Phần 27: Network Architecture and Segmentation

Asset and Change Management

Quản lý tài sản CNTT và các thay đổi cấu hình để giảm rủi ro và bảo vệ hệ thống.
👉 Không thể bảo vệ thứ bạn không biết đang tồn tại trên mạng.

Asset Tag

Thực hành gán ID duy nhất cho tài sản để liên kết với cơ sở dữ liệu kiểm kê (inventory).

Asset Tag – Ví dụ

• Barcode label

• RFID tag
  → Gắn trực tiếp lên thiết bị vật lý

Asset Record

Bản ghi tài sản liên kết với asset tag, chứa:

• Tài liệu nhà cung cấp

• Cấu hình hệ thống

• Thông tin bảo hành

Change Management

Quy trình giám sát và kiểm soát các thay đổi cấu hình hệ thống, là một phần của configuration management.

Change Management – Mục tiêu

Đảm bảo mọi thay đổi đều:

• Có kế hoạch

• Được kiểm soát

• Giảm nguy cơ gián đoạn dịch vụ

Configuration Record

Mỗi thành phần hệ thống phải có hồ sơ riêng mô tả:

• Trạng thái ban đầu

• Các thay đổi về sau

Configuration Record – Bao gồm

• Thông tin cấu hình

• Patch đã cài

• Backup records

• Incident reports / issues

Change Categories

Thay đổi được phân loại theo mức độ rủi ro & tác động:

• Major

• Significant

• Minor

• Normal

Request for Change (RFC)

Tài liệu mô tả:

• Lý do thay đổi

• Quy trình triển khai thay đổi

Change Advisory Board (CAB)

Hội đồng phê duyệt các thay đổi Major hoặc Significant.

Rollback / Remediation Plan

Kế hoạch khôi phục hoặc quay lui nếu thay đổi gây lỗi.

Maintenance Window

Khoảng thời gian downtime được cho phép để thực hiện các thay đổi đã được phê duyệt.

🧠 Mẹo ghi nhớ nhanh (CySA+)

• Asset Management → Biết cái gì đang có

• Change Management → Kiểm soát cái gì đang thay đổi

• RFC + CAB + Rollback → Giảm rủi ro khi thay đổi

Network Architecture

Thiết kế tổng thể của mạng, bao gồm thành phần vật lý, logic và bảo mật để đảm bảo kết nối an toàn và hiệu quả.

Physical Network

Hạ tầng mạng vật lý, bao gồm:

• Cáp mạng

• Cổng switch, router

• Wireless Access Points (AP)

Physical Network Security

Các kiểm soát an ninh vật lý (khóa, camera, kiểm soát truy cập) dùng để bảo vệ hạ tầng mạng vật lý.

👉 Mất kiểm soát vật lý = mất an ninh mạng

Virtual Private Network (VPN)

Một đường hầm bảo mật giữa hai điểm cuối qua mạng không an toàn (thường là Internet).

VPN Technologies

Các giao thức phổ biến:

• IPSec

• SSH

• TLS

VPN Access Control

VPN sử dụng authentication và authorization để kiểm soát ai được phép truy cập mạng nội bộ.

Software-Defined Networking (SDN)

Mô hình mạng sử dụng API và phần cứng tương thích để lập trình và tự động hóa thiết bị mạng.

SDN – Đặc điểm

• Mạng linh hoạt và thay đổi nhanh

• Quy mô lớn → phức tạp hơn về bảo mật

SDN – Control Plane

Quyết định:

• Cách ưu tiên traffic

• Chính sách bảo mật

• Traffic sẽ được chuyển đi đâu

SDN – Data Plane

Thực hiện:

• Switching & routing

• Áp dụng ACL và kiểm soát truy cập

SDN – Management Plane

• Giám sát trạng thái mạng

• Theo dõi lưu lượng và hiệu năng

SDN Automation

SDN cho phép triển khai tự động:

• Network links

• Thiết bị mạng

• Server
  → Hỗ trợ disaster recovery nhanh

Secure Access Service Edge (SASE)

SASE = Network (Kết nối mạng) + Security (Bảo mật) tụ họp lại trên Đám mây.

