HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC ____________*____________ TIỂU LUẬN AN NINH MẠNG Đề tài: Giải pháp An toàn Thông tin cho Trung tâm Dữ Liệu Học viên thực hiện: Lại Xuân Phong Lớp: M12CQCT01-B Giáo viên hướng dẫn: PGS.TSKH. HOÀNG ĐĂNG HẢI Hà Nội, 06-2013 Tổng quan Sự bùng nổ của công nghệ thông tin đã và đang ảnh hưởng sâu rộng tới mọi lĩnh vực của cuộc sống. Đối với các doanh nghiệp, công nghệ thông tin đã trở thành một trong những nhân tố tăng sức mạnh, khả năng cạnh tranh trên thị trường; đối với các cơ quan, các tổ chức công nghệ thông tin là nhân tố tăng cường hay cải cách các hoạt động nghiệp vụ nhằm phục vụ tốt hơn, hoàn chỉnh hơn. Chính vì vậy hiện nay mỗi doanh nghiệp, mỗi tổ chức đã và đang cố gắng xây dựng cho mình một hệ thống thông tin mạnh, an toàn, ổn định và hiệu quả. Nền tảng của hệ thống thông tin hiện đại không thể thiếu trung tâm dữ liệu (Data Center), trái tim của toàn bộ hệ thống. Tuy nhiên các dự án xây dựng trung tâm dự liệu thường chỉ tập trung và tốn rất nhiều tiền vào yếu tố như: hệ thống sàn, hệ thống điện, chống sét, chống cháy, làm mát, hệ thống giám sát và kiểm soát truy nhập vật lý,… mà chưa quan tâm đúng mức về vấn đề bảo đảm an toàn thông tin trên mạng. Điều này có thể dẫn đến khả năng bị tấn công, đánh cắp và phá hoại thông tin… Giải pháp an toàn thông tin Bảo vệ hệ thống thông tin trước các tấn công và hạn chế các rủi ro cho hệ thống thông tin đã trở nên rất quan trọng trong những năm qua, đặc biệt với các trung tâm dữ liệu nơi tập trung hầu hết các thông tin, ứng dụng quan trọng của tổ chức/doanh nghiệp. Các biện pháp bảo vệ cần thiết nhất đối với trung tâm dữ liệu được mô tả dưới đây cần được quan tâm và đầu tư đúng mức. Đầu tiên, không thể thiếu là hệ thống kiểm soát truy cập, một bức tường lửa thường được sử dụng để kiểm soát các kết nối mạng, kiểm soát người dùng giúp tổ chức/doanh nghiệp ngăn chặn được các truy cập trái phép tới các tài nguyên, thông tin. Hệ thống phát hiện và ngăn chặn xâm nhập là một hệ thổng bổ sung hữu hiệu cho tường lửa, ngay cả một tưởng lửa nổi tiếng nhất cũng không thể ngăn chặn hoàn toàn các tấn công vượt qua tường lửa, các tấn công từ chối dịch vụ và phá hoại hệ thống thông tin… Kế tiếp, với những kết nối từ các chi nhánh (của một ngân hàng), kết nối từ người dùng từ xa hay thậm chí với các kết nối từ người dùng bên trong mạng LAN thì dữ liệu truyền tới các máy chủ trong trung tâm dữ liệu cần được mã hóa để tránh các “con mắt tò mò” luôn dình dập để có nó,… do đó hệ thống mạng riêng ảo không thể thiếu cho các trung tâm dữ liệu. Với sự phát triển của công nghệ web và tính tiện dụng của nó mà ngày càng nhiều ứng dụng được phát triển trên nền web, từ đó xu hướng các cuộc tấn công khai thác vào điểm yếu của ứng dụng web ngày càng nhiều và mức độ nguy hiểm ngày càng cao. Hệ thống Tường lửa chuyên biệt cho ứng dụng Web ra đời giúp tổ chức/doanh nghiệp ngăn chặn các tấn công khai thác điểm yếu của hệ thống ứng dụng web như: khai thác điểm yếu phần mềm máy chủ web; điểm yếu tồn tại trong quá trình phát triển ứng dụng web,… Xu hướng công nghệ Ngày nay, với sự phát triển của công nghệ giúp