MrQuậy
Well-Known Member
-
24/09/2013
-
178
-
2.221 bài viết
An toàn thông tin cho ảo hóa
[FONT="]Thời gian gần đây, vấn đề an toàn thông tin cho các trung tâm dữ liệu ngày càng được coi trọng. Các hoạt động xâm phạm an toàn một cách tinh vi, các mối đe dọa an toàn mạng, các phần mềm độc hại mới xuất hiện liên tục. Các cuộc tấn công khủng bố nhắm vào cơ sở hạ tầng ảo hóa ngày càng gia tăng, do đó các tổ chức, doanh nghiệp cần có các biện pháp tiếp cận vấn đề này một cách chủ động để bảo vệ tài sản của mình.[/FONT]
Theo ước tính của Cisco Global Cloud, vào năm 2019, khoảng 86% khối lượng công việc sẽ được xử lý bởi các trung tâm dữ liệu đám mây (ảo). Do vậy, vấn đề an toàn cho các trung tâm dữ liệu này luôn là một khía cạnh quan trọng, quyết định sự thành công của quá trình ứng dụng công nghệ thông tin. Tuy nhiên, do sự tăng trưởng đáng kinh ngạc của không gian mạng và các tấn công đám mây ngày càng phát triển, nên giờ đây an toàn đã trở thành vấn đề cần quan tâm hàng đầu của các tổ chức.
An toàn cho ảo hóa được xử lý khác với bảo đảm an toàn thông tin cho các thiết bị đầu cuối truyền thống, vì môi trường ảo hóa thường xuyên thay đổi. Trước đây, các trung tâm dữ liệu thường được lưu trong một số máy chủ tĩnh cố định, ít thay đổi, vì thế việc bố trí nhân viên làm nhiệm vụ bảo đảm an toàn dữ liệu cho các máy chủ này là một biện pháp khả thi. Tuy nhiên, ngày nay các trung tâm dữ liệu ảo luôn thay đổi một cách linh hoạt, các máy ảo (VM) mới thường xuyên được tạo ra để thay thế máy cũ và việc triển khai các máy tính ảo (VDI) đang ngày càng phát triển.
Ảo hóa cung cấp khả năng linh hoạt và tính sẵn sàng cao, nhưng cần phải xây dựng nó thành một môi trường an toàn và có quy tắc. Các máy ảo được thay đổi liên tục, chúng có thể được nhân bản từ một thư viện các máy ảo ẩn và chưa được cập nhật nào trong thời gian dài, hoặc thậm chí được triển khai bởi người dùng cuối mà không cần sự can thiệp của người quản trị đám mây. Do đó, để đảm bảo an toàn, chúng cần phải được cập nhật thường xuyên để có thể chủ động đối phó khi gặp sự cố.
Xây dựng kế hoạch cho an toàn ảo hóa
An toàn ảo hóa cũng quan trọng như cho các thành phần vật lý cần bảo vệ trong môi trường của các tổ chức. Mỗi tổ chức cần có sự chủ động để chống lại được các cuộc tấn công có chủ đích. Họ sẽ chịu nhiều thiệt hại nếu họ chậm phát hiện các cuộc tấn công này, vì khi đó sẽ làm mất dữ liệu và sự tin cậy của khách hàng. Ngày nay, các tổ chức, doanh nghiệp cần phải chấp nhận thực tế không mong muốn là, hệ thống thông tin luôn phải chịu sự xâm nhập của các mã độc. Để bảo đảm an toàn trước các nguy cơ này, cần có những cách thức giải quyết mới, có cơ chế giám sát thích hợp và các hành động ưu tiên để theo kịp các mối đe dọa luôn thay đổi.
