đám mây công cộng tự phục vụ, giúp họ sự kiểm soát hoàn toàn cho các dịch vụ và các ứng dụng mới cho người sử dụng.
Cũng tại lớp ứng dụng, phần mềm ứng dụng mới Sentinel Security tự động kiểm soát truy cập và bảo đảm phòng chống xâm nhập cho các mạng trong khuôn khổ của tổ chức, doanh nghiệp với phần cứng chuyển đổi OpenFlow thông qua bộ điều khiển. Có thể giảm bớt sự phức tạp và chi phí của các thiết bị phần cứng chuyên dụng, đồng thời có được sự đảm bảo khả năng mở rộng cần thiết cho các ứng dụng mới.
Lớp điều khiển cung cấp cách nhìn tập trung và sự tự động cấu hình mạng của tất cả các thiết bị trong hạ tầng cơ sở. Bộ điều khiển cho phép các nhà quản trị mạng thiết lập chương trình một cách dễ dàng, linh hoạt và mở rộng môi trường mạng của họ cho các ứng dụng tự động cảm ứng đơn. Nó cũng cung cấp các giao diện chương trình ứng dụng (APls) cho các nhà phát triển bên thứ ba để tùy chỉnh tích hợp các ứng dụng.
Lớp hạ tầng cơ sở cung cấp việc truy cập có khả năng lập trình mở thông qua OpenFlow, một giao thức mạng giúp tự động cấu hình phần cứng. Chức năng SDN mới trong lớp hạ tầng cơ sở cho phép người quản trị đơn giản cấu hình mạng, mang đến một giao diện linh hoạt và khả năng lập trình theo tiêu chuẩn.
Lợi ích của mạng SDN dựa trên giao thức OpenFlow
Mạng SDN dựa trên OpenFlow cho phép giải quyết các vấn đề liên quan tới băng thông, sự thay đổi liên tục của các ứng dụng, chuyển đổi mạng cho phù hợp với các yêu cầu làm việc và giảm đáng kể độ phức tạp của hoạt động điều hành và quản lý mạng. Các lợi ích có thể đạt được thông qua kiến trúc mạng SDN dựa trên OpenFlow bao gồm:
Tập trung hóa việc điều khiển trong môi trường mạng của nhiều nhà cung cấp
Phần mềm điều khiển SDN có thể kiểm soát thiết bị mạng hỗ trợ OpenFlow từ bất kỳ nhà cung cấp nào, bao gồm chuyển mạch, định tuyến và chuyển mạch ảo. Thay vì phải quản lý từng nhóm thiết bị từ các nhà cung cấp riêng lẻ, nhà quản lý có thể sử dụng đồng bộ các thiết bị và các công cụ quản lý dựa trên SDN để nhanh chóng triển khai, cấu hình và cập nhật các thiết bị trong toàn bộ mạng.
Giảm độ phức tạp thông qua tự động hóa Mạng SDN dựa trên giao thức OpenFlow cung cấp các công cụ giúp tự động hóa và quản lý mạng một cách linh hoạt. Điều này hỗ trợ nhà quản lý có thể phát triển các công cụ giúp thực hiện các tác vụ quản lý một cách tự động hóa.
Tốc độ đổi mới cao hơn
Sử dụng mạng SDN làm tăng khả năng đổi mới trong công việc, bằng cách cho phép nhà vận hành mạng có thể thực sự lập trình theo thời gian thực để đáp ứng những yêu cầu công việc đặc biệt và nhu cầu phát sinh của người sử dụng, bằng cách ảo hóa và trừu tượng hóa cơ sở hạ tầng mạng từ các dịch vụ mạng.
Tăng cường độ tin cậy và an ninh mạng
SDN cho phép các nhà quản lý tự định nghĩa các cấu hình cấp cao (high-level configuration) và chính sách trong mạng, điều này được chuyển xuống cơ sở hạ tầng thông qua OpenFlow. Kiến trúc mạng SDN dựa trên OpenFlow loại bỏ nhu cầu phải cấu hình lại cho từng thiết bị mạng đơn mỗi khi một thiết bị đầu cuối có sự thay đổi. Điều này làm giảm thiểu khả năng phát sinh lỗi trong mạng do xung đột cấu hình hoặc chính sách.