các giải pháp bảo mật ngày càng trở lên tin cậy hơn, khả năng bảo vệ tốt hơn. Giải pháp bảo vệ cho các hệ thống thông tin ngày càng đa dạng và có các xu hướng phát triển riêng. Các tổ chức/doanh nghiệp cần chọn hướng đi đúng đắn nhất cho mình để có được mức độ bảo mật và đầu tư hợp lý nhất. Dưới đây chúng tôi giới thiệu bốn cách tiếp cận giúp bảo vệ cho một trung tâm dữ liệu. 1/ Sử dụng các giải pháp an ninh bảo mật độc lập (dedicated solutions) Đây là hướng tiếp cận sử dụng các giải pháp bảo vệ độc lập, tốt nhất của các nhà cung cấp chuyên biệt, với đặc điểm là các sản phẩm thế mạnh của từng nhà sản xuất. Ví dụ: Tường lửa sử dụng của Check Point, Phát hiện và Ngăn chặn Xâm nhập của IBM-ISS, Tường lửa chuyên biệt ứng dụng Web sử dụng của NetContinuum (Bracuda),… Mô hình triển khai giải pháp: Ứng dụng: hướng tiếp cận này thường được sử dụng cho các trung tâm dữ liệu lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao nhất. Đồng thời cũng có đủ chuyên gia cả về số lượng lẫn chất lượng để quản trị và vận hành hệ thống. Ưu điểm: có thể lựa chọn các giải pháp tốt nhất và mang lại mức độ an toàn cao nhất cho hệ thống trước các tấn công, truy cập trái phép,… Nhược điểm: nhiều thiết bị bảo mật khiến chi phí đầu tư cũng như chi phí để vận hành cao, khó tích hợp và quản trị, giảm mức độ sẵn sàng của hệ thống vì có thể xảy ra nghẽn hoặc quá tải cục bộ ở một giải pháp bảo vệ nào đó, các điểm fail-point tăng,… 2/ Sử dụng giải pháp an ninh tích hợp (UTM - Unified Thread Management Solutions) Đây là hướng tiếp cận sử dụng các giải pháp bảo vệ tích hợp, một sản phẩm tích hợp mọi tính năng bảo vệ cần thiết như: tường lửa, mạng riêng ảo, phát hiện và ngăn chặn xâm nhập,… Ví dụ như các giải pháp UTM của Check Point, Cisco, Juniper,… Mô hình triển khai giải pháp: Ứng dụng: hướng tiếp cận này thường được sử dụng cho các trung tâm dữ liệu của các doanh nghiệp/tổ chức nhỏ, tốc độ cũng như mức độ bảo mật không yêu cầu khắt khe. Nhất là các tổ chức không có đủ nhân lực để quản trị và vận hành hệ thống. Ưu điểm: chi phí đầu tư và vận hành thấp, mức độ an toàn có thể chấp nhận được với những hệ thống không đòi hỏi phải có mức bảo vệ quá cao, dễ quản trị,… Nhược điểm: mức độ bảo vệ hạn chế, một số nhà cung cấp giải pháp không tích hợp đầy đủ các tính năng bảo vệ cần thiết. 3/ Sử dụng giải pháp module hóa (Blade Solutions) Các nhà sản xuất đã và đang cố gắng kết hợp các ưu điểm của hai cách tiếp cận trên (giải pháp độc lập và giải pháp tích hợp), trên thị trường bảo mật xuất hiện hai trường phái module hóa đó là module dưới dạng phần cứng và các module dưới dạng phần mềm. a/ Module hóa dạng phần cứng (Hardware Blade): là các thiết bị chuyên dụng chứa đựng các bo mạch (Blade), mỗi bo mạnh đảm nhận một chức năng chuyên biệt. Ví dụ bo mạch cung cấp giải pháp tường lửa, bo mạnh cung cấp giải pháp phát hiện và ngăn chặn xâm nhâp, … Khách hàng có thể lựa chọn các thiết bị chuyên dụng này từ các nhà sản xuất như Crossbeam với các giải pháp bảo mật từ các hãng bảo mật tên tuổi như Check Point, IBM- ISS, TrendMicro,… Mô hình triển khai giải pháp: Ứng dụng: hướng tiếp cận này thường được sử dụng cho các