Việc bảo vệ trước các tấn công và hạn chế các rủi ro cho hệ thống thông tin đã trở nên cấp thiết trong vài năm trở lại đây, đặc biệt với các trung tâm dữ liệu (TTDL) - nơi tập trung hầu hết các thông tin, ứng dụng quan trọng của tổ chức/doanh nghiệp. Các biện pháp bảo vệ thiết yếu nhất đối với một TTDL bao gồm:
- Hệ thống kiểm soát truy cập mạng, một tường lửa (firewall), thường được sử dụng để kiểm soát các kết nối mạng, kiểm soát người dùng giúp tổ chức/doanh nghiệp ngăn chặn được các truy cập trái phép tới các tài nguyên, thông tin.
- Hệ thống phát hiện và ngăn chặn xâm nhập mạng (IPS) là một hệ thổng bổ sung hữu hiệu cho tường lửa, ngay cả một tường lửa vững chắc nhất cũng không thể ngăn chặn hoàn toàn các tấn công vượt qua tường lửa, các tấn công từ chối dịch vụ và phá hoại hệ thống thông tin….
- Hệ thống mạng riêng ảo mã hóa dữ liệu trên đường truyền là không thể thiếu cho các TTDL. Để bảo đảm cho những kết nối từ các chi nhánh, kết nối từ người dùng từ xa hay thậm chí các kết nối của người dùng bên trong mạng LAN thì dữ liệu truyền tới các máy chủ trong TTDL cần được mã hóa để bảo mật.
- Ngoài ra, với sự phát triển của công nghệ web và tính tiện dụng của nó mà ngày càng nhiều ứng dụng được phát triển trên nền web. Từ đó xu hướng các cuộc tấn công khai thác vào điểm yếu của ứng dụng web ngày càng nhiều và mức độ nguy hiểm ngày càng cao. Hệ thống Tường lửa chuyên biệt cho ứng dụng Web ra đời giúp tổ chức/doanh nghiệp ngăn chặn các tấn công khai thác điểm yếu của hệ thống ứng dụng web như: khai thác điểm yếu phần mềm máy chủ web, điểm yếu tồn tại trong quá trình phát triển ứng dụng web,…
Xu hướng công nghệ
1. Sử dụng các giải pháp an ninh, bảo mật độc lập (dedicated solutions)
Đây là hướng tiếp cận sử dụng các giải pháp bảo vệ độc lập, tiên tiến nhất của các nhà cung cấp chuyên biệt, mỗi sản phẩm là thế mạnh của từng nhà sản xuất. Ví dụ: Tường lửa của Check Point, Phát hiện và Ngăn chặn Xâm nhập của IBM-ISS, Tường lửa chuyên biệt ứng dụng Web sử dụng của Barracuda (NetContinuum),…
Mô hình triển khai giải pháp (Hình 1)
Ứng dụng: hướng tiếp cận này thường được sử dụng cho các TTDL lớn, đòi hỏi tốc độ truy cập cũng như mức độ bảo mật cao nhất. Đồng thời nó cũng yêu cầu có các chuyên gia ATTT để quản trị và vận hành hệ thống.
Hình 1
Ưu điểm: có thể lựa chọn các giải pháp tốt nhất và mang lại mức độ an toàn cao nhất cho hệ thống trước các tấn công, truy cập trái phép,…
Nhược điểm: Sử dụng nhiều thiết bị bảo mật khiến chi phí đầu tư cũng như chi phí vận hành cao, khó tích hợp và quản trị, giảm mức độ sẵn sàng của hệ thống vì có thể xảy ra nghẽn hoặc quá tải cục bộ ở một giải pháp bảo vệ nào đó, các điểm fail-point tăng,…
2. Sử dụng giải pháp an ninh tích hợp (UTM - Unified Thread Management Solutions)
Đây là hướng tiếp cận sử dụng các giải pháp bảo vệ tích hợp, mỗi sản phẩm tích hợp mọi tính năng bảo mật cần thiết như: tường lửa, mạng riêng ảo, phát hiện và ngăn chặn xâm nhập,… Ví dụ như các giải pháp UTM của Check Point, Cisco, Juniper,…
Hình 2
Mô hình triển khai giải pháp (Hình 2)
Ứng dụng: hướng tiếp cận này thường được sử dụng cho các TTDL của các doanh nghiệp/tổ chức nhỏ với, tốc độ truy cập cũng như mức độ bảo mật không yêu cầu khắt khe. Nhất là các tổ chức không có đủ nhân lực để quản trị và vận hành hệ thống.
Ưu điểm: chi phí đầu tư và vận hành thấp, mức độ an toàn có thể chấp nhận được với những hệ thống không đòi hỏi phải có mức bảo vệ quá cao, dễ quản trị,…
Nhược điểm: mức độ bảo vệ hạn chế, một số nhà cung cấp giải pháp không tích hợp đầy đủ các tính năng bảo vệ cần thiết.
