Tại sao Service Meshes lại được coi là công cụ bảo mật

Thu HaTr

1.jpg
Service meshes có bị thổi phồng quá mức hay chúng thực sự có thể giải quyết bài toán bảo mật cho các hệ thống CNTT của doanh nghiệp? Service meshes là một công nghệ tương đối mới và nhiều người đã thấy khó khăn trong việc đưa chúng vào các danh mục dụng cụ được xác định trước. Đó là bởi vì service meshes có rất nhiều chức năng, từ cân bằng tải đến đảm bảo lưu lượng truy cập . Nhưng service meshes không chỉ đảm bảo lưu lượng truy cập của bạn qua mTLS và chúng có thể là công cụ bảo mật rất quan trọng cho doanh nghiệp của bạn.

Service meshes giúp các tổ chức cải thiện tình trạng bảo mật của họ, làm việc để chủ động ngăn chặn các cuộc tấn công thông qua mã hóa và kiểm soát truy cập cũng như cung cấp khả năng hiển thị các hành vi bất thường khi sự cố bảo mật xảy ra. Service meshes có thể là một bổ sung mạnh mẽ cho công cụ bảo mật của các tổ chức và đặc biệt quan trọng để bảo mật các ứng dụng có cả thành phần gốc và thành phần kế thừa trên cloud.

Trước đây, việc kiểm soát chu vi của mạng được coi là “đủ tốt” khi nói đến an ninh mạng. Có hai vấn đề xảy ra với điều này: Trước hết, ngay cả trong các hệ thống cũ, việc vượt qua tường lửa thường không quá khó và ngay khi xâm nhập, kẻ tấn công có thể truy cập toàn bộ hệ thống. Cũng quan trọng hơn, cách tiếp cận này chỉ đơn giản là không hoạt động đối với các ứng dụng gốc cloud, phân tán, thậm chí không có chu vi rõ ràng để bảo vệ. Service meshes giúp bạn có thể thắt chặt kiểm soát lưu lượng truy cập bên trong mạng ảo, do đó, ngay cả khi một tác nhân độc hại xâm nhập, sự hiện diện của nó vẫn dễ dàng phát hiện hơn và mức độ thiệt hại có thể được hạn chế.

Service meshes và bảo mật
Đây là lý do tại sao service meshes nên được coi là công cụ bảo mật — và cách chúng hoạt động để bảo mật các ứng dụng doanh nghiệp hiện đại.

Trung tâm kiểm soát thông qua các phương thức giao tiếp
Các tổ chức kỹ thuật hiện đại cần cung cấp cho các dev cá nhân quyền tự do lựa chọn các thành phần họ sử dụng trong các ứng dụng cũng như cách quản lý quy trình làm việc của riêng họ. Đồng thời, doanh nghiệp cần đảm bảo rằng có những cách nhất quán để quản lý cách tất cả các phần của ứng dụng giao tiếp bên trong ứng dụng cũng như với các phần phụ thuộc bên ngoài.

Service meshes cung cấp giao diện thống nhất giữa các dịch vụ. Bởi vì nó được gắn dưới dạng một sidecar hoạt động như một micro-dataplane cho mọi thành phần trong service meshes, nó có thể thêm mã hóa và kiểm soát truy cập để giao tiếp đến và đi từ các dịch vụ, ngay cả khi cả hai dịch vụ đó đều không được hỗ trợ.

Cũng quan trọng không kém, service meshes có thể được cấu hình và kiểm soát tập trung. Các dev cá nhân không phải thiết lập mã hóa hoặc định cấu hình các điều khiển truy cập; các nhóm bảo mật có thể thiết lập các chính sách bảo mật trong toàn tổ chức và thực thi chúng tự động với service meshes.

Các dev có thể sử dụng bất kỳ thành phần nào họ cần và không bị chậm lại bởi các cân nhắc về bảo mật. Các nhóm bảo mật có thể đảm bảo mã hóa và kiểm soát truy cập được định cấu hình phù hợp mà không phụ thuộc vào dev.