trung tâm dữ liệu lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao nhất. Ưu điểm: mức độ bảo mật cao vì sử dụng các giải pháp bảo mật riêng biệt của các hãng bảo mật tên tuổi, triển khai tích hợp hệ thống đơn gian hơn, giảm chi phí đầu tư và số điểm fail-point trong mạng ít hơn. Nhược điểm: khó quản trị vì sử dụng các giải pháp bảo mật của các hãng khác nhau. b/ Module hóa dạng phần mềm (Software Blade): là các module phần mềm bảo mật chuyên biệt được thiết kế với mức độ bảo vệ cao, với các công nghệ bảo mật được kết hợp từ các nhà sản xuất chuyên biệt, các module phần mềm này hoạt động song song và tương tác với nhau trên cùng một thiết bị,… Ví dụ: khách hàng có thể lựa chọn giải pháp module hóa dạng phần mềm (Software Blade) từ nhà sản xuất Check Point với firewall/VPN Blade nổi tiếng với công nghệ kiểm soát trạng thái (Stateful Inspection), IPS Blade - phát hiện và ngăn chặn xâm nhập là sự kết hợp giữa công nghệ của Check Point và công của công ty NFR, Blade kiểm soát truy cập web với công nghệ và cơ sở dữ liệu từ hãng Websense,… Mô hình triển khai giải pháp: Ứng dụng: hướng tiếp cận này thường được sử dụng cho các trung tâm dữ liệu từ trung bình đến lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao. Ưu điểm: mức độ bảo mật cao, quản trị dễ dàng hơn vì giải pháp được một nhà cung cấp tích hợp và phát triển một công cụ quản trị chung cho mọi tính năng bảo mật. Các module phần mềm tận dụng được tối đa năng lực xử lý của phần cứng, tránh trường hợp nghẽn hoặc quá tải cục bộ. Nhược điểm: đòi hỏi thiết bị phần cứng phải có độ ổn định và khả năng xử lý cao. 4/ Sử dụng giải pháp an ninh bảo mật với công nghệ ảo hóa (Virtualization Solutions). Khi xây dựng giải pháp bảo mật cho các trung tâm dữ liệu lớn (ví dụ: của các ngân hàng, của các nhà cung cấp dịch vụ cho thuê máy chủ,…) với rất nhiều ứng dụng, dữ liệu thuộc quản lý của các bộ phận khác nhau, có mức độ bảo mật khác nhau,… chúng ta không chỉ quan tâm tới giải pháp đáp ứng các tiêu chí bảo mật mà chúng ta cần phải quan tâm tới yếu tố thiết bị bảo mật sẽ được triển khai như thế nào trong hệ thống, khi chi phí cho các hệ thống như: diện tích sàn, nguồn điện, điều hòa, chống sét,… ngày càng tăng cao. Chúng ta có thể xem xét một tình huống như sau: - Tình huống: Giả sử trung tâm dữ liệu có 10 ứng dụng thuộc 10 bộ phận khác nhau, yêu cầu có các giải pháp bảo vệ và chính sách bảo mật riêng cho từng ứng dụng. Mỗi ứng dụng cần bảo vệ bởi 3 giải pháp: tường lửa, chống xâm nhập và tường lửa ứng dụng web. - Vấn đề: Để bảo vệ cho hệ thống trên và đáp ứng tiêu chí mỗi ứng dụng được quản lý và thiết lập chính sách bảo mật riêng chúng ta sẽ cần 10 x 3 = 30 thiết bị bảo vệ, nếu mỗi thiết bị bảo vệ chiếm không gian 1U Rack Mount và tiêu thụ 450W/h điện. Chúng ta sẽ tiêu tốn 30 x 450W = 13.500W/h và vài tủ rack để lắp đặt thiết bị. - Giải pháp nào vừa đáp ứng được các tiêu chí bảo mật mà lại giảm chi phí tối đa? Để giải quyết các yêu cầu trên chúng ta cần xây dựng giải pháp bảo mật bảo vệ trung tâm dữ liệu thỏa mãn các yếu tố sau: - Khả năng ảo hóa các thành phần như: Tường lửa, mạng riêng ảo, IPS, tường lửa ứng dụng web,… - Khả