microsoftvn
03-22-2011, 09:26 PM
Hiện nay tại Việt Nam, việc xây dựng Trung Tâm Dữ Liệu (TTDL) tại các doanh nghiệp ngày càng phổ biến mà đặc biệt là tại các doanh nghiệp có quy mô lớn. Các TTDL này thường là nơi đặt để tất cả máy chủ dịch vụ quan trọng của doanh nghiệp bao gồm cả các máy chủ hạ tầng lẫn các máy chủ dịch vụ lõi như ERP hoặc Core Banking chẳng hạn. Người dùng cuối và lãnh đạo doanh nghiệp thường chỉ quan tâm đến việc làm sao công việc không bị ngưng trệ, việc truy cập vào tài nguyên trên máy chủ thuận tiện, mọi lúc mọi nơi nhưng vẫn phải đảm bảo là thông tin kinh doanh nhạy cảm không bị lọt vào tay đối thủ. Việc thỏa mãn tính linh động khi thao tác với hệ thống CNTT nhưng vẫn đảm bảo tính an toàn luôn là thách thức với đội ngũ quản trị CNTT. Đặc biệt là ngày nay xu hướng ứng dụng ảo hóa lẫn điện toán đám mây khiến việc quản lý và bảo mật dữ liệu càng trở nên phức tạp hơn.
Microsoft nhìn nhận vấn đề an toàn thông tin nói chung và trung tâm dữ liệu an toàn nói riêng không thể nằm ngoài câu chuyện chuẩn hóa hạ tầng. Vì một hạ tầng thiếu đồng bộ và chuẩn hóa thường tạo ra nhiều kẽ hở an ninh mà vốn dĩ một mình giải pháp an toàn thông tin không thể khỏa lấp. Bằng việc tích hợp bộ giải pháp an ninh trọn gói cho doanh nghiệp BRS với Microsoft IOI, Microsoft mong muốn hỗ trợ khách hàng đánh giá và đưa ra lộ trình tối ưu hóa hạ tầng bảo mật hệ thống. Bộ giải pháp BRS nhắm đến 4 nhóm giải pháp chính về an ninh gồm Thư Tín An Toàn, Làm Việc Cộng Tác An Toàn, Trung Tâm Dữ Liệu An Toàn và Thiết Bị Cuối An Toàn. Trong đó gói giải pháp An ToànTTDL hướng đến việc xây dựng một TTDL tin cậy, được kiểm soát tốt và cung cấp phương thức truy cập đơn giản nhất phục vụ cho hoạt động kinh doanh bất kể ứng dụng được đặt tại doanh nghiệp hay ở trên môi trường điện toán đám mây. Nhóm giải pháp Thiết Bị Cuối An Toàn bao gồm ba giải pháp nhỏ và có thể được triển khai theo từng giai đoạn với Microsoft IOI là hạ tầng TTDL an toàn, truy cập ứng dụng an toàn và truy cập mạng an toàn. Các giải pháp này được xây dựng và tích hợp trên nền tảng quản trị hệ thống và định danh sẵn có trên cả ba môi trường vật lý, ảo hóa và điện toán đám mây.
