Segmentation (Phân khúc, phân đoạn dịch vụ mạng) là một tính năng thường thấy trong các yêu cầu về thiết kế, vận hành của kiến trúc mạng hiện đại.
Phân đoạn dịch vụ mạng - network segmentation là quá trình luận lý để gộp các tài nguyên mạng, các thiết bị, các ứng dụng vào các nhóm riêng biệt. Segmentation giúp chúng ta có thể linh động và uyển chuyển hơn khi hiện thực các dịch vụ, khi cần triển khai dịch vụ xác thực. Dưới đây là một số ví dụ của segmentation.
Ví dụ 1: Chúng ta đặt một số cổng của hai hoặc nhiều switches vào cùng một VLAN dành cho Phòng kế toán. Sau đó chúng ta áp đặt các cơ chế hạn chế truy cập vào VLAN kế toán như dùng ACL.
Ví dụ 2: Trên router, ngoài bảng định tuyến toàn cục, chúng ta tạo ra các bảng định tuyến ảo VRF dành cho những lưu lượng mạng của người dùng GUEST. Lúc này GUEST VRF sẽ tách biệt với phần còn lại của hạ tầng mạng.
Ví dụ 3: Các công nghệ như VPN, Firewall, cách tổ chức DMZ-Inside-Outside…là những cách phổ biến để chúng ta bảo vệ cho những phân đoạn mạng khác nhau.
Trong quá khứ cách đây không lâu, chúng ta đã từng cố gắng hợp nhất và tập trung hóa các mạng dịch vụ lại với nhau. Thế nhưng chúng ta cũng cần duy trì một mức độ tách biệt giữa các dịch vụ. Lúc này segmentation sẽ được áp dụng.
Các xu thế ảo hóa, điện toán đám mây, SaaS, container đã làm thay đổi khủng khiếp cấu trúc hạ tầng mạng truyền thống mà chúng ta hằng quen thuộc. Trước đây, các ứng dụng và các dịch vụ mạng được sử dụng trong doanh nghiệp thì khá đơn giản và không đa dạng. Một mạng chỉ có vài ứng dụng được sử dụng bởi một vài nhóm người dùng.
Ngày nay, các ứng dụng mới được tạo ra ở tốc độ nhanh hơn, các ứng dụng lại tích hợp và tương tác với nhau thông qua API, rồi lại có thêm các cơ chế streaming trong mạng doanh nghiệp…Để thêm vào các rắc rối cho chúng ta – những kỹ sư mạng, người dùng trong doanh nghiệp ngày nay còn di chuyển khắp nơi trong văn phòng - roaming, thậm chí còn làm việc tại nhà Work From Home. Các mô hình bảo vệ truyền thống dùng VLAN, VRF hay các cơ chế firewall (cả firewall thật và firewall ảo) đều có dấu hiệu tỏ ra lỗi thời. Các vụ thất thoát dữ liệu data breach gần đây chính là minh chứng. Chưa hết, dữ liệu ngày nay có thể được lưu trữ ở bất cứ nơi nào bên trong datacenter, trong cloud hay thậm chí là nằm trong mạng của đối tác kinh doanh của chúng ta. Segmentation và Zero Trust đang là kẻ chiến thắng.
Segmentation dựa trên ứng dụng
Nhìn từ trên xuống, chúng ta có một cách phân chia phân đoạn mạng dựa trên ứng dụng, gọi là application-based segmentation. Với cách dùng các máy ảo VM và các container, dữ liệu chỉ chạy qua lại giữa các thành phần này, dữ liệu thậm chí còn không rời khỏi một switch vật lý hay một server vật lý.
Trong đầu chúng ta có thể ngay lập tức nghĩ đến cách dùng firewall ảo đến giải quyết vụ segmentation giữa các VM hay giữa các container. Thế nhưng, các giải pháp như microsegment sẽ giải quyết tốt hơn yêu cầu đó. Ý tưởng cơ bản cho cách hoạt động của microsegment là chúng ta sẽ nhóm các đầu cuối endpoint dựa trên các thuộc tính khác nhau của mạng hoặc của VM. Sau đó các chính sách truy cập động sẽ được áp dụng vào các nhóm đầu cuối này. Các thuộc tính mạng có thể được dùng để phân loại là IP, MAC… Các thuộc tính của một máy VM có thể được tham chiếu dùng cho phân loại là kiểu hệ điều hành OS, VMM domain, kiểu hypervisor, Datacenter, VM ID, VM Name, vNIC…
Tóm tắt: trong môi trường ảo hóa, microsegment được dùng để hiện thực vấn đề segmentation.
Segmentation từ góc nhìn network
Với góc nhìn từ các lớp trung gian như lớp network, để triển khai Segmentation, chúng ta có thể dùng Security Group Tag, SxP và VxLAN. SGT có thể hiểu như là một nhãn được gán vào các gói tin hoặc các frame. Mỗi loại dịch vụ mạng như GUEST, IoT…sẽ được gán một nhãn tag. Giao thức SXP được dùng giữa các thiết bị để trao đổi các tag với nhau. Gần đây, VxLAN được nhiều thiết bị hỗ trợ. Với VxLAN, chúng ta có thể dùng trường Group-ID trong VxLAN header để lan truyền tag bên trong một domain hay nhiều domain.
Tóm tắt: SGT dùng để dán nhãn các dịch vụ, các người dùng. SXP là giao thức giúp trao đổi các SGT giữa các thiết bị. Còn VxLAN là nơi để mang các SGT.
Các SDN controller như DNA Center hay ACI đều hỗ trợ tốt việc quản lý, lan truyền các SGT giữa các thiết bị. Đặc biệt, các controller là nơi chúng ta sẽ định nghĩa và triển khai các chính sách dựa trên các tags. Phần mềm Cisco ISE bên cạnh các tính năng về Radius, Tacacs+, cũng là một máy chủ rất mạnh để thực hiện các công việc phân loại người dùng, thiết bị, phân loại app thông qua các cơ chế của quá trình phân quyền – Authorization của AAA. Cisco ISE thường được tích hợp với các controller và nằm “trang trọng” ở một vị trí cao trong các kiến trúc mạng mới.
Tóm tắt: Các SDN Controller giúp định nghĩa và triển khai các chính sách cho các SGT tags. Còn ISE sẽ giúp gán các tag theo các chính sách do chúng ta định nghĩa.