Mục Lục I Ảo hóa mạng 2 1 Khái niệm 2 2 Hoạt động của ảo hóa mạng 2 3 Sự quan trọng của ảo hóa mạng 3 4 Các loại ảo hóa mạng 3 4 1 Ảo hóa mạng trong trung tâm dữ liệu 4 4 2 Ảo hóa mạng trong WAN 4 4 3[.]
Mục Lục I Ảo hóa mạng Khái niệm: 2 Hoạt động ảo hóa mạng: Sự quan trọng ảo hóa mạng: Các loại ảo hóa mạng: 4.1 Ảo hóa mạng trung tâm liệu: 4.2 Ảo hóa mạng WAN 4.3 Ảo hóa mạng LAN 5 Bảo mật ảo hóa mạng: Lợi ích ảo hóa mạng: II VPC-AWS Đám mây riêng ảo (VPC – Virtual Private Cloud) Các thành phần VPC Một số kịch VPC thường sử dụng: 3.1 Tùy chọn kết nối Network – to – Amazon VPC 3.2 Tùy chọn kết nối Amazon VPC-to-Amazon VPC 13 3.3 Tùy chọn kết nối phần mềm truy cập từ xa vào VPC Amazon 18 Lợi ích VPC 20 Các tính VPC: 20 Ứng dụng / TH sử dụng VPC: 21 III 6.1 Lưu trữ trang web công cộng: 21 6.2 Lưu trữ ứng dụng web nhiều tầng 21 6.3 Tạo mạng lưới văn phòng chi nhánh đơn vị kinh doanh: 22 6.4 Lưu trữ ứng dụng web đám mây AWS kết nối với trung tâm liệu: 23 6.5 Mở rộng mạng công ty đám mây AWS 23 6.6 Khắc phục thảm họa 24 Giải pháp thiết mạng riêng bảo mật cho doanh nghiệp sử dụng AWS VPC 25 Mô hình mạng riêng bảo mật đơn giản: 25 1.1 Các lớp 25 1.2 Thành phần bản: 26 Thực hành AWS 26 2.1 Truy cập vào giao diện AWS VPC 26 2.2 Các bước xây dựng mơ hình 30 I Ảo hóa mạng Hình 1.1 Ảo hóa mạng Khái niệm: Ảo hóa mạng phương pháp kết hợp tài nguyên sẵn có mạng cách chia băng thơng sẵn có thành kênh, kênh độc lập với kênh khác kênh gán (hoặc gán lại) cho máy chủ thiết bị cụ thể theo thời gian thực Ý tưởng Network virtualization ảo hóa ngụy trang phức tạp thực mạng cách tách thành phần quản lý được, giống ổ cứng phân đoạn, giúp dễ dàng quản lý tệp Hoạt động ảo hóa mạng: Ảo hóa mạng ảo hóa dịch vụ mạng từ phần cứng sở hạ tầng vật lý Lớp trừu tượng cung cấp biểu diễn (representation) đơn giản hóa nút liên kết tạo nên mạng ảo Trình ảo hóa khơng chịu trách nhiệm trừu tượng hóa mà cịn kiểm sốt tài ngun, băng thơng dung lượng cho mạng logic Mặc dù mạng ảo chia sẻ tảng ảo hóa, chúng độc lập với có quy tắc bảo mật riêng Các phần tử mạng ảo - chẳng hạn khối lượng cơng việc VM (Vitural Machine) - giao tiếp với với nút mạng ảo riêng biệt cách sử dụng giao thức máy chủ đóng gói, chuyển mạch ảo định tuyến ảo Các tin nhắn không qua thiết bị mạng vật lý, điều giúp giảm độ trễ Quản trị viên mạng di chuyển khối lượng công việc từ máy chủ sang máy chủ khác thời gian thực, với sách bảo mật yêu cầu mạng liên quan Nền tảng ảo hóa tự động áp dụng sách bảo mật cho khối lượng cơng việc Ảo hóa mạng thường bao gồm thành phần sau: - Một trình ảo hóa mạng - Phần mềm điều khiển - Các giao thức máy chủ - Các giao thức máy chủ (Ví dụ Mạng LAN ảo mở rộng (VXLAN) - Chuyển mạch định tuyến) - Công cụ quản lý Sự quan trọng ảo hóa mạng: Ảo hóa xuất