Máy chủ An Toàn
Một hạ tầng được gọi là an toàn khi nó được bảo vệ theo nhiều lớp và bảo vệ theo nhiều góc độ khác hau. Mỗi máy chủ ứng dụng hạ tầng hoặc ứng dụng lõi đều có thể bị tổn thương nếu HĐH bị virút làm hỏng hoặc ứng dụng bị lỗi cho mã độc được cài vào máy chủ. Và cho dù nếu cả HĐH và ứng dụng trên đó đều hoạt động trơn tru nhưng thông tin của ứng dụng lại bị lọt vào tay tin tặc do phần mềm gián điệp hay do thông qua đường truy cập trái phép vào máy chủ thì vẫn làm ảnh hưởng tới hoạt động kinh doanh. Với nhóm giải pháp máy chủ an toàn trên nền tảng BRS không chỉ giúp cho doanh nghiệp chống lại các nguy cơ trên cả 3 lớp HĐH, ứng dụng và thông tin mà còn giúp đảm bảo cho hoạt động của các máy chủ này bất chấp chúng là máy chủ thật hay máy chủ ảo, được đặt tai TTDL của doanh nghiệp hay trên đám mây. Nhóm giải pháp máy chủ an toàn được chua ra thành 4 thành phần chính:
- HĐH an toàn: Với giải pháp Forefront Endpoint Protection 2010 (FEP) thì HĐH máy chủ luôn được bảo vệ khỏi các nguy cơ do các phần mềm độc hại gây ra với nhiều phương thức khác nhau để chống loại phần mềm độc đã biết và chưa biết như giám sát hành vi, phát hiện mã độc bằng phương thức giả lập và cơ chế chống mã độc tức thời bằng giải pháp điện toán đám mây. Điều thú vị là khi khách hàng ứng dụng giải pháp ConfigMgr của Microsoft để quản trị hệ thống máy chủ trong TTDL thì khi đó việc quản trị FEP sẽ nằm chung trên một giao diện quản trị duy nhất. Điều đó đảm bảo đội quản trị CNTT sẽ có một cái nhìn chung nhất về tình trạng an ninh của hệ thống máy chủ và vì vậy việc quản trị sẽ đơn giản và hiệu quả hơn. Ngoài ra FEP còn hỗ trợ quản lý tập trung tường lửa sẵn có trên HĐH của toàn bộ máy chủ trong TTDL, việc này giúp giảm thiểu tài nguyên hệ thống so với các giải pháp khác thường cài thêm phần mềm tường lửa khác. FEP cũng hỗ trợ khả năng phòng chống xâm nhập qua các cơ chế phân tích ứng dụng và giao thức. Với khả năng tích hợp giữa giải pháp ảo hóa Hyper-V và FEP, cho phép khách hàng bảo vệ liên tục và hữu hiệu các mảy chủ áo của mình.
http://vncson.files.wordpress.com/2010/12/clip_image002_thumb2.jpg?w=537&h=404 (http://vncson.files.wordpress.com/2010/12/clip_image0022.jpg)
Hình 1: Số engine bảo vệ của Forefront Protection for Exchange 2010
- Ứng dụng hạ tầng an toàn: Với việc giới thiệu hai phiên bản mới Forefront Protection 2010 for Sharepoint và Forefront Protection 2010 for Exchange Server cho phép khách hàng bảo vệ tối đa chống lại các nguy cơ cho ứng dụng thông qua cơ chế bảo vệ chống phần mềm độc với tám bộ lọc của các hãng nổi tiếng như Microsoft, Kaspersky, và Norman… và cơ chế chống thư rác theo phương thức chặn lọc nhiều lớp được bổ sung bằng CSDL được cập nhật liên tục bằng công nghệ điện toán đám mây Cloudmark.
- Chống thất thoát thông tin: Bằng việc mở rộng hệ thống quản trị định danh Active Directory trên Windows Server 2008 R2 bằng giải pháp bảo vệ thông tin AD RMS , người dùng có thể thiết lập dễ dàng quyền truy cập thông tin ngay từ máy cuối thông qua phần mềm văn phòng Office để bảo vệ tập tin văn phòng hoặc Microsoft Outlook hay Outlook Web để bảo vệ nội dung thư tín.
Truy cập ứng dụng an toàn
http://vncson.files.wordpress.com/2010/12/clip_image004_thumb2.jpg?w=580&h=436 (http://vncson.files.wordpress.com/2010/12/clip_image0042.jpg)
Hình 2: FIM cho phép người tự thao tác với các tác vụ tài khoản.