3. Sử dụng giải pháp module hóa (Blade Solutions)
Các hãng bảo mật đã và đang cố gắng kết hợp các ưu điểm của hai cách tiếp cận trên (giải pháp độc lập và giải pháp tích hợp), do đó trên thị trường bảo mật xuất hiện hai trường phái môđun hóa các giải pháp bảo mật, đó là môđun dưới dạng phần cứng và các môđun dưới dạng phần mềm.
a. Môđun hóa dạng phần cứng (Hardware Blade): là các thiết bị chuyên dụng chứa đựng các bo mạch (Blade), mỗi bo mạch đảm nhận một chức năng chuyên biệt. Ví dụ bo mạch cung cấp giải pháp tường lửa, bo mạch cung cấp giải pháp phát hiện và ngăn chặn xâm nhập,… Khách hàng có thể lựa chọn các thiết bị chuyên dụng này từ các nhà sản xuất như Crossbeam với các giải pháp bảo mật của các hãng bảo mật như Check Point, IBM-ISS, Trend Micro,…
Mô hình triển khai giải pháp (Hình 3)
Hình 3
Ứng dụng: hướng tiếp cận này thường được sử dụng cho các TTDL lớn, đòi hỏi tốc độ truy cập cũng như mức độ bảo mật cao nhất.
Ưu điểm: mức độ bảo mật cao vì sử dụng các giải pháp bảo mật riêng biệt của các hãng có uy tín, triển khai tích hợp hệ thống đơn giản hơn, giảm chi phí đầu tư và số điểm fail-point trong mạng ít hơn.
Nhược điểm: khó quản trị vì sử dụng các giải pháp bảo mật của các hãng khác nhau.
b. Môđun hóa dạng phần mềm (Software Blade): là các môđun phần mềm bảo mật chuyên biệt được thiết kế với mức độ bảo vệ cao, với công nghệ bảo mật được kết hợp từ các nhà sản xuất chuyên biệt, các môđun phần mềm này hoạt động song song và tương tác với nhau trên cùng một thiết bị. Ví dụ, khách hàng có thể lựa chọn giải pháp môđun hóa dạng phần mềm từ nhà sản xuất Check Point với firewall/VPN Software Blade - công nghệ kiểm soát trạng thái (Stateful Inspection), IPS Software Blade - phát hiện và ngăn chặn xâm nhập (là sự kết hợp giữa công nghệ của Check Point và công nghệ của công ty NFR) Web firewall Software Blade kiểm soát truy cập web với công nghệ và cơ sở dữ liệu từ hãng Websense,…
Mô hình triển khai giải pháp (Hình 4)
Ứng dụng: hướng tiếp cận này thường được sử dụng cho các TTDL từ trung bình đến lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao.
Hình 4
Ưu điểm: mức độ bảo mật cao, quản trị dễ dàng hơn vì giải pháp được nhà cung cấp tích hợp và phát triển thành một công cụ quản trị chung cho mọi tính năng bảo mật. Các môđun phần mềm tận dụng được tối đa năng lực xử lý của phần cứng, tránh trường hợp nghẽn hoặc quá tải cục bộ.
Nhược điểm: đòi hỏi thiết bị phần cứng phải có độ ổn định và khả năng xử lý cao.
4. Sử dụng giải pháp an ninh bảo mật với công nghệ ảo hóa (Virtualization Solutions).
Khi xây dựng giải pháp bảo mật cho các TTDL lớn (ví dụ: của các ngân hàng, các nhà cung cấp dịch vụ cho thuê máy chủ,…) với rất nhiều ứng dụng, dữ liệu thuộc sự quản lý của các bộ phận khác nhau, có yêu cầu mức độ bảo mật khác nhau,… chúng ta không chỉ quan tâm tới giải pháp đáp ứng các tiêu chí bảo mật mà cần phải quan tâm tới yếu tố thiết bị bảo mật sẽ được triển khai như thế nào trong hệ thống, khi chi phí cho hệ thống hạ tầng như: diện tích sàn, nguồn điện, điều hòa, chống sét,… ngày càng tăng cao.
Chúng ta có thể xem xét một tình huống như sau: Giả sử trung tâm dữ liệu có 10 ứng dụng thuộc 10 bộ phận khác nhau, yêu cầu có các giải pháp bảo vệ và chính sách bảo mật riêng cho từng ứng dụng. Mỗi ứng dụng cần bảo vệ bởi 3 giải pháp: tường lửa, chống xâm nhập và tường lửa ứng dụng web.