nhiều năm, ảo hóa máy chủ, mạng LAN ảo ( VLAN ) mạng lớp phủ Khi doanh nghiệp tìm kiếm nhiều quyền kiểm sốt mạng mình, họ bắt đầu áp dụng nguyên tắc ảo hóa cho trung tâm liệu cuối mạng WAN LAN Bằng cách giới thiệu khái niệm tính trừu tượng, khả lập trình phân đoạn vi mơ , doanh nghiệp mở rộng quy mơ mạng họ, thêm quyền kiểm soát tập trung áp dụng sách bảo mật cụ thể cho khối lượng công việc loại lưu lượng tất giúp mạng phân phối ứng dụng dịch vụ nhanh cuối đáp ứng sáng kiến kinh doanh Theo John Burke, CTO nhà phân tích Nemertes Research, số trường hợp sử dụng ảo hóa mạng phổ biến bao gồm quản lý hiệu suất, bảo mật quản lý rủi ro Ví dụ: ảo hóa mạng giúp nhóm mạng phân bổ băng thơng thích hợp cho tài nguyên cụ thể, đồng thời định thực thi sách bảo mật để đáp ứng yêu cầu kiểm tra Các loại ảo hóa mạng: Theo truyền thống, mạng ảo tồn hai dạng: bên bên Cả hai thuật ngữ đề cập đến vị trí chúng liên quan đến máy chủ Ảo hóa bên ngồi sử dụng chuyển mạch, điều hợp mạng để kết hợp nhiều mạng thành đơn vị ảo Ảo hóa nội sử dụng chức giống mạng chứa phần mềm máy chủ mạng nhất, cho phép máy ảo trao đổi liệu máy chủ mà khơng cần sử dụng mạng bên ngồi Hình 1.2 So sánh ảo hóa mạng bên bên ngồi 4.1 Ảo hóa mạng trung tâm liệu: Mạng ảo từ lâu phổ biến trung tâm liệu, dạng VLAN, VPN MPLS Theo Burke, mạng mối đe dọa mạng gia tăng, doanh nghiệp tìm cách tăng cường bảo mật mạng đồng thời bổ sung thêm quyền kiểm soát SDN đáp ứng cho u cầu này, cho phép kiểm sốt tập trung hỗ trợ nhiều thiết kế dựa sách Ảo hóa trung tâm liệu phát triển để bao gồm khái niệm sở hạ tầng dạng mã sử dụng mã phần mềm thay quy trình thủ cơng để định cấu hình quản lý tài nguyên không tin cậy dạng chu vi phần mềm xác định SDP dựa vào điều khiển nhận dạng phép truy cập tài nguyên tạo ranh giới ảo xung quanh mạng 4.2 Ảo hóa mạng WAN Mạng WAN phân đoạn cuối mạng áp dụng ảo hóa, phát triển SD-WAN cách mạng hóa Sử dụng SD-WAN, doanh nghiệp tóm tắt kết nối vật lý khác mạng WAN họ, phân bổ băng thông dung lượng phù hợp cho nhu cầu ứng dụng doanh nghiệp Theo Burke, yếu tố quan trọng ảo hóa mạng WAN quản lý sở hạ tầng tảng Nếu khơng đánh giá xác nhà cung cấp họ sử dụng đâu, nhóm mạng nhanh chóng rơi vào bẫy mở rộng nhà cung cấp Các cân nhắc khác bao gồm toán, quản lý hợp đồng xử lý cố Zero trust SDP hoạt động theo cách họ q trình ảo hóa mạng WAN SD-WAN sử dụng khái niệm khơng tin cậy để mang lưu lượng bị xử phạt tạo phân vùng bảo mật tuân thủ sách bảo mật Một yếu tố bổ sung cách ảo hóa WAN mở rộng sang mơi trường đám mây, nơi doanh nghiệp lưu trữ tài nguyên khối lượng cơng việc ngày nhiều 4.3 Ảo hóa mạng LAN Các mạng LAN thường sử dụng VLAN để phân đoạn lưu lượng mạng tạo mạng ảo bị cô lập Tuy nhiên, giống trung tâm liệu mạng WAN, mạng LAN trải qua thay đổi ảo