Bộ giải pháp an ninh chọn gói cho doanh nghiệp BRS không chỉ hướng đến việc bảo vệ sự liên tục của hoạt động kinh doanh mà còn tạo điều kiện cho nó phát triển mà cụ thể là với giải pháp truy cập ứng dụng an toàn của Microsoft khi khách hàng có thể xây dựng TTDL cho phép người dùng, đối tác và khách hàng truy cập vào các máy chủ ứng dụng thuận tiện và an toàn bất chấp chúng được đặt trong nội mạng hay trên môi trường đám mây. Nhóm giải pháp truy cập ứng dụng an toàn bao gồm 2 thành phần chủ đạo:
- Xác thực một cửa Single Sign On (SSO) đa nền: Trong TTDL của doanh nghiệp ngày nay thường có rất nhiều loại ứng dụng khác nhau mà đôi khi không thể nào xác thực chung trên một nền tảng CSDL tập trung như Active Directory chẳng hạn. Điều khó khiến người dùng phải nhớ nhiều mật khẩu khác nhau và quản trị cũng mất nhiều thời gian để bảo trì và giám sát các hệ thống xác thực. Kết quả là người dùng mới thì có thể kiểm tra thư điện tử nhưng lại chưa vào được cổng thông tin nội bộ còn người dùng đã nghỉ thì các tài khoản đến cả tháng sau vẫn còn hoạt động. Do đó khách hàng có thể sử dụng giải pháp Forefront Identity Manager 2010 (FIM) để đồng bộ tài khoản giữa các CSDL xác thực khác nhau. Chẳng hạn FIM có thể giúp đồng bộ xác thực giữa Active Directory và Lotus Note hoặc LDAP của Redhat Linux. FIM không những giúp đồng bộ mà còn có thể tự động cập nhật khi cấu hình tài khoản thay đổi như thay đổi mật khẩu chẳng hạn. Ngoài ra FIM còn cho phép người dùng tự thao tác với các tác vụ quản trị tài khoản mà trước đây phải nhờ đến đội quản trị IT như xin vào nhóm truy cập ERP hay đổi mật khi tài khoản bị khóa (lockout).
- Xác thực một cửa (SSO) đa vùng cho ứng dụng: Khi nhu cầu mở rộng ứng dụng ra ngoài vùng nội mạng cho đối tác và khách hàng hiện nay thường gặp rất nhiều khó khăn do đội ngũ phát triển phải sử dụng hai công nghệ xác thực một cho nội mạng trên nền tảng Kerberos và user/password cho khách hàng ngoài internet. Chưa kể sau này khi doanh nghiệp thay đổi kiến trúc ứng dụng hay chuyển chúng lên môi trường đám mây thì việc cấu hình lại hệ thống xác thực đúng là ác mộng với đội ngũ phát triển. Do đó vừa để chung cấp xác thực một cửa (SSO) đối với toàn bộ ứng dụng trong TTDL cho người dùng, khách hàng và đối tác lẫn đảm bảo khả năng chuyển đổi sau này, khách hàng có thể ứng dụng giải pháp Active Directory Federation Services 2.0 (AD FS) trên nền tảng Windows Server 2008 R2.
http://vncson.files.wordpress.com/2010/12/clip_image006_thumb1.jpg?w=606&h=410 (http://vncson.files.wordpress.com/2010/12/clip_image0061.jpg)
Hình 3: Xác thực một cửa cho ứng dụng trên đám mây với ADFS 2.0
Truy cập mạng an toàn. Trong bài viết “Bảo mật cho thiết bị cuối với BRS” chúng ta có thể thấy rằng Microsoft có rất nhiều giải liên quan đến kết nối từ xa an toàn như việc xử dụng Direct Access có trên Windows 7 để cập truy cập trong suốt vào mạng nội bộ hoặc sử dụng Outlook Anywhere của Exchange 2007/2010 để duyệt thư tín mọi lúc mọi nơi. Tuy nhiên không phải khách hàng nào cũng sẵn có Windows 7 hoặc Exchange 2007/2010. Trong các tình huống đó thì khách hàng có thể giải pháp SSL VPN Forefront Unified Access Gateway 2010 (UAG). UAG cung cấp khả năng tương tác bảo mật cho người dùng ngoài mạng có thể truy cập vào dịch vụ nội bộ qua cổng web như máy chủ web, máy chủ ERP, sử dụng ứng dụng văn phòng. UAG hỗ trợ sẵn các chính sách mặc định khi cung cấp ra bên ngoài các dịch vụ như Exchange, IIS Web hoặc Sharepoint. Với khả năng tích hợp vào hạ tầng sẵn có như Active Directory hoặc NAP (Network Access Protection) của UAG cho phép quản trị CNTT xây dựng các chính sách bảo vệ tài nguyên nội dựa trên cơ chế định danh hoặc sức khỏe của thiết bị kết nối. Ngoài ra UAG còn là cho phép doanh nghiệp cung cấp dịch vụ cho các thiết bị cầm tay hoặc máy tính cuối không sử dụng HĐH Microsoft như Ubuntu chẳng hạn.
