Khi đềcập đến việc bảo mật hạtầng SharePoint 2010, tôi có nhiều quan điểm cơ
bản cần chia sẻ đến mọi người. Điều đầu tiên mà chúng ta cần nhận thức là không
có cái gì được gọi là hoàn toàn hay thật sựan toàn. Chúng ta đã có một định nghĩa
AN TOAN nhưng nó không bao giờ được gọi là AN TOÀN. Luôn có những rủi ro và
chúng ta cần xem xét và hạn chế đến mức có thể.
Và tôi cũng muốn nói là không có bất cứmột sựhoàn hảo, một kịch bản hoàn hảo nào cả.
Chúng ta có thểxem xét các vấn đềcơbản đểxây dựng một hạtầng có thểgiảm thiểu
các rủi ro vềbảo mật.
Đểhạn chếnhững gì xấu nhất, chúng ta có thểthấy có 3 nguyên tác trong bảo mật thông
tin: Độtin cậy (Confidentiality), Tính toàn vẹn (Intergirty) và Tính sẵn sàng
(Availability)
6 trang |
Chia sẻ: oanh_nt | Lượt xem: 1560 | Lượt tải: 0
Nội dung tài liệu Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010
Khi đề cập đến việc bảo mật hạ tầng SharePoint 2010, tôi có nhiều quan điểm cơ
bản cần chia sẻ đến mọi người. Điều đầu tiên mà chúng ta cần nhận thức là không
có cái gì được gọi là hoàn toàn hay thật sự an toàn. Chúng ta đã có một định nghĩa
AN TOAN nhưng nó không bao giờ được gọi là AN TOÀN. Luôn có những rủi ro và
chúng ta cần xem xét và hạn chế đến mức có thể.
Và tôi cũng muốn nói là không có bất cứ một sự hoàn hảo, một kịch bản hoàn hảo nào cả.
Chúng ta có thể xem xét các vấn đề cơ bản để xây dựng một hạ tầng có thể giảm thiểu
các rủi ro về bảo mật.
Để hạn chế những gì xấu nhất, chúng ta có thể thấy có 3 nguyên tác trong bảo mật thông
tin: Độ tin cậy (Confidentiality), Tính toàn vẹn (Intergirty) và Tính sẵn sàng
(Availability)
Bằng cách sử dụng các khái niệm về tính bảo mật, toàn vẹn và sẵn sàn cho dữ liệu, phần
cứng, phần mềm và kênh thông tin để có thể hạn chế rủi ro có thể xảy ra.
• Độ tin cậy (Confidentiality) – ngăn chặn các thông tin rò rỉ từ một người nào đó.
Để bảo mật dữ liệu, các tổ chức phải tuân thủ các chính sách ủy quyền đối với các
cá nhân có thẩm quyền. Ví dụ, khi bạn sử dụng thẻ tín dụng để giao dịch trực
tuyến, các con số cần được mã hóa với một thuật toán đủ mạnh để nó không bị giải
mã bởi những kẻ tấn công. Ở lần sử dụng thẻ tín dụng tiếp theo sau đó, hãy xem
làm thế nào mà các con số vẫn tiếp tục được an toàn, không bị rò rỉ. Là một
chuyên gia bảo mật, tính bảo mật cần được ưu tiên số 1. Việc bảo mật dữ liệu, bạn
có thể giảm thiểu hoặc loại bỏ được các mối đe dọa, rủi ro, các lỗ hổng bảo mật…
• Tính toàn vẹn (Integrity)– tính toàn vẹn thể hiện ở điểm chứng thực. Ví dụ, nếu
một người nào đó muốn xóa một tập tin, cho dù là cố tình hoặc vô tình thì tập tin
đó sẽ bị xóa, nói một cách khác nó đã mất đi tính toàn.
• Tính sẵn sàng (Availability) – các máy tính hoặc hệ thống luôn ở trạng thái sẵn
sàng khi vận hành. Tính sẵn sàng có nghĩa rằng các dữ liệu luôn ở trạng thái ổn
định để thông tin luôn luôn được sử dụng, lưu trữ hoặc truy cập. Bên cạnh đó, tính
sẵn sàng còn thể hiện việc dữ liệu luôn được bảo vệ trước những cuộc tấn công.
Ba nguyên tắc trên, được gọi là bộ ba CIA. Tuy nhiên nó không phải là tổ chức CIA –
Central Intelligence Agency (Cơ quan tình báo TW USA) như bạn biết trên thế giới, bộ
ba này luôn được áp dụng với việc bảo mật phần cứng, phần mềm hoặc các kênh thông
tin liên lạc.
Tùy thuộc vào hạ tầng SharePoint 2010 của bạn, bạn có thể xem xét các yếu tố sau.
Windows Server 2008 Domain Controller.
Active Directory là trái tim của hệ thống Windows Server. Tại sao bạn lại chọn Active
Directory mà không chọn Workgroup? Có lẽ chúng ta đều hiểu được sự cơ bản của việc
lựa chọn Active Directory. Trong Active Directory, bạn có thể sử dụng giao thức chứng
thực NTLM hoặc Kerberos. Kerberos có nhiều ưu điểm hơn NTML. Với NTML, chứng
thực chỉ một chiều từ server đến client. Với Kerberos, client có thể chứng thực ngược lại
đến server để đảm bảo rằng client đã request đến đúng server. Đó là một trong những ưu
điểm giúp bạn nâng cao khả năng bảo mật.