Kiến trúc mạng mới kết hợp WAN và Network Security trong một giải pháp duy nhất, cung cấp từ cloud.

SASE – Đặc điểm

• Dựa trên SDN

• Bảo mật + kết nối từ cloud

• Truy cập an toàn mọi nơi – mọi thiết bị

SASE – AWS

VPC (Virtual Private Cloud)
→ Hạ tầng mạng ảo an toàn cho ứng dụng và dữ liệu

SASE – Microsoft Azure

• Azure Virtual WAN → kết nối toàn cầu an toàn

• Azure ExpressRoute → kết nối riêng (private) on-prem ↔ Azure

SASE – Google Cloud Platform (GCP)

• Cloud Interconnect → kết nối private

• Cloud VPN → IPsec VPN tunnel

SASE – Lưu ý

Không có một dịch vụ đơn lẻ nào hiện tại đáp ứng đầy đủ định nghĩa SASE.

Exam Tip – Physical Network

Ranh giới vật lý là yếu tố then chốt để bảo mật mạng.

Exam Tip – VPN

VPN có thể tạo phần mở rộng vật lý của mạng nội bộ ra bên ngoài vùng bảo vệ.

Exam Tip – SDN

SDN hỗ trợ:

• Tự động triển khai

• Khôi phục sau thảm họa (DR)

Exam Tip – Virtual Devices

Thiết bị ảo có thể được đưa vào mạng rất nhanh và khó phát hiện nếu không kiểm soát tốt.

🧠 Mẹo nhớ nhanh (CySA+)

• Physical → bảo vệ bằng khóa & kiểm soát truy cập

• VPN → mở rộng mạng = tăng bề mặt tấn công

• SDN → linh hoạt + phức tạp

• SASE → Security + WAN từ cloud

Segmentation

Kỹ thuật chia mạng thành nhiều phần nhỏ để giảm bề mặt tấn công, cô lập sự cố và kiểm soát truy cập tốt hơn.

System Isolation (Air Gap)

Hình thức cô lập mạng vật lý hoàn toàn, không kết nối với bất kỳ mạng nào khác.

Air Gap – Ưu & Nhược

• ✅ Rất an toàn

• ❌ Gây khó khăn cho quản trị, cập nhật và giám sát

👉 CySA+ hay hỏi: an toàn cao nhưng khó vận hành

Physical Segmentation

Phân đoạn mạng bằng phần cứng vật lý:

• Mỗi segment có switch riêng

• Chỉ các thiết bị cắm vào switch đó mới giao tiếp được

Physical Segmentation – Đặc điểm

• Bảo mật cao

• Chi phí lớn

• Ít linh hoạt

Virtual Segmentation

Phân đoạn mạng bằng VLAN, mô phỏng hiệu quả như phân đoạn vật lý nhưng không cần switch riêng.

Virtual Segmentation – Ưu điểm

• Linh hoạt

• Chi phí thấp hơn physical segmentation

• Phổ biến trong enterprise networks

VLAN

Cơ chế phân chia mạng logic trên cùng hạ tầng vật lý để giới hạn broadcast và kiểm soát truy cập.

Zones

Đơn vị chính của logical segmentation, nơi:

• Tất cả host có cấu hình bảo mật giống nhau

Security Zone

Một vùng mạng được áp dụng chính sách bảo mật thống nhất (ví dụ: DMZ, internal zone, restricted zone).

Access Control List (ACL)

Danh sách các IP address và port được allow hoặc deny truy cập vào một segment hoặc zone.