hóa bắt nguồn từ SDN, theo Burke SD-LAN áp dụng nguyên tắc tương tự SDN, đặc biệt cho mạng LAN Mặc dù VLAN phụ thuộc vào Ethernet giao thức Lớp khác, SD-LAN mở rộng ảo hóa cho tồn mạng LAN, đó, hệ thống xem xét quyền truy cập, khả hiển thị, người dùng, nhận dạng thiết bị, địa IP thời gian ngày -tất cho phép chi tiết Burke cho biết: quản lý việc áp dụng sách cho có mạng LAN SD-LAN hoạt động tốt với chiến lược không tin cậy, dẫn đến thiết kế bảo mật tồn diện hơn, theo kịp tiến đại IoT Sự kết hợp giúp cải thiện hoạt động mạng LAN giám sát trạng thái mạng thông qua tự động hóa Nhưng thách thức cịn, Burke nói thêm, chẳng hạn làm việc với sở hạ tầng cũ, chi phí nâng cấp nâng cao kỹ nhân viên Bảo mật ảo hóa mạng: Bảo mật trở thành phần nội thiết kế mạng Nhưng với khu vực khác mạng thường bị cô lập với nhau, nhóm mạng khó tạo thực thi sách bảo mật tồn mạng Khung khơng tin cậy dựa xác thực người dùng thiết bị toàn mạng Nếu người dùng mạng LAN muốn truy cập tài nguyên trung tâm liệu, họ phải nhận xác thực để làm Môi trường khơng tin cậy kết hợp với ảo hóa mạng cung cấp khả kết nối an toàn cần thiết để điểm cuối trị chuyện an tồn Các mạng ảo kéo lên xuống để hỗ trợ tương tác này, đồng thời trì mức độ phân đoạn lưu lượng cần thiết Một yếu tố quan trọng quy trình định sách truy cập nêu chi tiết thiết bị giao tiếp với đâu Ví dụ: thiết bị phép truy cập tài nguyên trung tâm liệu, sách phải hiểu cấp độ mạng LAN trường Burke cho biết, thách thức lớn nhóm mạng, nhóm khó xác định thực thể cần trị chuyện Một thách thức khác khiến nhóm làm việc Các nhóm bảo mật mạng cần thảo luận sách bảo mật, yêu cầu mạng nâng cấp sở hạ tầng Lợi ích ảo hóa mạng: Lợi ích ảo hóa mạng thay đổi tùy theo yêu cầu kinh doanh nơi doanh nghiệp triển khai ảo hóa mạng họ Ví dụ: ảo hóa trung tâm liệu tăng cường bảo mật thơng qua phân đoạn vi mô hỗ trợ khả mở rộng Mặt khác, ảo hóa WAN tập trung nhiều vào việc cải thiện hiệu suất ứng dụng thực thi sách Nhìn chung, ưu điểm chung ảo hóa mạng bao gồm: II - Hiệu hoạt động - Phân phối ứng dụng nhanh - Cải thiện an ninh mạng khắc phục thảm họa - Cung cấp cấu hình mạng nhanh - Tiết kiệm chi phí phần cứng VPC-AWS Đám mây riêng ảo (VPC – Virtual Private Cloud) Hình 2.1 AWS VPC VPC viết tắt "Virtual Private Cloud", dịch vụ đám mây Amazon Web Services (AWS) cho phép người dùng tạo quản lý mạng riêng ảo môi trường đám mây VPC cho phép người dùng xác định địa IP, tạo subnet, tạo route bảng định tuyến, điều khiển quyền truy cập vào tài nguyên mạng họ VPC giúp cho việc triển khai ứng dụng dịch vụ đám mây trở nên dễ dàng, linh hoạt an toàn hơn, bảo vệ liệu người dùng khỏi mối đe dọa bên mạng Một VPC cho phép người dùng tự xác định quản lý cấu hình mạng địa IP mạng, subnet, bảng định tuyến, cấu hình tường lửa, giám