0

MỤC LỤC


CÁC YÊU TỐ BẢO MẬT TRUNG TÂM DỮ LIỆU

19/03/2025
Comment

CÁC YÊU TỐ BẢO MẬT TRUNG TÂM DỮ LIỆU

Phần 1: Tổng quan về bảo mật Trung tâm dữ liệu

Tầm quan trọng của bảo mật:

  • Bảo mật hệ thống Trung tâm dữ liệu hay Trung tâm dự liệu là một phần không thể thiếu của đề xuất thiết kế và cực kỳ quan trọng bởi vì bạn đang bảo vệ các thiết bị vật lý, thông tin cá nhân, và sở hữu trí tuệ của khách hàng. Khi đối phó với bảo mật có nhiều khía cạnh cần được xem xét. Việc bảo mật vật lý nơi đặt hệ thống Trung tâm dữ liệu có vẻ không quan trọng nhưng nó là dòng đầu tiên của việc phòng vệ.
  • Các tòa nhà và hệ thống Trung tâm dữ liệu cần được bảo vệ và giới hạn truy cập trong một vài nhân viên phù hợp. Điều này có thể không phải là một phần của đề án thiết kế, nhưng cần được thảo luận với khách hàng. Việc ở bên trong hệ thống Trung tâm dữ liệu là rất quan trọng để đảm bảo tất cả các khía cạnh được bảo vệ bao gồm đảm bảo về kết nối mạng, thiết bị, và các dữ liệu được lưu trữ mà không ảnh hưởng đến hiệu suất.

Lựa chọn thiết bị phù hợp

Việc lựa chọn thiết bị sử dùng cần đáp ứng các tiêu chí:

  • Dựa trên các yêu cầu triển khai thực tế của hệ thống Trung tâm dữ liệu bao gồm số lượng end-user, lưu lượng thực tế qua lại và các mục tiêu cần bảo vệ.
  • Các dịch vụ cần thiết của hệ thống tường lửa và khả năng đảm bảo tính liên tục trong hoạt động cũng như đáp ứng mở rộng trong tương lai.

Chiến lược triển khai bảo mật

Khi triển khai các thiết bị bảo mật nói chung có hai phương pháp:

  • Inline: Đặt thiết bị SRX Series trong đường dẫn của tất cả các lưu lượng đi vào và đi ra hệ thống Trung tâm dữ liệu. Thông thường thiết bị này là giữa các switch và các thiết bị mạng WAN hay kết nối đến vùng khác. Vị trí này đảm bảo lưu lượng ra vào hệ thống Trung tâm dữ liệu của bạn luôn được bảo vệ thông qua các dịch vụ tường lửa. Một trong những lợi thế của việc triển khai này là nó làm giảm số lượng các cổng kết nối cần thiết cho các tường lửa để kết nối với các thiết bị lân cận. Một giao diện kết nối cho mỗi thiết bị core-aggregation (spine), trong khi các giao diện khác kết nối với các thiết bị WAN ở biên.
  • One-arm: Triển khai tường lửa one-arm là một cách tiếp cận vật lý cho việc triển khai tường lửa trong kiến trúc Trung tâm dữ liệu. Một thiết bị SRX Series có thể được giảm mỗi bên và là điển hình kết nối với các core-aggregation devices (spine). Triển khai này cho phép người quản trị có thể kiểm tra tất cả lưu lượng hoặc tất cả các lưu lượng được lựa chọn để bỏ qua (by pass) việc tường lửa kiểm tra.

Có nhiều biến thể độc đáo có thể được thực hiện bằng cách sử dụng hai phương pháp này. Thiết kế thực tế và vị trí thiết bị của bạn sẽ phụ thuộc vào những lưu lượng cần phải được bảo vệ cũng như hướng các lưu lượng này sẽ đi.

Phần 2: Các yếu tố bảo mật

Các yếu tố bảo mật A

Một số yêu cầu tồn tại để đảm bảo cho hệ thống Trung tâm dữ liệu. Chúng ta có thể phân chia các yếu tố thành các loại sau:

  • Phạm vi bảo vệ.
  • Phân đoạn.
  • Thực thi nội dữ liệu chính sách trung tâm
  • Nâng cao khả năng nhận biết và tuân thủ.

Phạm vi bảo vệ đạt được thông qua bảo vệ trước tấn công từ chối dịch vụ (DDoS), Layer 4 access control, lọc lưu lượng không mong muốn, việc triển khai các IP Security (IPsec) và Secure Sockets Layer (SSL) mạng riêng ảo (VPN), xác thực phiên, cấp quyền và thực hiện gán các cổng truy cập cho các ứng dụng khác nhau. Việc bảo vệ phân đoạn bao gồm khả năng phân loại lưu lượng của ứng dụng, Layer 3 subnet, vùng bảo mật, và áp dụng các chính sách bảo mật khác nhau.

