Tổng quan về IDS và IPS trên Cloud
IDS (Intrusion Detection System)
Là hệ thống giám sát network traffic để tìm kiếm các hoạt động đáng ngờ và các mối đe dọa đã biết (Signatures). Nó chỉ **Cảnh báo (Alert)**, không can thiệp trực tiếp vào luồng traffic.
IPS (Intrusion Prevention System)
Nằm trực tiếp trên luồng traffic (**Inline**). Nó không chỉ detect mà còn chủ động **Ngăn chặn (Block)** các traffic độc hại ngay lập tức dựa trên rule-set.
So sánh: IDS vs IPS
| Tiêu chí | IDS | IPS |
|---|---|---|
| Cơ chế hoạt động | Passive (Out-of-band / Mirroring) | Active (Inline) |
| Khả năng can thiệp | Chỉ gửi Alert / Logging | Block traffic / Drop packets |
| Tác động Performance | Thấp (Không làm chậm traffic) | Cao hơn (Cần xử lý realtime) |
AWS Native vs Third-party Appliances
AWS Native Services (Managed)
- Dễ dàng triển khai, Pay-as-you-go.
- High availability tự động.
- Tích hợp sẵn với CloudWatch, Security Hub.
- Rule-set được AWS cập nhật thường xuyên.
Third-party NGFW (BYOL)
- Tính năng chuyên sâu (Deep Packet Inspection, TLS decryption tốt hơn).
- Nhất quán policy với hạ tầng On-prem.
- Nâng cao khả năng Application Awareness.
- Centralized management từ Vendor.
AWS Security Ecosystem
AWS Network Firewall
Managed service cho phép kiểm soát traffic ở mức VPC. Có khả năng Stateful inspection và IDS/IPS.
Amazon GuardDuty
Dịch vụ phát hiện mối đe dọa thông minh dựa trên logs (VPC Flow Logs, DNS logs, CloudTrail). Không nằm Inline.
Gateway Load Balancer
Giúp triển khai và scale các Third-party Security Appliances (NGFW) một cách dễ dàng và minh bạch.
Security Group
Stateful firewall ảo ở cấp độ Instance (ENI). Chỉ lọc dựa trên Protocol, Port, IP.
AWS WAF
Lọc traffic HTTP/HTTPS độc hại (SQLi, XSS, Bot control) nhắm vào Web Applications.
Cloud Security Architectures
1. AWS Native Security Architecture
(IPS Inspection)
(Sec. Group)
(Out-of-band Detection)
Traffic đi qua Network Firewall ở cấp độ VPC để được inspect trước khi vào Subnet.
2. Third-party NGFW (via GWLB)
Traffic được GWLB chuyển hướng sang cluster các NGFW appliances để inspection sâu.
Mô phỏng Luồng Traffic & Security Inspection
Control Panel
IPS / NGFW
Security Event Logs (Real-time)
Next-Generation Firewall (NGFW)
NGFW không chỉ là một firewall truyền thống. Nó kết hợp các khả năng của Firewall, IDS/IPS và Application Control vào một giải pháp duy nhất.
Firewall truyền thống
- ❌ Lọc dựa trên Port/Protocol
- ❌ Không hiểu Application layer
- ❌ Không thể inspect traffic mã hóa
- ❌ Rule tĩnh, thiếu Threat Intel
Next-Generation Firewall (NGFW)
- ✅ Deep Packet Inspection (DPI)
- ✅ Application Awareness (Nhận diện Facebook, SSH, SQL...)
- ✅ Tích hợp IPS Engine cực mạnh
- ✅ TLS/SSL Inspection (Giải mã để kiểm tra)
- ✅ Sandboxing & Threat Intelligence
Tại sao Cloud vẫn cần NGFW?
Dù AWS có Security Group, nhưng SG chỉ là Layer 4. Nếu attacker thực hiện tấn công qua cổng 443 (HTTPS) bằng SQL Injection hoặc Malware, Security Group sẽ cho qua vì nó thấy Port 443 đang mở. **NGFW** sẽ "mở" gói tin ra, đọc nội dung và chặn cuộc tấn công này ở Layer 7.
Third-party Vendor Appliances on AWS
Palo Alto VM-Series
Tiêu chuẩn vàng cho NGFW với khả năng App-ID và threat prevention mạnh mẽ.
FortiGate Next-Generation Firewall
Hiệu năng cực cao và hệ sinh thái FortiGuard bảo mật toàn diện.
Check Point CloudGuard
Quản lý tập trung tuyệt vời cho hạ tầng Hybrid Cloud.
Tại sao chọn Vendor thay vì AWS Native?
- 1. Hybrid Cloud Consistency: Nếu bạn dùng Palo Alto dưới On-prem, việc dùng nó trên AWS giúp admin dùng chung 1 dashboard quản lý và 1 bộ policy.
- 2. Advanced Features: Các tính năng như **DLP (Data Loss Prevention)**, **URL Filtering chuyên sâu**, hay **WildFire (Sandboxing)** của Vendor thường mạnh hơn dịch vụ native.
- 3. Compliance: Một số quy định khắt khe yêu cầu inspection sâu mà các layer firewall cơ bản không đáp ứng được.
Things You Should Know (Expert Notes)
North-South vs East-West Traffic
**North-South:** Traffic đi từ Internet vào AWS (Ingress) hoặc từ AWS ra Internet (Egress).
**East-West:** Traffic giữa các workloads trong cùng VPC hoặc giữa các VPC với nhau. Thường khó inspect hơn và cần Transit Gateway hoặc GWLB.
Shared Responsibility Model
AWS đảm bảo hạ tầng cho các service này chạy. Tuy nhiên, **Bạn (Khách hàng)** chịu trách nhiệm cấu hình Rule, cập nhật Signature (nếu là Appliance) và quản lý Logs. Đừng nghĩ bật service lên là xong!
False Positives vs False Negatives
**False Positive:** Traffic tốt bị nhận nhầm là xấu (Gây gián đoạn dịch vụ).
**False Negative:** Traffic xấu lọt qua mà không bị phát hiện (Gây rò rỉ dữ liệu).
Cần tinh chỉnh (tuning) rule thường xuyên để đạt được trạng thái cân bằng.
TLS Inspection Challenge
Ngày nay 95% traffic là HTTPS (đã mã hóa). IDS/IPS thông thường sẽ không đọc được gì trừ khi nó được cấu hình làm **SSL Proxy/Terminator** để giải mã traffic, inspect, rồi mã hóa lại. Việc này tốn CPU rất lớn.
Scenario-Based Recommendations
Startup nhỏ, tối ưu chi phí và vận hành
Ưu tiên dùng **Amazon GuardDuty** (Visibility), **AWS WAF** (Web Security) và **Security Groups** (Layer 4). Chỉ dùng **AWS Network Firewall** nếu có yêu cầu compliance cụ thể.
Low Cost ManagedDoanh nghiệp lớn, Hybrid Cloud
Triển khai **NGFW Vendor Appliances** (Palo Alto/Fortinet) qua **Gateway Load Balancer**. Sử dụng **Transit Gateway** để tập trung hóa việc inspection (Centralized Inspection VPC).
High Security Consistent PolicyMôi trường cực kỳ nhạy cảm (Regulated)
Kết hợp cả **AWS Network Firewall** và **GuardDuty**. Bật full **IPS Mode** (Prevention), cấu hình **TLS Inspection** bắt buộc cho các traffic Egress để chống Data Exfiltration.
Maximum Compliance Full Inline Control