Tweet
East-West và North-South trong DataCenter.
East-West Traffic là gì và tại sao nó quan trọng?
Khi nói về bảo mật mạng doanh nghiệp, đa phần mọi người chỉ nghĩ đến lưu lượng từ bên ngoài vào – còn gọi là North-South traffic. Nhưng có một loại lưu lượng đang ngày càng trở nên quan trọng hơn – đó là East-West traffic. Đặc biệt khi bạn nghiên cứu về lĩnh vực Trung tâm dữ liệu.
East-West traffic là lưu lượng di chuyển ngang – từ máy chủ này sang máy chủ khác trong cùng một trung tâm dữ liệu. Nếu ví mạng là một thành phố, thì North-South là các tuyến đường cao tốc nối ra ngoài, còn East-West là mạng lưới đường nội bộ bên trong.
East-West traffic là traffic giữa các thuê bao (tenant). Nếu chúng ta không hiểu về loại lưu lượng East-West này, chúng ta không thể bảo mật nó.
Điều đó dẫn đến thuê bao tenant này có thể "hack" thuê bao kia. Vì chúng ta không có tường lữa hay cơ chế bảo vệ nào cho East-West Traffic.
Vậy điều gì khiến lưu lượng nội bộ này trở nên đáng chú ý?
Sự gia tăng ảo hóa, container hóa và kiến trúc microservices đã làm bùng nổ lưu lượng giữa các máy ảo và dịch vụ. Những tương tác này – mặc dù chỉ diễn ra nội bộ – vẫn ẩn chứa nhiều rủi ro bảo mật nếu không được kiểm soát đúng cách.
Bảo mật East-West traffic như thế nào?
Fun fact: Tội phạm mạng ngày nay thường ẩn nấp trong nội bộ, di chuyển ngang để tìm điểm yếu. Nếu bạn chỉ khóa cổng trước (North-South), mà để các cánh cửa trong nhà mở toang (East-West), bạn đang bỏ lỡ một điểm rất dễ bị tấn công.
East-West Traffic là gì và tại sao nó quan trọng?Khi nói về bảo mật mạng doanh nghiệp, đa phần mọi người chỉ nghĩ đến lưu lượng từ bên ngoài vào – còn gọi là North-South traffic. Nhưng có một loại lưu lượng đang ngày càng trở nên quan trọng hơn – đó là East-West traffic. Đặc biệt khi bạn nghiên cứu về lĩnh vực Trung tâm dữ liệu.
East-West traffic là lưu lượng di chuyển ngang – từ máy chủ này sang máy chủ khác trong cùng một trung tâm dữ liệu. Nếu ví mạng là một thành phố, thì North-South là các tuyến đường cao tốc nối ra ngoài, còn East-West là mạng lưới đường nội bộ bên trong.East-West traffic là traffic giữa các thuê bao (tenant). Nếu chúng ta không hiểu về loại lưu lượng East-West này, chúng ta không thể bảo mật nó.
Điều đó dẫn đến thuê bao tenant này có thể "hack" thuê bao kia. Vì chúng ta không có tường lữa hay cơ chế bảo vệ nào cho East-West Traffic.
Vậy điều gì khiến lưu lượng nội bộ này trở nên đáng chú ý?Sự gia tăng ảo hóa, container hóa và kiến trúc microservices đã làm bùng nổ lưu lượng giữa các máy ảo và dịch vụ. Những tương tác này – mặc dù chỉ diễn ra nội bộ – vẫn ẩn chứa nhiều rủi ro bảo mật nếu không được kiểm soát đúng cách.
Bảo mật East-West traffic như thế nào?- Quan sát & phân tích hành vi nội bộ để phát hiện các bất thường hoặc tấn công nội bộ (Log).
- Microsegmentation – chia nhỏ trung tâm dữ liệu thành các vùng logic với chính sách bảo mật riêng biệt cho từng phần.
- Có nghĩa là để mỗi tenant bên trong một VRF.
- Áp dụng kiến trúc SDN (Software-Defined Networking) để linh hoạt kiểm soát và tự động hóa chính sách bảo mật khi khối lượng công việc (workloads) di chuyển.
- Chuyển sang kiến trúc leaf-spine, thay vì 3-tier truyền thống, giúp tối ưu hóa luồng lưu lượng East-West và tránh tắc nghẽn uplink.
- Áp dụng kiến trúc bảo mật Zero-Trust. Hai tenant muốn giao tiếp với nhau thì phải xác thực, sau đó phải có chính sách cho phép traffic đi một cách tường minh.
Fun fact: Tội phạm mạng ngày nay thường ẩn nấp trong nội bộ, di chuyển ngang để tìm điểm yếu. Nếu bạn chỉ khóa cổng trước (North-South), mà để các cánh cửa trong nhà mở toang (East-West), bạn đang bỏ lỡ một điểm rất dễ bị tấn công.