Các yếu tố bảo mật B

  • Việc lưu thông dữ liệu nội bộ bên trong hệ thống Trung tâm dữ liệu bao gồm khả năng tạo profile cho lưu lượng nội bộ, trong khi đảm bảo khối lượng lưu thông trên các phân đoạn mạng, xác định cảnh báo và các ngưỡng, và thắt chặt quyền cấp cho ứng dụng.
  • Việc tăng cường khả năng hiển thị và tuân thủ bảo vệ bao gồm xác định các chính sách an ninh hợp nhất để áp dụng trên tất cả các yếu tố mạng, và khả năng để xem thông tin lưu lượng, khắc phục sự cố các ứng dụng, và tạo các báo cáo lạm dụng và báo cáo phù hợp quy định từ bất kỳ điểm nào trong hệ thống.
  • Hệ điều hành Junos (Junos OS) có nhiều tính năng phù hợp với các yếu tố bảo mật được định nghĩa.
  • Các tính năng được tích hợp sẵn hoàn toàn như Stateful firewall, IPSec VPN, NAT, định tuyến bao gồm static, RIP, OSPF, BGP, MPLS….
    Các tính năng Firewall thế hệ mới (next generation), UTM, Threat và ATP được phân phối theo hình thức mua license hàng năm.
  • Danh sách sau đây có chứa một số yếu tố chống trinh sát và DDoS:

Các yếu tố bảo mật:

Chống trinh sát, thu thập thông tin về hệ thống mạng:

  • Để phát động một cuộc tấn công, hacker cần phải thu thập các thông tin về hệ thống sau đó sẽ lên kế hoạch phù hợp để tấn công dựa trên các thông tin thu thập được.
  • Yếu tố gián điệp, thu thập thông tin nội cũng như tấn công ngay từ bên trong mạng lõi cũng không thể loại trừ.
  • Yếu tố người dùng luôn là điểm yếu của một hệ thống bảo mật. Việc một người dùng mang laptop hoặc thiết bị di động đã qua sử dụng Internet vào hệ thống nội bộ là hết sức nguy hiểm. Mã độc hoặc các loại virus, malware có thể đã tồn tại trên các thiết bị sử dụng Internet và sẽ lây nhiễm vào hệ thống gây ra các cuộc trinh sát thu thập thông tin từ bên trong cũng như là DDoS ngay từ nội bộ.

Tính năng Screen Options có sẵn trên thiết bị sẽ hỗ trợ ngăn chặn việc trinh sát. Có thể tham khảo điển hình như:

  • Dò quét địa chỉ IP
  • Dò quét các cổng (port) đang mở.
  • Tìm kiếm thông tin IP Options.
  • Dò quét phân loại hệ điều hành sử dụng trong hệ thống.
  • Ẩn mình, xóa dấu vết cũng như mở backdoor sau khi tấn công.

Ngoài ra Screen Options còn hỗ trợ phòng vệ trước DDoS, điển hình như:

  • SYN flood protection giới hạn số lượng gói tin SYN mỗi giây có thể được gửi từ một địa chỉ IP, hoặc đến một địa chỉ IP, giúp bảo vệ mục tiêu, và cũng giúp bảo vệ SRX Series Services Gateway bởi vì sự bảo vệ này được thực hiện trong phần cứng.
  • SYN cookie và SYN proxy protection bảo vệ chống lại các cuộc tấn công SYN spoofing. SYN cookie là cơ chế ưu tiên.
  • IP session limits hạn chế số phiên có thể được thành lập từ một nguồn IP, hoặc đến một địa chỉ IP đích.
  • Screen với nhiều tính năng khác nhau bao gồm bảo vệ mục tiêu trước các đợt DDoS như: invalid flags, Internet Control Message Protocol (ICMP) hay UDP flood protection; ICMP, UDP, hay TCP sweep; IP spoofing, fragmentation v.v.

 


CÂU HỎI THƯỜNG GẶP

    GIẢI PHÁP NÂNG CAO BẢO MẬT TRUNG TÂM DỮ LIỆU
    Các yếu tố nhận diện bảo mật được đáp ứng thông qua các lớp bảo mật khác nhau. Các lớp này bao gồm thiết bị định tuyến, tường lửa, và các yếu tố khác phức tạp hơn, như SSL VPN và hệ thống phòng chống xâm nhập (IPS)
      TỔNG QUAN SẢN PHẨM FIREWALL JUNIPER SRX100 -> SRX600
      Thiết bi Firewall cổng dịch vụ sê-ri SRX cho chi nhánh là thế hệ tiếp theo cổng an ninh cung cấp các khả năng thiết yếu kết nối, bảo mật và quản lý lực lượng lao động các vị trí có kích thước từ một số ít đến hàng trăm người dùng
        CHỨC NĂNG NHIỆM VỤ CỦA FIREWALL
        Chức năng chính của Tường Lửa (Firewall) là kiểm soát luồng thông tin giữa môi trường intranet và internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng internet.
          Giới thiệu những kiến thức tổng quan về Firewall
          Mặc dù internet là mỏ thông tin và giao tiếp xã hội, nhưng không phải lúc nào nó cũng thân thiện. Thay vào đó, có rất nhiều kẻ xấu rình rập trên mạng với mưu đồ xâm nhập vào những máy tính kết nối với Internet nhằm mục đích xấu.
            PHÂN BIỆT HỆ THỐNG NGĂN NGỪA CHỐNG XÂM NHẬP IPS & IDS
            Hệ thống phòng chống xâm nhập (Intrusion prevention system, viết tắt là IPS) là một số biện pháp an ninh mạng quan trọng nhất mà mạng..
              GIẢI PHÁP NGĂN NGỪA VÀ CHỐNG XÂM NHẬP FORTINET
              FortiGate IPS là hệ thống phát hiện mã độc thế hệ mới được tạp chí Fortune khuyên dùng. Giải pháp bảo mật thông tin dành cho doanh nghiệp vừa và nhỏ, chống mã độc đỉnh cao đến từ Công ty Fortinet (USA)