Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010 Khi đề cập đến việc bảo mật hạ tầng SharePoint 2010, tôi có nhiều quan điểm cơ bản cần chia sẻ đến mọi người.. Chúng ta có thể x
Trang 1Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010
Khi đề cập đến việc bảo mật hạ tầng SharePoint 2010, tôi có nhiều quan điểm cơ bản cần chia sẻ đến mọi người Điều đầu tiên mà chúng ta cần nhận thức là không
có cái gì được gọi là hoàn toàn hay thật sự an toàn Chúng ta đã có một định nghĩa
AN TOAN nhưng nó không bao giờ được gọi là AN TOÀN Luôn có những rủi ro và chúng ta cần xem xét và hạn chế đến mức có thể
Và tôi cũng muốn nói là không có bất cứ một sự hoàn hảo, một kịch bản hoàn hảo nào cả Chúng ta có thể xem xét các vấn đề cơ bản để xây dựng một hạ tầng có thể giảm thiểu các rủi ro về bảo mật
Để hạn chế những gì xấu nhất, chúng ta có thể thấy có 3 nguyên tác trong bảo mật thông tin: Độ tin cậy (Confidentiality), Tính toàn vẹn (Intergirty) và Tính sẵn sàng
(Availability)
Bằng cách sử dụng các khái niệm về tính bảo mật, toàn vẹn và sẵn sàn cho dữ liệu, phần cứng, phần mềm và kênh thông tin để có thể hạn chế rủi ro có thể xảy ra
• Độ tin cậy (Confidentiality) – ngăn chặn các thông tin rò rỉ từ một người nào đó
Để bảo mật dữ liệu, các tổ chức phải tuân thủ các chính sách ủy quyền đối với các
cá nhân có thẩm quyền Ví dụ, khi bạn sử dụng thẻ tín dụng để giao dịch trực
tuyến, các con số cần được mã hóa với một thuật toán đủ mạnh để nó không bị giải
Trang 2mã bởi những kẻ tấn công Ở lần sử dụng thẻ tín dụng tiếp theo sau đó, hãy xem làm thế nào mà các con số vẫn tiếp tục được an toàn, không bị rò rỉ Là một
chuyên gia bảo mật, tính bảo mật cần được ưu tiên số 1 Việc bảo mật dữ liệu, bạn
có thể giảm thiểu hoặc loại bỏ được các mối đe dọa, rủi ro, các lỗ hổng bảo mật…
• Tính toàn vẹn (Integrity)– tính toàn vẹn thể hiện ở điểm chứng thực Ví dụ, nếu
một người nào đó muốn xóa một tập tin, cho dù là cố tình hoặc vô tình thì tập tin
đó sẽ bị xóa, nói một cách khác nó đã mất đi tính toàn
• Tính sẵn sàng (Availability) – các máy tính hoặc hệ thống luôn ở trạng thái sẵn
sàng khi vận hành Tính sẵn sàng có nghĩa rằng các dữ liệu luôn ở trạng thái ổn định để thông tin luôn luôn được sử dụng, lưu trữ hoặc truy cập Bên cạnh đó, tính sẵn sàng còn thể hiện việc dữ liệu luôn được bảo vệ trước những cuộc tấn công
Ba nguyên tắc trên, được gọi là bộ ba CIA Tuy nhiên nó không phải là tổ chức CIA – Central Intelligence Agency (Cơ quan tình báo TW USA) như bạn biết trên thế giới, bộ
ba này luôn được áp dụng với việc bảo mật phần cứng, phần mềm hoặc các kênh thông tin liên lạc
Tùy thuộc vào hạ tầng SharePoint 2010 của bạn, bạn có thể xem xét các yếu tố sau
Windows Server 2008 Domain Controller.