Để bảo vệ cho hệ thống trên và đáp ứng tiêu chí mỗi ứng dụng được quản lý và thiết lập chính sách bảo mật riêng chúng ta sẽ cần 10 x 3 = 30 thiết bị bảo vệ, nếu mỗi thiết bị bảo vệ chiếm không gian 1U Rack Mount và tiêu thụ 450W/h điện. Chúng ta sẽ tiêu tốn 30 x 450W = 13.500W/h và vài tủ rack để lắp đặt thiết bị.
Nhằm khắc phục những vấn đề trên, chúng ta cần xây dựng giải pháp bảo mật cho TTDL thỏa mãn các yếu tố sau:
- Khả năng ảo hóa các thành phần như: Tường lửa, mạng riêng ảo, IPS, tường lửa ứng dụng web,…
- Khả năng quản trị tập trung đa miền (multi-domain) và đa lớp cho toàn bộ các giải pháp bảo vệ.
- Khả năng ghi nhật ký (log), thống kê, phân tích các sự kiện và tạo báo cáo tự động.
Tổ chức/doanh nghiệp có thể sử dụng các giải pháp ảo hóa của Check Point, với một thiết bị phần cứng mạnh có thể cung cấp lên tới 250 tường lửa tích hợp với các môđun bảo mật như: mạng riêng ảo (VPN), ngăn chặn xâm nhập (IPS), tường lửa ứng dụng web (WAF) cùng với các switch, router ảo. Hệ thống an ninh ảo này có thể thực hiện trong chế độ bridge cho phép triển khai hệ thống bảo mật mà không phải thay đổi lớn cấu hình và topo mạng. Đồng thời giải pháp hỗ trợ công nghệ clustering cho phép nhiều thiết bị chạy chia tải và dự phòng cho nhau nhằm cung cấp khả năng xử lý tới hàng chục Gigabit để đáp ứng yêu cầu tốc độ cao cho một TTDL.
Mô hình triển khai giải pháp (Hình 5)
Thành phần quản trị tập trung Provider-1 của Check Point cho phép định nghĩa và áp dụng thống nhất chính sách an ninh cho toàn bộ hệ thống, hỗ trợ việc quản lý đa miền (Multi-domain), cho phép tổ chức các chính sách an ninh, log và cơ sở dữ liệu riêng biệt cho từng ứng dụng riêng biệt. Giải pháp cũng hỗ trợ việc tổ chức mô hình quản trị đa lớp, tạo nhiều tài khoản quản trị theo vai trò, cho phép phân cấp các quyền quản lý chính sách và phân chia trách nhiệm.
Thành phần quản lý và phân tích sự kiện (Eventia Analyzer), tạo báo cáo (Eventia Reporter) tập trung tích hợp cùng với hệ thống quản trị chính sách tập trung, giúp việc giám sát an ninh hệ thống và đảm bảo tuân thủ chính sách. Khả năng phân tích trực quan các dữ liệu các cấp độ từ phân vùng đến tổng thể giúp việc quy hoạch mạng TTDL hiệu quả, phản ứng nhanh với các sự kiện và giám sát tuân thủ chính sách tốt hơn.
Ứng dụng: hướng tiếp cận này thường được sử dụng cho các TTDL lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao, giảm thiểu chi phí đầu tư và vận hành hệ thống.
Ưu điểm: giải pháp an ninh ảo giúp tiết kiệm đáng kể chi phí, giảm bớt sự đầu tư thiết bị phần cứng hiện tại và tương lai, chi phí bảo trì và nâng cấp, chi phí về tiêu thụ năng lượng, chi phí về quản lý, chi phí mặt bằng,…. Triển khai một hệ thống an ninh ảo bao gồm đầy đủ các tính năng tường lửa, VPN, IPS,… dễ dàng hơn là triển khai các thiết bị phần cứng mới. Quản trị tập trung các giải pháp bảo mật cho trung tâm dữ liệu mang lại nhiều lợi ích, nó cho phép giám sát, kiểm soát việc thực hiện áp dụng chính sách trên toàn hệ thống, nâng cao độ tin cậy và sự thống nhất trong việc áp dụng chính sách ở các vị trí từ xa, nó cũng giúp các nhà hoạch định an ninh mạng đảm bảo được rằng các dịch vụ của tổ chức luôn hoạt động, các trung tâm dự phòng luôn sẵn sàng.
Nhược điểm: số lượng các tính năng bảo vệ không đa dạng.
Sự phát triển của công nghệ giúp các giải pháp bảo mật ngày càng trở lên tin cậy hơn, khả năng bảo vệ tốt hơn. Giải pháp bảo vệ cho các hệ thống thông tin ngày càng đa dạng và có các xu hướng phát triển khác nhau. Các tổ chức/doanh nghiệp cần chọn hướng đi đúng đắn và phù hợp nhất cho mình để có được mức độ bảo mật và đầu tư tiết kiệm hiệu quả.