Điện toán biên (Edge Computing) là mô hình điện toán phân tán, đưa việc xử lý tính toán và lưu trữ dữ liệu đến gần vị trí cần thiết hơn để nâng cao tốc độ và tiết kiệm băng thông. Mô hình này cho phép làm rõ phạm vi và tài nguyên tại biên để tối ưu hoá việc phân tích, xử lý, làm giảm các chi phí vận hành, từ đó làm tăng biên lợi nhuận.

Công ty nghiên cứu thị trường Hoa Kỳ Forrester gọi 2021 là năm của điện toán biên, đồng thời dự đoán rằng công nghệ này sẽ chuyển từ giai đoạn thử nghiệm sang triển khai hàng loạt.

{keywords}
 

Tuy nhiên so với những trung tâm dữ liệu tập trung được bảo mật cao, một hệ thống phân tán với những thiết bị đầu cuối được đặt tại nơi các dữ liệu được tạo ra mang đến những lo ngại và những hiểu lầm không đáng có, cản trở nhiều công ty, tổ chức triển khai điện toán biên.

Ngày nay, mạng và các ứng dụng trở nên phi tập trung hơn, dữ liệu được xử lý tại chỗ hoặc lưu trữ trên đám mây và nhân viên cũng có thể truy cập dữ liệu công ty từ bên ngoài, đặc biệt khi làm việc tại nhà. Điều này khiến cho cách tiếp cận bảo mật truyền thống hay còn gọi là “bảo mật vành đai” không còn đủ khả năng bảo vệ toàn diện nữa. Mô hình Zero Trust trong an ninh mạng, nghĩa là “không tin tưởng bất kỳ ai cho đến khi được xác minh” hiện đang được xem như một giải pháp áp dụng cho các doanh nghiệp.

Theo quan điểm đó, ứng dụng điện toán biên có thể được xem như một cách giúp tổ chức “tái tạo” hệ thống bảo mật. Các chuyên gia Schneider Electric gợi ý doanh nghiệp áp dụng chiến lược an ninh mạng toàn diện sau đây nhằm giảm thiểu các rủi ro về an ninh mạng khi ứng dụng điện toán biên.

Lựa chọn thiết bị đúng

Vấn đề thường gặp của các thiết bị IoT chính là trở thành mắt xích yếu nhất, tạo cơ hội cho những kẻ tấn công xâm nhập vào hệ thống biên.

Vì vậy, doanh nghiệp có thể xem xét cân nhắc hai tiêu chí sau đây khi lựa chọn các thiết bị. Một là thiết bị được thiết lập Vòng đời phát triển bảo mật (Security Development Lifecycle - SDL), một khái niệm được giới thiệu bởi Microsoft để xem xét các mối lo ngại về bảo mật và quyền riêng tư trong suốt quy trình phát triển phần mềm. Yếu tố thứ hai là IEC 62443 - một tiêu chuẩn được chứng nhận quốc tế, đưa ra các yêu cầu về quy trình phát triển an toàn các sản phẩm được sử dụng trong những hệ thống quản lý và tự động công nghiệp cũng như các ứng dụng CNTT tại biên.

Thiết kế hệ thống an toàn

Thay vì chỉ sử dụng một giải pháp, doanh nghiệp nên sử dụng Hệ thống phòng thủ chuyên sâu (Defense-in-Depth Network - DDN) giúp đa dạng hóa các rủi ro bằng việc tạo ra những khu vực an ninh với các yếu tố phòng vệ khác nhau ở mỗi khu vực.

{keywords}
 

Lớp đầu tiên cần đến phân đoạn mạng khi mở rộng phạm vi của biên. Phân đoạn mạng hoạt động bằng cách chia nhỏ hệ thống máy tính thành các phân khúc, giúp kiểm soát lưu lượng dữ liệu tốt hơn cũng như hạn chế việc lan rộng của một cuộc tấn công.

Lớp tiếp theo là hệ thống phát hiện xâm nhập, giúp xác định và cảnh báo người dùng về những độc hại tiềm ẩn có thể phá hoại, gián đoạn dịch vụ hoặc ảnh hưởng đến tính khả dụng của hệ thống vận hành tại biên.

Thiết lập/định cấu hình thiết bị

Trước khi kết nối một thiết bị hoặc một hệ thống mới vào một ứng dụng biên, cần hiểu rõ cách thức hoạt động của nó thông qua các bước: Đánh giá lỗ hổng bảo mật để phát hiện tình trạng của thiết bị hoặc hệ thống khi được vận chuyển đến địa điểm; Sử dụng hướng dẫn bổ sung của nhà cung cấp để thiết lập và định cấu hình cho thiết bị; Vô hiệu hóa tất cả giao thức không an toàn hoặc không cần thiết để giảm thiểu nguy cơ các tấn công bề mặt; Cập nhật tất cả các bản vá, nâng cấp trước khi thực hiện việc triển khai cuối cùng.

{keywords}
 

Vận hành và bảo trì

Lắp đặt một thiết bị hoặc hệ thống chỉ là khởi đầu của quá trình bảo mật, cần theo dõi và bảo trì ứng dụng biên một cách chặt chẽ qua việc quản lý bản vá, quản lý lỗ hổng và kiểm tra sự xâm nhập.

Quản lý bản vá: Có rất nhiều bộ phận di động trong một ứng dụng biên, do đó, trước khi triển khai bản vá, cần phối hợp với những người vận hành, để họ có thể hiểu chính xác những gì sắp được thực hiện và biết được những giảm thiểu cần thiết và thời gian áp dụng bản vá.

Quản lý lỗ hổng: Khi kích thước hệ thống tăng lên và có thêm các vụ tấn công mới, điện toán biên có thể khiến quản lý lỗ hổng bảo mật trở nên phức tạp hơn. Vì thế, cần xác định và ưu tiên những khoảng lỗ hổng trong vùng phủ và thực hiện quản lý một cách phù hợp đối với các thiết bị nằm trong hệ thống biên.

Kiểm tra sự xâm nhập: Kiểm tra hệ thống theo lịch trình trước khi có một mối đe doạ từ bên ngoài. Chúng ta có thể áp dụng kiểm tra xâm nhập. Đây là hình thức mô phỏng cuộc tấn công trên một thiết bị, hệ thống hoặc môi trường mạng, bằng cách tạo ra một cuộc tấn công giả lập để phát hiện các lỗ hổng và cải thiện chúng.

Ngọc Minh