ACL – Vai trò

• Kiểm soát luồng traffic giữa các zone

• Giảm khả năng lateral movement của attacker

Segmentation & Incident Response

Segmentation giúp:

• Cô lập nhanh hệ thống bị compromise

• Hạn chế sự lan rộng của tấn công

Exam Tip – Air Gap

Air gap = cách ly vật lý, KHÔNG phải VLAN hay firewall

Exam Tip – VLAN vs Physical

• VLAN → logic, linh hoạt

• Physical → phần cứng, bảo mật cao nhưng tốn kém

🧠 Mẹo ghi nhớ nhanh (CySA+)

• Air gap → cắt đứt hoàn toàn

• Physical segmentation → switch riêng

• Virtual segmentation → VLAN

• Zone → cùng mức bảo mật

• ACL → cho / chặn IP & port

Internet-facing Host

Bất kỳ host nào chấp nhận kết nối inbound từ Internet.

Internet-facing Host – Security Risk

• Là mục tiêu tấn công đầu tiên

• Phải được hardening và giám sát chặt chẽ

Screened Subnet

Một phân đoạn mạng được cô lập khỏi mạng nội bộ bằng một hoặc nhiều firewall, cho phép kết nối từ Internet chỉ qua các port được chỉ định.

Screened Subnet – Đặc điểm

• Internet chỉ thấy screened subnet

• Toàn bộ mạng phía sau invisible với bên ngoài

👉 Thường chính là DMZ

DMZ (Screened Subnet)

Vùng trung gian giữa Internet và internal network để giảm rủi ro khi hệ thống public bị compromise.

Bastion Host

Host hoặc server nằm trong screened subnet, được cấu hình tối giản, không chạy các dịch vụ nội bộ.

Bastion Host – Mục đích

• Cung cấp dịch vụ công khai (web, mail, VPN, SSH gateway)

• Giảm tác động nếu bị tấn công

Bastion Host – Security Principle

Áp dụng nguyên tắc Least Functionality (chỉ chạy những gì cần thiết).

Jumpbox

Một server được harden kỹ, dùng để truy cập và quản trị các host khác trong screened subnet.

Jumpbox – Cách hoạt động

• Admin → kết nối vào Jumpbox

• Jumpbox → kết nối tới các host trong screened subnet
  👉 Không quản trị trực tiếp từ Internet

Jumpbox – Vai trò bảo mật

• Giảm số điểm truy cập quản trị

• Kiểm soát và ghi log hoạt động admin

Jumpbox vs Bastion Host

• Bastion host: cung cấp dịch vụ public

• Jumpbox: dùng cho quản trị nội bộ

Hardening (Jumpbox)

Jumpbox phải:

• Cài ít phần mềm nhất có thể

• Vá lỗi đầy đủ

• Giới hạn account và quyền

Management Workstation

Máy của admin dùng để truy cập jumpbox, cũng phải:

• Harden

• Không cài phần mềm không cần thiết

Exam Tip – Jumpbox

Nếu đề bài nói:

“Admin does not directly manage servers in DMZ from the Internet”
→ Đáp án: Jumpbox

Exam Tip – Screened Subnet

• Firewall

• Chỉ mở port cần thiết

• Internal network không lộ ra Internet

🧠 Sơ đồ ghi nhớ nhanh

Internet

↓

[ Firewall ]

↓

Screened Subnet (DMZ)

├── Bastion Host

└── Jumpbox

↓

[ Firewall ]

↓

Internal Network

🧠 Mẹo nhớ nhanh (rất hay ra đề)

• Internet-facing host → nhận kết nối từ Internet

• Screened subnet → DMZ

• Bastion host → dịch vụ public, cấu hình tối giản

• Jumpbox → quản trị an toàn

• Hardening → ít phần mềm, ít bề mặt tấn công

Virtualization

Kỹ thuật cài hypervisor trên host để tạo và quản lý nhiều hệ điều hành khách (VMs) trên cùng một máy vật lý.

Hypervisor

Phần mềm/firmware dùng để tạo, chạy và quản lý các máy ảo (VM).

Virtual Machine (VM)

Một hệ điều hành độc lập chạy trên hypervisor, có kernel, OS, và tài nguyên riêng.