Source: Son Vu
Microsoft nhìn nhận vấn đề an toàn thông tin nói chung và trung tâm dữ liệu an toàn nói riêng không thể nằm ngoài câu chuyện chuẩn hóa hạ tầng. Vì một hạ tầng thiếu đồng bộ và chuẩn hóa thường tạo ra nhiều kẽ hở an ninh mà vốn dĩ một mình giải pháp an toàn thông tin không thể khỏa lấp. Bằng việc tích hợp bộ giải pháp an ninh trọn gói cho doanh nghiệp BRS với Microsoft IOI, Microsoft mong muốn hỗ trợ khách hàng đánh giá và đưa ra lộ trình tối ưu hóa hạ tầng bảo mật hệ thống. Bộ giải pháp BRS nhắm đến 4 nhóm giải pháp chính về an ninh gồm Thư Tín An Toàn, Làm Việc Cộng Tác An Toàn, Trung Tâm Dữ Liệu An Toàn và Thiết Bị Cuối An Toàn. Trong đó gói giải pháp An ToànTTDL hướng đến việc xây dựng một TTDL tin cậy, được kiểm soát tốt và cung cấp phương thức truy cập đơn giản nhất phục vụ cho hoạt động kinh doanh bất kể ứng dụng được đặt tại doanh nghiệp hay ở trên môi trường điện toán đám mây. Nhóm giải pháp Thiết Bị Cuối An Toàn bao gồm ba giải pháp nhỏ và có thể được triển khai theo từng giai đoạn với Microsoft IOI là hạ tầng TTDL an toàn, truy cập ứng dụng an toàn và truy cập mạng an toàn. Các giải pháp này được xây dựng và tích hợp trên nền tảng quản trị hệ thống và định danh sẵn có trên cả ba môi trường vật lý, ảo hóa và điện toán đám mây.
Máy chủ An Toàn
Một hạ tầng được gọi là an toàn khi nó được bảo vệ theo nhiều lớp và bảo vệ theo nhiều góc độ khác hau. Mỗi máy chủ ứng dụng hạ tầng hoặc ứng dụng lõi đều có thể bị tổn thương nếu HĐH bị virút làm hỏng hoặc ứng dụng bị lỗi cho mã độc được cài vào máy chủ. Và cho dù nếu cả HĐH và ứng dụng trên đó đều hoạt động trơn tru nhưng thông tin của ứng dụng lại bị lọt vào tay tin tặc do phần mềm gián điệp hay do thông qua đường truy cập trái phép vào máy chủ thì vẫn làm ảnh hưởng tới hoạt động kinh doanh. Với nhóm giải pháp máy chủ an toàn trên nền tảng BRS không chỉ giúp cho doanh nghiệp chống lại các nguy cơ trên cả 3 lớp HĐH, ứng dụng và thông tin mà còn giúp đảm bảo cho hoạt động của các máy chủ này bất chấp chúng là máy chủ thật hay máy chủ ảo, được đặt tai TTDL của doanh nghiệp hay trên đám mây. Nhóm giải pháp máy chủ an toàn được chua ra thành 4 thành phần chính:
- HĐH an toàn: Với giải pháp Forefront Endpoint Protection 2010 (FEP) thì HĐH máy chủ luôn được bảo vệ khỏi các nguy cơ do các phần mềm độc hại gây ra với nhiều phương thức khác nhau để chống loại phần mềm độc đã biết và chưa biết như giám sát hành vi, phát hiện mã độc bằng phương thức giả lập và cơ chế chống mã độc tức thời bằng giải pháp điện toán đám mây. Điều thú vị là khi khách hàng ứng dụng giải pháp ConfigMgr của Microsoft để quản trị hệ thống máy chủ trong TTDL thì khi đó việc quản trị FEP sẽ nằm chung trên một giao diện quản trị duy nhất. Điều đó đảm bảo đội quản trị CNTT sẽ có một cái nhìn chung nhất về tình trạng an ninh của hệ thống máy chủ và vì vậy việc quản trị sẽ đơn giản và hiệu quả hơn. Ngoài ra FEP còn hỗ trợ quản lý tập trung tường lửa sẵn có trên HĐH của toàn bộ máy chủ trong TTDL, việc này giúp giảm thiểu tài nguyên hệ thống so với các giải pháp khác thường cài thêm phần mềm tường lửa khác. FEP cũng hỗ trợ khả năng phòng chống xâm nhập qua các cơ chế phân tích ứng dụng và giao thức. Với khả năng tích hợp giữa giải pháp ảo hóa Hyper-V và FEP, cho phép khách hàng bảo vệ liên tục và hữu hiệu các mảy chủ áo của mình.