Bộ điều khiển mạng SDN cung cấp khả năng hiển thị đầy đủ và kiểm soát qua mạng. Điều này đảm bảo rằng việc kiểm soát truy cập, lưu lượng, chất lượng dịch vụ, an ninh và các chính sách khác được thực thi nhất quán trên các cơ sở hạ tầng mạng của các tổ chức. Bởi vậy, sẽ giảm chi phí hoạt động, khả năng cấu hình linh hoạt, ít gặp lỗi, thực thi chính sách và cấu hình thống nhất.
Trải nghiệm người dùng tốt hơn
Bằng cách tập trung hóa điều khiển mạng và đảm bảo thông tin trạng thái sẵn sàng cho các ứng dụng cấp cao hơn, cơ sở hạ tầng mạng SDN có thể thích ứng tốt hơn với nhu cầu đa dạng của người dùng. Với mạng SDN dựa trên OpenFlow, các ứng dụng video có thể tự nhận diện băng thông cho phép trong mạng theo thời gian thực và tự động điều chỉnh độ phân giải video cho phù hợp.
2. đảm bảo an toàn hệ điều hành mạng
Các nguy cơ đối với bảo mật hệ thống
Kẻ tấn công có thể lấy được các thông tin về hệ điều hành và ứng dụng (thông tin này là rất quan trọng để thực hiện một cuộc tấn công tập trung), người dùng, các nhóm, các tệp dùng chung, thông tin DNS thông qua các đợt chuyển giao miền và các dịch vụ đang chạy như SNMP, finger, SMTP, telnet. rules, sunrpc, NELBIOS.
Các mạng Internet bị cấu hình sai có thể tạo điều kiện cho việc truy nhập trái phép. Phần mềm chưa được vá lỗ hổng bảo mật hoặc giữ lại các cấu hình ngầm định không cần thiết, có thể gây ra các điểm yếu bảo mật; tính năng ghi nhật ký, giám sát và phát hiện truy nhập không chính đáng tại cấp mạng và hệ chủ tạo ra lỗ hổng ngoài ý muốn.
Một số điểm yếu dễ bị tấn công trong hệ thống:
Không gian tráo đổi (swap space): Hầu hết các hệ thống đều dành khoảng vài trăm Mbyte cho không gian tráo đổi nhằm phục vụ các yêu cầu đến từ máy khách. Không gian này được dùng cho những tác vụ khó, thời gian tồn tại ngắn, vì vậy không gian tráo đổi hầu như liên tục được truy xuất thông tin. Một cuộc tấn công DoS sẽ bằng cách nào đó có thể làm đầy không gian tráo đổi này, dẫn tới hệ thống ngừng phục vụ.
Đường truyền (bandwidth): Khi lưu lượng trên đường truyền quá lớn, mạng sẽ giảm tốc độ hoặc ngừng phục vụ. Hầu hết các cuộc tấn công DoS đều nhằm vào việc làm tắc nghẽn đường truyền, các bảng thông tin cốt lõi (kernel tables). Các bảng thông tin này có thể bị làm tràn trong một cuộc tấn công, gây ra những hư hỏng nghiêm trọng trong hệ thống.
Định vị bộ nhớ nhân (Kernel memory allocation) cũng là điểm rất dễ bị tấn công. Nhân hệ thống có một giới hạn bản đồ nhân, nếu hệ thống đạt đến giới hạn này, nó sẽ không thể chiếm thêm bộ nhớ nữa và sẽ phải khởi động lại. Bộ nhớ nhân không chỉ được dùng cho RAM, CPU, màn hình mà nó còn được sử dụng cho các tác vụ thông thường.
Tiêu thụ tài nguyên hệ thống: Một cuộc tấn công DoS có thể chiếm dụng rất nhiều dung lượng bộ nhớ trong, lấp đầy khoảng trống trên đĩa cứng, làm quá tải ổ đĩa. Do đó có thể gây ra các hỏng hóc nghiêm trọng cho hệ thống.