sát lưu lượng mạng VPC cung cấp tính tạo kết nối mạng an toàn VPC mạng riêng khác tảng AWS mạng on-premises thông qua kết nối VPN Direct Connect Với VPC, người dùng tạo mạng ảo tách biệt cho ứng dụng khác kiểm sốt hồn tồn quyền truy cập chúng, giúp tăng tính bảo mật giảm thiểu rủi ro việc quản lý mạng VPC cho phép người dùng dễ dàng mở rộng mạng cần thiết mà lo lắng việc chạy hết địa IP gặp rào cản kỹ thuật khác Trong tổng thể, VPC dịch vụ quan trọng AWS, cung cấp mơi trường mạng an tồn linh hoạt cho việc triển khai ứng dụng dịch vụ đám mây • Các thành phần VPC Ipv4 and Ipv6 Address Blocks VPC IP address ranges định nghĩa Classless interdomain routing (CIDR) blocks Bạn thêm primary secondary CIDR blocks vào VPC, secondary CIDR block có address range với primary block AWS khuyến nghị sử dụng CIDR blocks từ private address ranges định nghĩa RFC 1918: Hình 2.2 Recommended private Ipv4 address ranges for AWS VPC CIDR blocks • Subnet Subnet, hiểu sub network (mạng ảo) Sau tạo VPC, bạn thêm nhiều subnet (mạng con) Availability Zone Khi bạn tạo subnet, bạn cần định khối CIDR cho subnet Mỗi subnet phải nằm hồn tồn Availability Zone khơng thể kéo dài tới zone khác Các Availability Zone vị trí riêng biệt thiết kế để cách ly để tránh bị ảnh hưởng zone khác gặp vấn đề Có loại subnet: - Public Subnet: subnet định tuyến tới internet gateway instance public subnet giao tiếp với internet thông qua địa IPv4 (public IPv4 address Elastic IP address) - Private Subnet: Ngược với Public Subnet, Private Subnet subnet không định tuyến tới internet gateway Bạn truy cập vào instance Private Subnet từ internet • Route tables Là bảng định tuyến, bao gồm tập hợp rule (được gọi route), sử dụng để xác định đường đi, nơi đến gói tin từ mạng hay gateway • Internet connectivity Internet Gateway: thành phần cho phép giao tiếp VPC Internet Nói cách dễ hiểu server VPC muốn giao tiếp với Internet cần có Internet Gateway NAT Gateway: thành phần cho phép server ảo mạng private kết nối tới Internet dịch vụ khác AWS lại ngăn khơng cho Internet kết nối đến server NAT Instance: server ảo tạo quản lý có chức tương tự NAT Gateway • Elastic IP address Là địa public IPv4, kết nối từ Internet sử dụng cho: o EC2 instance o AWS elastic network interface (ENI) o Một số service khác cần public IP address • Network/subnet sercurity AWS cung cấp hai tính mà bạn sử dụng để tăng cường bảo mật VPC bạn: Security Group Network ACLs o Security Group kiểm soát lưu lượng vào cho instance o Network ACL giúp kiểm soát lưu lượng truy cập vào cho subnet • Một số networking service khác o Virtual Private Networks (VPNs) o Direct connectivity between VPCs (VPC peering) o Gateways o Mirror sessions Một số kịch VPC thường sử dụng: 3.1 Tùy chọn kết nối Network – to – Amazon VPC a VPN quản lý AWS AWS Managed VPN – Mô tả việc thiết lập kết nối VPN từ thiết bị mạng bạn mạng từ xa đến dịch vụ quản lý AWS gắn với Amazon VPC bạn Hình 2.3 VPN quản lý AWS b Cổng chuyển tiếp AWS + VPN AWS Direct Connect + AWS Transit Gateway – Mô tả việc thiết lập kết nối logic, riêng tư từ mạng từ xa bạn đến trung tâm mạng khu vực dành cho Amazon VPC, sử dụng AWS Direct Connect AWS Transit Gateway Hình 2.4 AWS Transit Gateway VPN c Kết nối trực tiếp AWS Kết nối trực tiếp AWS giúp dễ dàng thiết lập kết nối chuyên dụng từ mạng chỗ đến nhiều VPC khu vực Khi sử dụng VIF riêng AWS Direct Connect, bạn thiết lập kết nối riêng AWS trung tâm liệu, văn phịng mơi trường cho thuê chỗ đặt máy chủ bạn, thể hình Hình 2.5 Kết nối trực tiếp AWS d AWS Direct Connect + AWS Transit Gateway Kết nối trực tiếp AWS+ AWS Transit Gateway , sử dụng tệp đính kèm VIF chuyển tiếp vào cổng Direct Connect , cho phép mạng bạn kết nối tối đa ba định tuyến tập trung theo khu vực qua kết nối chuyên dụng riêng, thể sơ đồ sau Hình 2.6 AWS Direct Connect AWS Transit Gateway o Name tag: PRISUB-MAIN-ASG o VPC: VPC-MAIN-ASG o Availbility: ap-southeast-1b o Ipv4 CIDR block: 10.1.3.0/24 - Tạo Public subnet Tạo subnet cho EC2 o Name tag: PUBSUB1-MAIN-ASG o VPC: VPC-MAIN-ASG o Availbility: ap-southeast-1a o Ipv4 CIDR block: 10.1.1.0/24 Tạo subnet cho NAT gateway o Name tag: PUBSUB2-MAIN-ASG o VPC: VPC-MAIN-ASG o Availbility: ap-southeast-1a o Ipv4 CIDR block: 10.1.2.0/24 Hình 3.12 tạo subnet Hình 3.13 Các subnet sau tạo Các subnet sau tạo trạng thái khơng có khả bên ngồi, vào Hình 3.14 Trạng thái No Public - Thực chuyển PUBSUB1 PUBSUB2 sang chế độ Public o Chọn Edit subnet setting o Chọn Enable auto-assign public IPv4 address Hình 3.15: Bật trạng thái auto-assign public IPv4 address c Tạo Internet gateway o Name tag: IGW-MAIN-ASG Hình 3.16: Tạo Internet gatewate - Attach to VPC: o Mục Actions: Attach to VPC - Available VPCs: VPC-MAIN-ASG Hình 3.17: Attach to VPC d Tạo Route table o Name tag: RT-MAIN-ASG o VPC: VPC-MAIN-ASG Hình 3.18 Create Route table - Mặc định chưa internet - Để bên ta cần edit lại o o o o Chọn Edit Route Chọn Add Route Destination: 0.0.0.0/0 Target: chọn internet gate: IGW-MAIN-ASG Hình 3.19 Cho router kết nối bên ngồi qua internet gateway o Chọn Subnet associations, kích Edit Subnet Associations o Lựa chọn PUBSUB1-MAIN-ASG PUBSUB2-MAIN-ASG Hình 3.20 Kết nối VM e Tạo security group cho VM - Thực tạo Secutity group cho Public Subnet Chọn Creat security group o Security group name: SG-PUB-MAIN-ASG o Description Info: security for public subnet o VPC: VPC-MAIN-ASG Trong Inbound rules, bấm Add rules o Type: SSH, Source: My IP o Type: Custom ICMP v4, Source: Anywhere - Thực tạo Security group cho Private Subnet Chọn