Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010

Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010 Khi đề cập đến việc bảo mật hạ tầng SharePoint 2010, tôi có nhiều quan điểm cơ bản cần chia sẻ đến mọi người. Điều đầu tiên mà chúng ta cần nhận thức là không có cái gì được gọi là hoàn toàn hay thật sự an toàn. Chúng ta đã có một định nghĩa AN TOAN nhưng nó không bao giờ được gọi là AN TOÀN. Luôn có những rủi ro và chúng ta cần xem xét và hạn chế đến mức có thể. Và tôi cũng muốn nói là không có bất cứ một sự hoàn hảo, một kịch bản hoàn hảo nào cả. Chúng ta có thể xem xét các vấn đề cơ bản để xây dựng một hạ tầng có thể giảm thiểu các rủi ro về bảo mật. Để hạn chế những gì xấu nhất, chúng ta có thể thấy có 3 nguyên tác trong bảo mật thông tin: Độ tin cậy (Confidentiality), Tính toàn vẹn (Intergirty) và Tính sẵn sàng (Availability) Bằng cách sử dụng các khái niệm về tính bảo mật, toàn vẹn và sẵn sàn cho dữ liệu, phần cứng, phần mềm và kênh thông tin để có thể hạn chế rủi ro có thể xảy ra. • Độ tin cậy (Confidentiality) – ngăn chặn các thông tin rò rỉ từ một người nào đó. Để bảo mật dữ liệu, các tổ chức phải tuân thủ các chính sách ủy quyền đối với các cá nhân có thẩm quyền. Ví dụ, khi bạn sử dụng thẻ tín dụng để giao dịch trực tuyến, các con số cần được mã hóa với một thuật toán đủ mạnh để nó không bị giải mã bởi những kẻ tấn công. Ở lần sử dụng thẻ tín dụng tiếp theo sau đó, hãy xem làm thế nào mà các con số vẫn tiếp tục được an toàn, không bị rò rỉ. Là một chuyên gia bảo mật, tính bảo mật cần được ưu tiên số 1. Việc bảo mật dữ liệu, bạn có thể giảm thiểu hoặc loại bỏ được các mối đe dọa, rủi ro, các lỗ hổng bảo mật… • Tính toàn vẹn (Integrity)– tính toàn vẹn thể hiện ở điểm chứng thực. Ví dụ, nếu một người nào đó muốn xóa một tập tin, cho dù là cố tình hoặc vô tình thì tập tin đó sẽ bị xóa, nói một cách khác nó đã mất đi tính toàn. • Tính sẵn sàng (Availability) – các máy tính hoặc hệ thống luôn ở trạng thái sẵn sàng khi vận hành. Tính sẵn sàng có nghĩa rằng các dữ liệu luôn ở trạng thái ổn định để thông tin luôn luôn được sử dụng, lưu trữ hoặc truy cập. Bên cạnh đó, tính sẵn sàng còn thể hiện việc dữ liệu luôn được bảo vệ trước những cuộc tấn công. Ba nguyên tắc trên, được gọi là bộ ba CIA. Tuy nhiên nó không phải là tổ chức CIA – Central Intelligence Agency (Cơ quan tình báo TW USA) như bạn biết trên thế giới, bộ ba này luôn được áp dụng với việc bảo mật phần cứng, phần mềm hoặc các kênh thông tin liên lạc. Tùy thuộc vào hạ tầng SharePoint 2010 của bạn, bạn có thể xem xét các yếu tố sau. Windows Server 2008 Domain Controller. Active Directory là trái tim của hệ thống Windows Server. Tại sao bạn lại chọn Active Directory mà không chọn Workgroup? Có lẽ chúng ta đều hiểu được sự cơ bản của việc lựa chọn Active Directory. Trong Active Directory, bạn có thể sử dụng giao thức chứng thực NTLM hoặc Kerberos. Kerberos có nhiều ưu điểm hơn NTML. Với NTML, chứng thực chỉ một chiều từ server đến client. Với Kerberos, client có thể chứng thực ngược lại đến server để đảm bảo rằng client đã request đến đúng server. Đó là một trong những ưu điểm giúp bạn nâng cao khả năng bảo mật. Khi bạn xem xét Kerberos, bạn cũng có thể sử dụng Claim-Based. Bạn có thể tìm đọc cơ bản về Claim-Based trong mục lục Chúng ta vẫn tiếp tục trong Windows Server 2008, bạn cũng rất cần phải xem xét về Windows Firewall with Advance Security. Mặc dù chúng ta cần một sản phẩm firewall khác nhưng với Windows Firewall with Advance Security vẫn