Bên cạnh đó, các tổ chức vẫn phải tiếp tục duy trì các hoạt động an toàn truyền thống ở mức tốt nhất, như an toàn vật lý, duy trì hệ thống quản lý mật khẩu, chống virus.... Ngoài ra, cần có thêm các hoạt động an toàn cho ảo hóa, như phát hiện xâm nhập và phân tích bất thường của mạng, biện pháp bảo đảm an toàn cho trung tâm dữ liệu và cần được kiểm soát bởi cơ quan quản lý và giám sát các máy ảo của tổ chức. Trong thực tế, nhiều tổ chức vẫn sử dụng nhân viên làm nhiệm vụ bảo đảm an toàn dữ liệu (thường là người dùng cuối của mỗi máy ảo) để quét đĩa, nhận dạng virus... nhưng, việc này không được thực hiện một cách thường xuyên. Nhân viên này cần có một giải pháp tập trung để bảo vệ mọi tài nguyên ảo hóa, bao gồm cả các mạng ảo, ổ đĩa, bộ nhớ, CPU và phải thường xuyên kiểm tra việc thực hiện các công việc này. Cuối cùng, vì mỗi máy ảo có một cấu trúc khác nhau nên mỗi tổ chức cần chọn một giải pháp đã được tối ưu hóa cho nền tảng của mình để giảm chi phí hoạt động trên các nền tảng khác nhau, từ đó giảm các chi phí hoạt động trên các hệ thống an toàn.
Bảo vệ mạng
Lớp đầu tiên cần bảo vệ trong an toàn ảo hóa chính là bảo vệ hệ thống mạng thông qua một tường lửa, vì đây chính là biện pháp tốt nhất để tránh các mối đe dọa bên ngoài xâm nhập vào máy ảo. Cách thức cấu hình tường lửa ảo dựa trên các máy chủ tập trung có thể sẽ chặn được các gói tin trước khi chúng vào máy ảo, từ đó thiết lập các chính sách để tự động bảo vệ. Hơn nữa, ngay khi máy ảo mới được triển khai trên máy chủ này, nó cũng sẽ hoạt động phía sau tường lửa và sẽ được bảo vệ kịp thời. Điều này cho phép tổ chức có thể áp dụng giải pháp agentless (là một giải pháp an toàn ảo hóa cung cấp lợi thế lớn về hiệu suất cho máy ảo bằng cách chuyển đổi toàn bộ các hoạt động an toàn cho các máy ảo sang điều khiển từ xa bởi một thiết bị ảo chuyên dụng) và các giải pháp mở rộng khác.
Tiếp theo, các tổ chức cần giám sát các mạng ảo của mình để đảm bảo rằng, virus và phần mềm độc hại khác không thể lây lan trong đó. Nếu không giám sát và phát hiện kịp thời, các loại virus này có thể dễ dàng được chuyển từ máy ảo này đến một máy ảo khác trên cùng một máy chủ thông qua mạng ảo, hay bất kỳ tập tin nào được máy chủ chia sẻ. Một trong những hạn chế của các thiết bị hay công cụ an toàn mạng truyền thống là chúng chỉ quét các mạng vật lý, vì vậy, nhiều công cụ trong số đó có các “điểm mù” và có thể bị qua mặt khi các dữ liệu được truyền qua các mạng ảo trong cùng một máy chủ.
Đây đồng thời cũng là giải pháp thực tiễn tốt nhất để có thể xây dựng hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) hoặc hệ thống phòng chống xâm nhập (Intrusion Prevention System - IPS) trên mạng để có thể đảm bảo việc truy cập các gói tin nội bộ không bị gián đoạn. Nếu có điều gì bất thường trong môi trường này, hệ thống IDS dựa trên chữ ký số sẽ ngay lập tức cảnh báo về các hoạt động này và tìm cách giải quyết chúng. Chức năng dự đoán bất thường của mạng thường được nhà cung cấp thiết lập sẵn, chúng có thể nhận biết được mô hình, lưu lượng cơ sở dữ liệu, tiêu chuẩn dựa trên thời gian trong ngày, nơi nhận hay các giao thức... và cảnh báo cho tổ chức khi có sự bất thường xảy ra. Nhưng các tổ chức cũng cần tùy chỉnh các giải pháp giám sát mạng cho phù hợp với môi trường của tổ chức mình để xác định được các cuộc tấn công tiên tiến trên hệ thống khi mà chữ ký chưa được tích hợp sẵn trong hệ thống IDS chuẩn.