http://vncson.files.wordpress.com/2010/12/clip_image002_thumb2.jpg?w=537&h=404 (http://vncson.files.wordpress.com/2010/12/clip_image0022.jpg)
Hình 1: Số engine bảo vệ của Forefront Protection for Exchange 2010
- Ứng dụng hạ tầng an toàn: Với việc giới thiệu hai phiên bản mới Forefront Protection 2010 for Sharepoint và Forefront Protection 2010 for Exchange Server cho phép khách hàng bảo vệ tối đa chống lại các nguy cơ cho ứng dụng thông qua cơ chế bảo vệ chống phần mềm độc với tám bộ lọc của các hãng nổi tiếng như Microsoft, Kaspersky, và Norman… và cơ chế chống thư rác theo phương thức chặn lọc nhiều lớp được bổ sung bằng CSDL được cập nhật liên tục bằng công nghệ điện toán đám mây Cloudmark.
- Chống thất thoát thông tin: Bằng việc mở rộng hệ thống quản trị định danh Active Directory trên Windows Server 2008 R2 bằng giải pháp bảo vệ thông tin AD RMS , người dùng có thể thiết lập dễ dàng quyền truy cập thông tin ngay từ máy cuối thông qua phần mềm văn phòng Office để bảo vệ tập tin văn phòng hoặc Microsoft Outlook hay Outlook Web để bảo vệ nội dung thư tín.
Truy cập ứng dụng an toàn
http://vncson.files.wordpress.com/2010/12/clip_image004_thumb2.jpg?w=580&h=436 (http://vncson.files.wordpress.com/2010/12/clip_image0042.jpg)
Hình 2: FIM cho phép người tự thao tác với các tác vụ tài khoản.
Bộ giải pháp an ninh chọn gói cho doanh nghiệp BRS không chỉ hướng đến việc bảo vệ sự liên tục của hoạt động kinh doanh mà còn tạo điều kiện cho nó phát triển mà cụ thể là với giải pháp truy cập ứng dụng an toàn của Microsoft khi khách hàng có thể xây dựng TTDL cho phép người dùng, đối tác và khách hàng truy cập vào các máy chủ ứng dụng thuận tiện và an toàn bất chấp chúng được đặt trong nội mạng hay trên môi trường đám mây. Nhóm giải pháp truy cập ứng dụng an toàn bao gồm 2 thành phần chủ đạo:
- Xác thực một cửa Single Sign On (SSO) đa nền: Trong TTDL của doanh nghiệp ngày nay thường có rất nhiều loại ứng dụng khác nhau mà đôi khi không thể nào xác thực chung trên một nền tảng CSDL tập trung như Active Directory chẳng hạn. Điều khó khiến người dùng phải nhớ nhiều mật khẩu khác nhau và quản trị cũng mất nhiều thời gian để bảo trì và giám sát các hệ thống xác thực. Kết quả là người dùng mới thì có thể kiểm tra thư điện tử nhưng lại chưa vào được cổng thông tin nội bộ còn người dùng đã nghỉ thì các tài khoản đến cả tháng sau vẫn còn hoạt động. Do đó khách hàng có thể sử dụng giải pháp Forefront Identity Manager 2010 (FIM) để đồng bộ tài khoản giữa các CSDL xác thực khác nhau. Chẳng hạn FIM có thể giúp đồng bộ xác thực giữa Active Directory và Lotus Note hoặc LDAP của Redhat Linux. FIM không những giúp đồng bộ mà còn có thể tự động cập nhật khi cấu hình tài khoản thay đổi như thay đổi mật khẩu chẳng hạn. Ngoài ra FIM còn cho phép người dùng tự thao tác với các tác vụ quản trị tài khoản mà trước đây phải nhờ đến đội quản trị IT như xin vào nhóm truy cập ERP hay đổi mật khi tài khoản bị khóa (lockout).