Khi bạn xem xét Kerberos, bạn cũng có thể sử dụng Claim-Based. Bạn có thể tìm đọc cơ
bản về Claim-Based trong mục lục
Chúng ta vẫn tiếp tục trong Windows Server 2008, bạn cũng rất cần phải xem xét về
Windows Firewall with Advance Security. Mặc dù chúng ta cần một sản phẩm firewall
khác nhưng với Windows Firewall with Advance Security vẫn giúp bạn trong một số
trường hợp. Ví dụ, khi bạn muốn đổi port 1433 trong SQL Serer để ngăn chặn virus SQL
Slammer. Hoặc bạn muốn chặn người dùng sử dụng trình duyệt Firefox vì bạn muốn họ
sử dụng Internet Explorer cho SharePoint. Với những ví dụ này, Windows Firewall with
Advance Security sẽ giúp bạn.
Tóm lại, bạn cần phải bảo mật Domain Controller hay nói cách khác, Active Directory
phải được bảo mật.
Web Server IIS 7
Khi bạn triển khai theo mô hình n-tier, Web server cũng là một thành phần quan trọng.
Bạn cần xem xét các chức năng sau:
• IP and Domain restrictions: thường được sử dụng để chặn các request đến từ
một IP cụ thể nào đó bên ngoài hệ thống mạng của bạn. Tính năng này cho phép
bạn ngăn chặn các tấn công từ Internet, chẳng hạn Ddos hoặc các kĩ thuật exploit.
• Request filtering: thường được sử dụng để giới hạn các request đến Web server
của bạn.
• Authentication: IIS 7 cung cấp cho bạn nhiều chức năng chứng thực chẳng hạn
Windows Authentication (NTLM và Kerberos), Basic Authentication, Digest
Authentication .v.v.
Giao thức SSL (Secure Socket Layer) và TLS (Transport Layer Security) là những giao
thức mã hóa cung cấp khả năng bảo mật khi làm việc qua Internet.
Áp dụng tính sẵn sàng trong CIA mà tôi đã đề cập ở đầu, chúng ta cần xem xét về
Application Pool. Nếu bạn chưa biêt về Application pool có thể tìm đọc
tại Việc cô lập Application pool
giúp bạn ngăn chặn một số lỗi xảy ra trong đó lỗi 503 error Service Available thường hay
xảy ra nhất.
SQL Server
SQL Server được sử dụng để lưu trữ, xử lý content database, configuration database và
service application database. Vì tôi không phải là chuyên gia DBA SQL Server nên tôi
chỉ có thể nghĩ đên một số vấn đề cơ bản như Permission database, Encrypting data,
Auditing SQL Server and các vấn đề về Instance SQL Server.
DMZ
DMZ (Demilitarized Zone) được xem như khu vực phi quân sự chứa các server được cho
là trọng yếu và chỉ có thể truy cập trong LAN. Trên thực tế, vùng DMZ được cho là nơi
dễ tấn công nhưng hiện tại tôi chưa biết tại sao như thế.
Hardware
Chúng ta lại nói về CIA, về tính sẵn sàng, bạn cần xem xét và chọn các thiết bị như
switch, router, load balancer, SAN v..v.Ngoài ra, hãy xem xét về các thiết bị IPS/IDS nếu
bạn cần triển khai SharePoint ra Internet.
Firewall
Tôi có đề câp về Windows Firewall with Advance Security nhưng tốt hơn hết là bạn cần
có thêm ứng dụng firewall khác. Bạn có thể tìm hiểu Microsoft Forefront TMG vì tôi
nghĩ các sản phẩm gia đình Microsoft sẽ làm việc với nhau tốt và hiệu quả hơn. Ngoài ra,
bạn cũng cần xem xét và triển khai firewall cứng nếu có đủ điều kiện chi phí, chẳng hạn
Astaro, Sourcefire, Fortigate .v.v.
Antivirus
Trong môi trường SharePoint, bạn sẽ không tránh khỏi các hiểm họa virusl worm,
spyware hoặc các file đính kèm .v.v. Do đó, bạn nên tìm một sản phẩm antivirus nào đó
thích hợp. Tôi đề xuất bạn sử dụng sản phẩm Forefront Protection 2010 for SharePoint
mặc dù chúng ta có Sysmantec, Norton, Kaspersky. Tại sao tôi đề xuất bạn sử dụng
Forefront Protection 2010 for SharePoint? Bởi vì trước đây, khi tôi làm việc với
SharePoint 2010, tôi gặp một vấn đề khi sử dụng Sysmantec. Sysmantec đã chặn tập tin
w3wp.exe và bạn nên biết rằng đây là Worker processor, xử lý Application pool. Chính
vì thế, hãy để tôi nói lại một lần nữa rằng các sản phẩm gia đình Microsoft sẽ làm việc tốt
và hiệu quả hơn.
Trên đây, tôi chỉ đưa ra một số điều cơ bản theo quan điểm của tôi. Hi vọng nhận được
nhiều chia sẻ khác để bảo mật hạ tầng SharePoint.
Các file đính kèm theo tài liệu này:
- cac_v_n_d_co_b_n_v_vi_c_b_o_m_t_h_t_ng_sharepoint_2010.pdf