SASE đang có ‘điểm mù’ về AI: Kiểm soát gói tin mạng là chưa đủ
Kiến trúc SASE truyền thống đang dần bộc lộ hạn chế trước các luồng công việc AI và ứng dụng SaaS hiện đại. Đã đến lúc chuyển dịch từ kiểm soát mạng sang bảo mật tại điểm cuối...
Trong nhiều năm qua, việc định tuyến lưu lượng truy cập qua các cloud proxy được coi là tiêu chuẩn vàng cho bảo mật doanh nghiệp. Tuy nhiên, khi môi trường làm việc chuyển dịch lên trình duyệt và sự xuất hiện của AI tạo sinh, mô hình kiểm soát này đang dần trở nên lỗi thời.
Table Of Content
Thách thức từ kiến trúc SASE truyền thống
Các giải pháp SASE truyền thống dựa trên việc backhaul lưu lượng về các cloud proxy để giải mã, kiểm tra và thực thi chính sách. Tuy nhiên, các giao thức hiện đại như TLS 1.3, HTTP/3 và cơ chế certificate pinning được thiết kế để ngăn chặn các kiểu tấn công man-in-the-middle. Khi cloud proxy cố gắng can thiệp vào các phiên kết nối này, ứng dụng thường sẽ ngắt kết nối. Để duy trì hoạt động, đội ngũ IT buộc phải tạo ra các danh sách ngoại lệ (bypass), vô tình làm suy yếu vành đai bảo mật.
Ngoài ra, mô hình này còn gây ra độ trễ đáng kể, ảnh hưởng đến hiệu suất làm việc của người dùng, dẫn đến tình trạng nhân viên tìm cách lách luật (shadow IT) để duy trì tốc độ công việc.
Điểm mù AI và ‘Khoảnh khắc ý định’
Sự trỗi dậy của các tác nhân AI (AI agents) khiến khoảng cách kiến trúc này trở nên nguy hiểm hơn. Một network proxy truyền thống chỉ thấy một kết nối HTTPS hợp lệ đến nhà cung cấp LLM, nhưng không thể hiểu được “ý định” (intent) của dữ liệu bên trong—ví dụ như việc một AI agent đang truy xuất mã nguồn độc quyền hay tài liệu nội bộ thông qua các giao thức như MCP.
Khi dữ liệu đến được điểm kiểm tra mạng, sự tương tác đã hoàn tất. Điều này đặt đội ngũ bảo mật vào tình thế tiến thoái lưỡng nan: chặn hoàn toàn AI hoặc chấp nhận rủi ro mất an toàn dữ liệu.
Sự chuyển dịch kiến trúc: Bảo mật tại điểm cuối
Để quản trị AI và các ứng dụng SaaS hiện đại, việc thực thi chính sách phải diễn ra ngay tại điểm tương tác: trình duyệt và thiết bị đầu cuối (endpoint). Mô hình “Perfect Packet” đang nổi lên như một giải pháp thay thế, với các ưu điểm:
- Bảo mật dữ liệu theo ngữ cảnh: Nội dung sao chép, dán và câu lệnh (prompt) được kiểm tra cục bộ trước khi rời khỏi thiết bị.
- Tương thích giao thức: Các giao thức mã hóa hiện đại hoạt động tự nhiên mà không cần quy trình giải mã xâm lấn.
- Tối ưu hiệu suất: Khoảng 90% lưu lượng tin cậy được đi theo đường dẫn trực tiếp, loại bỏ tình trạng độ trễ do proxy gây ra.
Việc kiểm soát dựa trên mạng thuần túy không còn đủ khả năng quản trị những gì diễn ra bên trong các tab ứng dụng hoặc luồng công việc AI. Doanh nghiệp cần chuyển dịch sang kiến trúc bảo mật tập trung vào ngữ cảnh tại điểm cuối để đảm bảo cả tính an toàn lẫn hiệu suất vận hành.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.