Security Benefit – Virtualization

• Cô lập hệ điều hành

• Giảm tác động khi một VM bị compromise

• Hỗ trợ snapshot & rollback nhanh

Virtual Desktop Infrastructure (VDI)

Mô hình ảo hóa trong đó môi trường desktop của người dùng được tách khỏi máy vật lý.

VDI – Cách hoạt động

• Server xử lý ứng dụng và lưu trữ dữ liệu

• Máy người dùng chỉ là thin client

VDI – Ưu điểm

• Quản lý tập trung

• Dữ liệu không nằm trên endpoint

• Dễ kiểm soát bảo mật & tuân thủ

VDI – Nhược điểm

Nếu server hoặc network down → người dùng không có khả năng xử lý cục bộ.

VDI – Exam Tip

Nếu đề bài nói:

“All processing and data storage occur on the server”
→ Đáp án: VDI

Containerization

Một dạng ảo hóa ở mức hệ điều hành, tạo môi trường thực thi cô lập cho ứng dụng.

Container vs VM

• VM: mỗi VM có OS riêng

• Container: chia sẻ host OS kernel

Containerization – Cách cô lập

Cô lập tài nguyên (CPU, RAM, filesystem) ở cấp hệ điều hành, không phải cấp phần cứng.

Container Security

Các container:

• Cô lập logic

• Không giao tiếp trực tiếp với nhau

Containerization – Rủi ro lớn

Nếu host OS bị compromise → tất cả container bị compromise.

⚠ Rất hay ra đề thi

Containerization – Use Case

• Triển khai ứng dụng nhanh

• Microservices

• DevOps / CI-CD

Virtualization vs Containerization (Exam Focus)

• Virtualization: mạnh về cô lập

• Containerization: nhẹ, nhanh nhưng phụ thuộc host OS

Exam Tip – Container

Nếu đề bài nhấn mạnh:

• “OS-level isolation”

• “Shares the host kernel”
  → Containerization

🧠 Mẹo học thuộc 10 giây

• VM → mỗi máy 1 OS

• VDI → desktop nằm trên server

• Container → app chia sẻ OS

• Host OS chết → container chết theo

Virtualized Infrastructure

Môi trường CNTT trong đó máy chủ, mạng và lưu trữ được ảo hóa thay vì triển khai hoàn toàn bằng phần cứng vật lý

Virtual Host

Một máy tính ảo có thể cài đặt và cấu hình hệ điều hành riêng, tương tự như một máy chủ vật lý.

Virtual Host – Security Requirement

Virtual host phải được vá lỗi (patched) và hardened giống như máy chủ vật lý.

⚠ Rất hay bị hiểu nhầm là VM thì không cần hardening

VM Sprawl

Hiện tượng VM được tạo ra quá nhiều mà không có quy trình quản lý thay đổi (change control) phù hợp.

VM Sprawl – Nguyên nhân

• Tạo VM quá dễ

• Xóa/thay thế nhanh

• Thiếu kiểm soát & giám sát

VM Sprawl – Rủi ro bảo mật

• VM không vá lỗi

• VM bị bỏ quên nhưng vẫn chạy

• Tăng bề mặt tấn công (attack surface)

Virtual Networks

Mạng kết nối các virtual host bằng:

• Virtual switch

• Virtual router

• Thiết bị mạng ảo hóa khác
  → tất cả đều do hypervisor quản lý

Virtual Network – Mapping Risk

Cần đảm bảo ánh xạ giữa virtual host và phần cứng vật lý không gây:

• Lộ dữ liệu

• Truy cập trái phép hệ thống

Virtual Switch

Thiết bị mạng ảo dùng để kết nối các VM với nhau và với mạng vật lý.

Virtual Switch – Security Warning

⚠ Virtual switch không luôn hoạt động giống switch vật lý và có thể không cô lập traffic giữa các host đủ tốt.

➡ Đây là điểm bẫy trong đề thi

Management Interface

Ứng dụng quản lý VM, có thể:

• Chạy trên physical host

• Hoặc trên nền tảng quản lý tập trung cho nhiều host