giúp bạn trong một số trường hợp. Ví dụ, khi bạn muốn đổi port 1433 trong SQL Serer để ngăn chặn virus SQL Slammer. Hoặc bạn muốn chặn người dùng sử dụng trình duyệt Firefox vì bạn muốn họ sử dụng Internet Explorer cho SharePoint. Với những ví dụ này, Windows Firewall with Advance Security sẽ giúp bạn. Tóm lại, bạn cần phải bảo mật Domain Controller hay nói cách khác, Active Directory phải được bảo mật. Web Server IIS 7 Khi bạn triển khai theo mô hình n-tier, Web server cũng là một thành phần quan trọng. Bạn cần xem xét các chức năng sau: • IP and Domain restrictions: thường được sử dụng để chặn các request đến từ một IP cụ thể nào đó bên ngoài hệ thống mạng của bạn. Tính năng này cho phép bạn ngăn chặn các tấn công từ Internet, chẳng hạn Ddos hoặc các kĩ thuật exploit. • Request filtering: thường được sử dụng để giới hạn các request đến Web server của bạn. • Authentication: IIS 7 cung cấp cho bạn nhiều chức năng chứng thực chẳng hạn Windows Authentication (NTLM và Kerberos), Basic Authentication, Digest Authentication .v.v. Giao thức SSL (Secure Socket Layer) và TLS (Transport Layer Security) là những giao thức mã hóa cung cấp khả năng bảo mật khi làm việc qua Internet. Áp dụng tính sẵn sàng trong CIA mà tôi đã đề cập ở đầu, chúng ta cần xem xét về Application Pool. Nếu bạn chưa biêt về Application pool có thể tìm đọc tại Việc cô lập Application pool giúp bạn ngăn chặn một số lỗi xảy ra trong đó lỗi 503 error Service Available thường hay xảy ra nhất. SQL Server SQL Server được sử dụng để lưu trữ, xử lý content database, configuration database và service application database. Vì tôi không phải là chuyên gia DBA SQL Server nên tôi chỉ có thể nghĩ đên một số vấn đề cơ bản như Permission database, Encrypting data, Auditing SQL Server and các vấn đề về Instance SQL Server. DMZ DMZ (Demilitarized Zone) được xem như khu vực phi quân sự chứa các server được cho là trọng yếu và chỉ có thể truy cập trong LAN. Trên thực tế, vùng DMZ được cho là nơi dễ tấn công nhưng hiện tại tôi chưa biết tại sao như thế. Hardware Chúng ta lại nói về CIA, về tính sẵn sàng, bạn cần xem xét và chọn các thiết bị như switch, router, load balancer, SAN v..v.Ngoài ra, hãy xem xét về các thiết bị IPS/IDS nếu bạn cần triển khai SharePoint ra Internet. Firewall Tôi có đề câp về Windows Firewall with Advance Security nhưng tốt hơn hết là bạn cần có thêm ứng dụng firewall khác. Bạn có thể tìm hiểu Microsoft Forefront TMG vì tôi nghĩ các sản phẩm gia đình Microsoft sẽ làm việc với nhau tốt và hiệu quả hơn. Ngoài ra, bạn cũng cần xem xét và triển khai firewall cứng nếu có đủ điều kiện chi phí, chẳng hạn Astaro, Sourcefire, Fortigate .v.v. Antivirus Trong môi trường SharePoint, bạn sẽ không tránh khỏi các hiểm họa virusl worm, spyware hoặc các file đính kèm .v.v. Do đó, bạn nên tìm một sản phẩm antivirus nào đó thích hợp. Tôi đề xuất bạn sử dụng sản phẩm Forefront Protection 2010 for SharePoint mặc dù chúng ta có Sysmantec, Norton, Kaspersky. Tại sao tôi đề xuất bạn sử dụng Forefront Protection 2010 for SharePoint? Bởi vì trước đây, khi tôi làm việc với SharePoint 2010, tôi gặp một vấn đề khi sử dụng Sysmantec. Sysmantec đã chặn tập tin w3wp.exe và bạn nên biết rằng đây là Worker processor, xử lý Application pool. Chính vì thế, hãy để tôi nói lại một lần nữa rằng các sản phẩm gia đình Microsoft sẽ làm việc tốt và hiệu quả hơn. Trên đây, tôi chỉ đưa ra một số điều cơ bản theo quan điểm của tôi. Hi vọng nhận được nhiều chia sẻ khác để bảo mật hạ tầng SharePoint.