- Xác thực một cửa (SSO) đa vùng cho ứng dụng: Khi nhu cầu mở rộng ứng dụng ra ngoài vùng nội mạng cho đối tác và khách hàng hiện nay thường gặp rất nhiều khó khăn do đội ngũ phát triển phải sử dụng hai công nghệ xác thực một cho nội mạng trên nền tảng Kerberos và user/password cho khách hàng ngoài internet. Chưa kể sau này khi doanh nghiệp thay đổi kiến trúc ứng dụng hay chuyển chúng lên môi trường đám mây thì việc cấu hình lại hệ thống xác thực đúng là ác mộng với đội ngũ phát triển. Do đó vừa để chung cấp xác thực một cửa (SSO) đối với toàn bộ ứng dụng trong TTDL cho người dùng, khách hàng và đối tác lẫn đảm bảo khả năng chuyển đổi sau này, khách hàng có thể ứng dụng giải pháp Active Directory Federation Services 2.0 (AD FS) trên nền tảng Windows Server 2008 R2.
http://vncson.files.wordpress.com/2010/12/clip_image006_thumb1.jpg?w=606&h=410 (http://vncson.files.wordpress.com/2010/12/clip_image0061.jpg)
Hình 3: Xác thực một cửa cho ứng dụng trên đám mây với ADFS 2.0
Truy cập mạng an toàn. Trong bài viết “Bảo mật cho thiết bị cuối với BRS” chúng ta có thể thấy rằng Microsoft có rất nhiều giải liên quan đến kết nối từ xa an toàn như việc xử dụng Direct Access có trên Windows 7 để cập truy cập trong suốt vào mạng nội bộ hoặc sử dụng Outlook Anywhere của Exchange 2007/2010 để duyệt thư tín mọi lúc mọi nơi. Tuy nhiên không phải khách hàng nào cũng sẵn có Windows 7 hoặc Exchange 2007/2010. Trong các tình huống đó thì khách hàng có thể giải pháp SSL VPN Forefront Unified Access Gateway 2010 (UAG). UAG cung cấp khả năng tương tác bảo mật cho người dùng ngoài mạng có thể truy cập vào dịch vụ nội bộ qua cổng web như máy chủ web, máy chủ ERP, sử dụng ứng dụng văn phòng. UAG hỗ trợ sẵn các chính sách mặc định khi cung cấp ra bên ngoài các dịch vụ như Exchange, IIS Web hoặc Sharepoint. Với khả năng tích hợp vào hạ tầng sẵn có như Active Directory hoặc NAP (Network Access Protection) của UAG cho phép quản trị CNTT xây dựng các chính sách bảo vệ tài nguyên nội dựa trên cơ chế định danh hoặc sức khỏe của thiết bị kết nối. Ngoài ra UAG còn là cho phép doanh nghiệp cung cấp dịch vụ cho các thiết bị cầm tay hoặc máy tính cuối không sử dụng HĐH Microsoft như Ubuntu chẳng hạn.
Source: Son Vu