Phân đoạn vi mô đa môi trường
Khả năng kiểm soát quyền truy cập vào các phần khác nhau của cơ sở hạ tầng là một phần quan trọng trong tư thế bảo mật của bất kỳ tổ chức nào. Nhưng trong hầu hết các doanh nghiệp hiện đại, mỗi đơn vị kinh doanh sẽ có các ứng dụng chạy cả tại chỗ và trên cloud — có khả năng trên nhiều cloud.

Với service meshes bất khả tri để kết nối các môi trường, các tổ chức có thể phân đoạn mạng theo cách vẫn tạo ra trải nghiệm liền mạch cho người dùng và không trở nên quá phức tạp để các nhóm bảo mật quản lý hiệu quả.

Bên trong mỗi phân đoạn, service meshes có thể được sử dụng để tạo điều khiển truy cập dựa trên thuộc tính (ABAC), điều khiển truy cập dựa trên vai trò (RBAC) hoặc thậm chí là điều khiển truy cập thế hệ tiếp theo (NGAC). Service meshes cho phép các tổ chức điều chỉnh kiểm soát truy cập này rất chi tiết, bao gồm bên trong các phân đoạn mạng riêng lẻ và trên các môi trường triển khai khác nhau.

Phép đo từ xa chi tiết
Ngoài việc cung cấp mã hóa nhất quán và kiểm soát truy cập, service meshes cũng có thể cung cấp phép đo từ xa mà các tổ chức cần để xác định các sự cố bảo mật tiềm ẩn và phản ứng thích hợp với các bất thường.

Bởi vì tất cả lưu lượng di chuyển qua service meshes, lưới có thể thu thập và hiển thị thông tin chi tiết về lưu lượng mạng. Điều này bao gồm khả năng theo dõi nguồn gốc và điểm đến của mọi yêu cầu được gửi qua lưới, điều này rất quan trọng đối với bảo mật cũng như để vượt qua các cuộc kiểm tra tuân thủ.

Với service meshes kết nối cả môi trường cũ và môi trường gốc cloud, thông tin chi tiết về lưu lượng truy cập có sẵn cho toàn bộ hệ thống. Các nhóm bảo mật có thể sử dụng một bảng điều khiển duy nhất để xem lưu lượng truy cập đang di chuyển như thế nào trong hệ thống và để tương quan các tín hiệu với người dùng, địa chỉ IP và nội dung khi nó di chuyển từ môi trường này sang môi trường khác. Việc có tất cả thông tin ở một nơi giúp giảm nguy cơ truyền thông tin sai hoặc tương quan sai khi lưu lượng truy cập di chuyển giữa các môi trường, che khuất nguy cơ bảo mật thực sự hoặc nâng cao cờ đỏ một cách không cần thiết.

Các an ninh xuyên môi trường nhất quán
Hầu hết các doanh nghiệp hiện đại đều có hệ thống CNTT hybrid / multicloud bao gồm các khối nguyên khối kế thừa trong các trung tâm dữ liệu, cơ sở hạ tầng gốc cloud trong các cloud riêng cũng như khối lượng công việc chạy trong ít nhất một cloud công cộng. Có những lý do kinh doanh chính đáng cho tất cả các lựa chọn cơ sở hạ tầng này, nhưng các tổ chức cần phải có một thế trận an ninh nhất quán và mạnh mẽ trên tất cả chúng. Công nghệ service meshes cho phép các tổ chức kết nối tất cả các dịch vụ, ứng dụng và thành phần trong hệ thống, bất kể môi trường, đồng thời đảm bảo mã hóa, kiểm soát truy cập và khả năng hiển thị luồng lưu lượng mở rộng trong toàn bộ hệ thống.

Kết luận
Thêm service meshes vào bộ công cụ bảo mật của bạn là một cách để đảm bảo tính nhất quán trên toàn bộ hệ thống, bất kể doanh nghiệp sử dụng môi trường nào hay triển khai ra sao. Đây là cách tốt nhất để đảm bảo rằng mọi phần của cơ sở hạ tầng sẽ tuân thủ theo các chính sách bảo mật nội bộ của bạn.

Nguồn:
 
Top