năng quản trị tập trung đa miền (multi-domain) và đa lớp cho toàn bộ các giải pháp bảo vệ. - Khả năng ghi nhật ký (log), thống kê, phân tích các sự kiện và tạo báo cáo tự động Giải pháp: Tổ chức/doanh nghiệp có thể sử dụng các giải pháp ảo hóa của Check Point, với một thiết bị phần cứng mạnh có thể cung cấp lên tới 250 tường lửa tích hợp với các module bảo mật như: mạng riêng ảo (VPN), ngăn chặn xâm nhập (IPS), tường lửa ứng dụng web (WAF), … cùng với các switch, router ảo,… do đó hệ thống đã giảm được tối thiểu 249 thiết bị vật lý. Hệ thống an ninh ảo này có thể triển khai trong chế độ bridge cho phép triển khai hệ thống bảo mật mà không phải thay đổi lớn cấu hình mạng và topo mạng, đồng thời giải pháp hỗ trợ công nghệ clustering cho phép nhiều thiết bị chạy chia tải và dự phòng cho nhau nhằm cung cấp khả năng xử lý tới hàng chục gigabit để đáp ứng yêu cầu tốc độ cao cho một trung tâm dữ liệu. Mô hình triển khai giải pháp: Thành phần quản trị tập trung Provider-1 của Check Point cho phép định nghĩa và áp dụng thống nhất chính sách an ninh cho toàn bộ hệ thống, hỗ trợ việc quản lý đa miền (Multi- domain), cho phép tổ chức các chính sách an ninh, log và cơ sở dữ liệu riêng biệt cho từng ứng dụng riêng biệt. Giải pháp cũng hỗ trợ việc tổ chức mô hình quản trị đa lớp, tạo nhiều tài khoản quản trị theo vai trò, cho phép phân cấp các quyền quản lý chính sách và phân chia trách nhiệm. Thành phần quản lý và phân tích sự kiện (Eventia Analyzer), tạo báo cáo (Eventia Reporter) tập trung tích hợp cùng với hệ thống quản trị chính sách tập trung, giúp việc giám sát an ninh hệ thống và đảm bảo tuân thủ chính sách. Khả năng phân tích trực quan các dữ liệu từ các cấp độ phân vùng đến tổng thể giúp việc quy hoạch mạng trung tâm dữ liệu hiệu quả, phản ứng nhanh các sự kiện và giám sát tuân thủ chính sách tốt hơn. Ứng dụng: hướng tiếp cận này thường được sử dụng cho các trung tâm dữ liệu lớn, đòi hỏi tốc độ cũng như mức độ bảo mật cao, giảm thiểu chi phí đầu tư và vận hành hệ thống. Ưu điểm: giải pháp an ninh ảo giúp tiết kiệm đáng kể chi phí: giảm bớt sự đầu tư thiết bị phần cứng hiện tại và tương lai, chi phí bảo trì và nâng cấp, chi phí về tiêu thụ năng lượng, chi phí về quản lý, chi phí mặt bằng,… dễ dàng triển khai một hệ thống an ninh ảo bao gồm đầy đủ các tính năng tường lửa, VPN, IPS,… hơn là triển khai các thiết bị phần cứng mới. Quản trị tập trung các giải pháp bảo mật cho trung tâm dữ liệu mang lại nhiều lợi ích, nó cho phép giám sát, kiểm soát việc thực hiện áp dụng chính sách trên toàn hệ thống, nâng cao độ tin cậy và sự thống nhất trong việc áp dụng chính sách ở các vị trí từ xa, nó cũng giúp các nhà hoạch định an ninh mạng đảm bảo được rằng các dịch vụ tổ chức luôn hoạt động, các trung tâm dự phòng luôn sẵn sàng. Nhược điểm: số lượng các tính năng bảo vệ không đa dạng. . VIỄN THÔNG KHOA QUỐC TẾ VÀ ĐÀO TẠO SAU ĐẠI HỌC ____________*____________ TIỂU LUẬN AN NINH MẠNG Đề tài: Giải pháp An toàn Thông tin cho Trung tâm Dữ Liệu. quan tâm đúng mức về vấn đề bảo đảm an toàn thông tin trên mạng. Điều này có thể dẫn đến khả năng bị tấn công, đánh cắp và phá hoại thông tin Giải pháp