Creat security group o Security group name: SG-PRI-MAIN-ASG o Description Info: security for private subnet o VPC: VPC-MAIN-ASG Trong Inbound rules, bấm Add rules o Type: SSH, Source: Custom: SG-PUB-MAIN-ASG o Type: Custom ICMP v4, Source: Anywhere Hình 3.21 Tạo security group f Tạo EC2(Máy chủ ảo) nằm vùng Public subnet - Truy cập Amazon console: https://console.aws.amazon.com/ec2/ - Trên điều hướng bên trái chọn Intances, Launch Intance Hình 3.22 Giao diện EC2 AWS - Name and tag: Chọn add additional tags o Key: Name o Value: PUB-LINUX Hình 3.24 Name and tags - Tại Application and OS images(AMI):tìm chọn Amazon Linux AMI (HVM), SSD Volume Type Hình 3.24 Chọn AMI - Instance Type:t2.nano - Hình 3.25 Chọn Instance type Tại Key pair: Chọn Creat new key pair o Key pair name: awskey o RSA - - Hình 3.26 Key pair name Tại Network setting o VPC – required: VPC-MAIN-ASG o Subnet: PUBSUB1-MAIN-ASG o Auto-assign Public IP: Enable o Firewall (security groups): Select existing security group o Common security groups Info: SG-PUB-MAIN-ASG Hình 3.25 Setting Network Cuối chọn launch instance g Tạo EC2 nằm Private subnet - Tạo tương tự khu vục Public subnet - Name and tag: Chọn add additional tags - o Key: Name o Value: PRI-LINUX Tại Application and OS images(AMI):tìm chọn Amazon Linux AMI (HVM), SSD Volume Type Instance Type:t2.nano Tại Key pair: Chọn awskey Tại Network setting o VPC – required: VPC-MAIN-ASG o Subnet: PUBSUB1-MAIN-ASG o Auto-assign Public IP: Enable o Firewall (security groups): Select existing security group o Common security groups Info: SG-PRI-MAIN-ASG h Tạo địa Elastic IP - Chọn Elastic Ips công cụ - Chọn Allocate Elastic Ip address - Lựa chọn Amazon's pool of IPv4 addresses, Allocate Hình 3.26 Chọn Elastic IPs i Tạo Nat gateway - Chọn Nat gateways công cụ - Chọn Creat NAT gateway o Name – optional: NAT-MAIN-ASG o Subnet: PUBSUB2-MAIN-ASG o Elastic IP allocation ID: 13.228.162.182 o Sau Create Nat gateway Hình 3.27 Tạo Nat gateways - Tạo thêm Route table: o Chọn Route tabbles công cụ o Chọn Creat route table o Name tag: RT-NAT-ASG o VPC: VPC-MAIN-ASG o Tại giao diện Route tables tích chọn RT-NAT-ASG o Chọn Actions edit routes Hình 3.28 Edit router o Chọn Add route o Destination: 0.0.0.0/0 o Target: NAT gateway: NAT-MAIN-ASG o Tại Edit subnet Association: Tích chọn PUBSUB1-MAIN-ASG PRISUB-MAIN-ASG j Test ping SSH tới PUB-LINUX từ internet Hình 3.29 IP EC2 vùng PUB-LINUX - Ping tới PUB-LINUX 13.213.65.18 Hình 3.30 Ping tới PUB-LINUX từ internet - SSH tới PUB-LINUX o Sử dụng Poderosa để SSH o Nhập địa IP EC2, chọn Public key o Keyfile lưu tạo EC2 Hình 3.31 Thực SSH từ internet k Test Ping SSH từ PUB đến PRI Hình 3.32 Ip EC2 PRI - Ping tới PRI: 10.1.3.161 Hình 3.33 Ping thành công từ PUB tới PRI