Bị tấn công mã số mô tả tập tin
Đối với hệ điều hành Unix các mã số mô tả tập tin (file descriptors) là các số nguyên không âm, mà hệ thống dùng để theo dõi các tập tin, thay vì dùng các tên tập tin cụ thể. Nếu một mã số mô tả tập tin được mở đọc/ghi bởi một tiến trình ưu tiên, kẻ tấn công có thể ghi ra tập tin khi nó đang được sửa đổi, do đó có thể sửa đổi một tập tin hệ thống quan trọng và giành được quyền truy nhập gốc.
Bị tấn công hệ vỏ bọc
Hệ vỏ bọc UNIX rất mạnh và cung cấp cho người dùng nhiều tiện lợi. Một trong các tính năng chính của môi trường hệ vỏ bọc UNIX là khả năng lập trình các lệnh và ấn định các tuỳ chọn cụ thể cai quản cách hoạt động của hệ vỏ bọc. Tuy nhiên, đi kèm với năng lực này là nguy cơ bị tấn công cũng rất lớn.
Xoá nhật ký (xoá các dõi vết đăng nhập)
Tấn công bằng virus, nguy cơ hệ thống bị tấn công và phá hoại qua việc nhiễm virus và các đoạn mã chương trình có nội dung xấu. Với độ phức tạp và nguy hiểm ngày càng cao, sự đa dạng của việc lây nhiễm virus, việc cả một hệ thống bị phá vỡ bởi virus máy tính là điều hoàn toàn có thể. Việc xâm nhập phá hoại có thể thông qua những cách sau: Quá trình trao đổi File giữa các máy tính; Trao đổi dữ liệu trong hệ thống, hoặc các thiết bị cắm thêm, đĩa mềm, USB; Quá trình trao đổi thư điện tử. Virus máy tính hoặc các đoạn mã chương trình có thể nằm ẩn trong nội dung của thư điện tử hoặc ẩn trong các tệp đính kèm, qua đó phát tán trong hệ thống trong quá trình trao đổi thư và việc truy cập Internet. Đây là kiểu lây nhiễm phổ biến nhất và nguy hiểm nhất bởi sự đa dạng, cập nhật mới của virus máy tính.
Các nguy cơ đối với an toàn dữ liệu
Nếu bị tấn công, dữ liệu có thể bị sửa đổi một cách bất hợp pháp hoặc bị đánh cắp. Hacker có thể dùng những công cụ hack có sẵn trên mạng hoặc các Trojan để xâm nhập vào hệ thống, lấy cắp mật khẩu admin để có toàn quyền sửa đổi, làm hỏng dữ liệu quan trọng.
3. Kết luận
Xu hướng của người sử dụng ngày nay như: ưa chuộng tính di động, ảo hóa máy chủ, yêu cầu đáp ứng một cách nhanh chóng với điều kiện công việc luôn thay đổi đã đặt ra ngày càng nhiều yêu cầu đối với hệ thống mạng. Kiến trúc mạng thông thường nhiều khi không đáp ứng kịp. Mạng điều khiển bằng phần mềm (SDN) cung cấp một kiến trúc mạng mới, năng động, có khả năng thay đổi mạng xương sống truyền thống sang một nền tảng có khả năng cung cấp dịch vụ phong phú hơn.
Tương lai của mạng sẽ dựa nhiều hơn nữa vào các phần mềm. Việc này sẽ giúp đẩy nhanh tốc độ đổi mới cho hệ thống mạng như nó đã từng xảy ra trong lĩnh vực máy tính và lưu trữ. SDN hứa hẹn sẽ biến đổi mạng cố định hiện nay thành nền tảng dựa trên lập trình với khả năng phân bổ nguồn lực một cách năng động, trở nên linh hoạt hơn, đủ quy mô để hỗ trợ các trung tâm dữ liệu khổng lồ với sự ảo hóa cần thiết cho một môi trường điện toán đám mây tự động hóa cao, năng động, và an toàn.
Sở hữu nhiều lợi thế và tiềm năng công nghiệp hấp dẫn, mạng SDN đang trên đường để trở thành một chuẩn mới cho mạng trong tương lai. Tuy nhiên, song song với nó là vấn đề đảm bảo an toàn và chống mất mát dữ liệu trên hệ điều hành mạng. Đó là vấn đề mang tính thời sự, đặt ra nhiều thách thức cho chuyên gia an ninh mạng trong thời gian tới.