Active Directory là trái tim của hệ thống Windows Server Tại sao bạn lại chọn Active Directory mà không chọn Workgroup? Có lẽ chúng ta đều hiểu được sự cơ bản của việc lựa chọn Active Directory Trong Active Directory, bạn có thể sử dụng giao thức chứng thực NTLM hoặc Kerberos Kerberos có nhiều ưu điểm hơn NTML Với NTML, chứng thực chỉ một chiều từ server đến client Với Kerberos, client có thể chứng thực ngược lại
đến server để đảm bảo rằng client đã request đến đúng server Đó là một trong những ưu điểm giúp bạn nâng cao khả năng bảo mật
Khi bạn xem xét Kerberos, bạn cũng có thể sử dụng Claim-Based Bạn có thể tìm đọc cơ bản về Claim-Based trong mục lụchttp://www.diendantinhoc.vn/tags.php?tag=sharepoint
Trang 3Chúng ta vẫn tiếp tục trong Windows Server 2008, bạn cũng rất cần phải xem xét về Windows Firewall with Advance Security Mặc dù chúng ta cần một sản phẩm firewall khác nhưng với Windows Firewall with Advance Security vẫn giúp bạn trong một số trường hợp Ví dụ, khi bạn muốn đổi port 1433 trong SQL Serer để ngăn chặn virus SQL
Slammer Hoặc bạn muốn chặn người dùng sử dụng trình duyệt Firefox vì bạn muốn họ
sử dụng Internet Explorer cho SharePoint Với những ví dụ này, Windows Firewall with Advance Security sẽ giúp bạn
Tóm lại, bạn cần phải bảo mật Domain Controller hay nói cách khác, Active Directory phải được bảo mật
Web Server IIS 7
Khi bạn triển khai theo mô hình n-tier, Web server cũng là một thành phần quan trọng Bạn cần xem xét các chức năng sau:
Trang 4• IP and Domain restrictions: thường được sử dụng để chặn các request đến từ
một IP cụ thể nào đó bên ngoài hệ thống mạng của bạn Tính năng này cho phép bạn ngăn chặn các tấn công từ Internet, chẳng hạn Ddos hoặc các kĩ thuật exploit
• Request filtering: thường được sử dụng để giới hạn các request đến Web server
của bạn
• Authentication: IIS 7 cung cấp cho bạn nhiều chức năng chứng thực chẳng hạn
Windows Authentication (NTLM và Kerberos), Basic Authentication, Digest
Authentication v.v
Giao thức SSL (Secure Socket Layer) và TLS (Transport Layer Security) là những giao thức mã hóa cung cấp khả năng bảo mật khi làm việc qua Internet
Áp dụng tính sẵn sàng trong CIA mà tôi đã đề cập ở đầu, chúng ta cần xem xét về
Application Pool Nếu bạn chưa biêt về Application pool có thể tìm đọc
tại http://www.diendantinhoc.vn/tags.php?tag=sharepoint Việc cô lập Application pool giúp bạn ngăn chặn một số lỗi xảy ra trong đó lỗi 503 error Service Available thường hay xảy ra nhất
SQL Server
SQL Server được sử dụng để lưu trữ, xử lý content database, configuration database và service application database Vì tôi không phải là chuyên gia DBA SQL Server nên tôi chỉ có thể nghĩ đên một số vấn đề cơ bản như Permission database, Encrypting data, Auditing SQL Server and các vấn đề về Instance SQL Server
DMZ
DMZ (Demilitarized Zone) được xem như khu vực phi quân sự chứa các server được cho
là trọng yếu và chỉ có thể truy cập trong LAN Trên thực tế, vùng DMZ được cho là nơi
dễ tấn công nhưng hiện tại tôi chưa biết tại sao như thế
Trang 5Chúng ta lại nói về CIA, về tính sẵn sàng, bạn cần xem xét và chọn các thiết bị như switch, router, load balancer, SAN v v.Ngoài ra, hãy xem xét về các thiết bị IPS/IDS nếu bạn cần triển khai SharePoint ra Internet
Firewall
Tôi có đề câp về Windows Firewall with Advance Security nhưng tốt hơn hết là bạn cần
có thêm ứng dụng firewall khác Bạn có thể tìm hiểu Microsoft Forefront TMG vì tôi nghĩ các sản phẩm gia đình Microsoft sẽ làm việc với nhau tốt và hiệu quả hơn Ngoài ra, bạn cũng cần xem xét và triển khai firewall cứng nếu có đủ điều kiện chi phí, chẳng hạn
Trang 6Astaro, Sourcefire, Fortigate v.v
Antivirus
Trong môi trường SharePoint, bạn sẽ không tránh khỏi các hiểm họa virusl worm,
spyware hoặc các file đính kèm v.v Do đó, bạn nên tìm một sản phẩm antivirus nào đó thích hợp Tôi đề xuất bạn sử dụng sản phẩm Forefront Protection 2010 for SharePoint mặc dù chúng ta có Sysmantec, Norton, Kaspersky Tại sao tôi đề xuất bạn sử dụng Forefront Protection 2010 for SharePoint? Bởi vì trước đây, khi tôi làm việc với
SharePoint 2010, tôi gặp một vấn đề khi sử dụng Sysmantec Sysmantec đã chặn tập tin w3wp.exe và bạn nên biết rằng đây là Worker processor, xử lý Application pool Chính
vì thế, hãy để tôi nói lại một lần nữa rằng các sản phẩm gia đình Microsoft sẽ làm việc tốt
và hiệu quả hơn
Trên đây, tôi chỉ đưa ra một số điều cơ bản theo quan điểm của tôi Hi vọng nhận được nhiều chia sẻ khác để bảo mật hạ tầng SharePoint