Bảo vệ ổ đĩa
Lớp bảo vệ thứ hai là bảo vệ ổ đĩa. Nhiều tổ chức sẽ quét virus lần đầu tiên khi các tập tin được ghi vào đĩa, nhưng phương pháp này thường bỏ qua các mối đe dọa mới mà các phần mềm diệt virus chưa phát hiện được. Do đó, điều quan trọng là phải có một chính sách tự động và thường xuyên quét các ổ đĩa. Tuy nhiên, thách thức lớn nhất trong việc này chính là hiệu suất, khi máy chủ vận hành thường sẽ chạy hết công suất, vì thế việc nhiều ổ đĩa đồng thời được quét virus sẽ gây ra vấn đề “bão quét”.
Việc “bão quét” này làm trì trệ hiệu suất của hệ thống một cách đáng kể trên mỗi máy chủ, làm giảm tốc độ xử lý các máy ảo trong khi chúng đang phải cố gắng tối ưu bộ nhớ, CPU, băng thông mạng và sử dụng các ổ đĩa. Để khắc phục điều này, bộ phận an toàn thông tin của tổ chức có thể sắp xếp thứ tự quét cho các ổ đĩa, hoặc tìm một giải pháp tối ưu cho môi trường ảo hóa mà đã được công nhận, như sử dụng công nghệ theo dõi sự thay đổi khối (change block tracking - CBT), để chỉ quét các phần đĩa đang hoạt động. Bằng cách này, các hoạt động của hệ thống sẽ diễn ra nhanh hơn và có thể đảm bảo được hiệu suất. Điều này cũng cho phép một số cơ sở dữ liệu có thể chạy trực tiếp trên máy ảo của mỗi máy chủ và có thể giúp giảm chi phí tổng thể cho tổ chức.
Bảo vệ các tài nguyên máy tính
Các mối đe dọa cho máy ảo có rất nhiều dạng khác nhau, chúng có thể chọn mục tiêu là chu kỳ tiêu thụ bộ nhớ hoặc CPU để làm chậm các máy ảo. Một trong những phương pháp tốt nhất để phòng chống điều này là áp dụng lớp bảo vệ thứ ba, bảo vệ các tài nguyên máy tính. Điều này sẽ cho phép điều tiết nguồn tài nguyên (hay còn gọi là chất lượng dịch vụ) để đảm bảo mỗi máy ảo có một nguồn tài nguyên tích lũy được cung cấp bởi máy tính khi vận hành. Nhưng sự điều tiết này không được vượt quá mức tối đa cho phép để không làm ảnh hưởng đến hiệu suất của các máy ảo khác trên cùng máy chủ.
Giải pháp thực tiễn tốt nhất hiện nay là sử dụng giải pháp agentless nêu trên, khi đó sẽ không phải cài đặt bất cứ thứ gì bên trong máy ảo. Điều này không chỉ giúp các máy ảo tiêu thụ ít tài nguyên hơn mà còn giúp loại bỏ nguy cơ tiêm virus vào bộ nhớ máy ảo khi nó đang khởi động. Hơn nữa, tổ chức cũng sẽ không cần sử dụng một người quản trị để quản lý việc truy cập hệ thống quản lý khách hàng, ngăn ngừa được khả năng tin tặc có thể lợi dụng người đó để cài đặt phần mềm độc hại hoặc truy cập thông tin mật của khách hàng. Sử dụng chiến lược này sẽ giúp tổ chức đạt được mức an toàn cao hơn khi đáp ứng được các quy định và tiêu chuẩn phù hợp hơn.
Kết luận
Trong kỷ nguyên công nghệ hiện nay, ảo hóa và điện toán đám mây đang dần trở nên phổ biến và là thành phần quan trọng đối với các tổ chức, doanh nghiệp. Việc bảo vệ các cơ sở hạ tầng ảo đã trở nên cần thiết hơn bao giờ hết. Đối với các tổ chức sử dụng ảo hóa, để thành công trong lĩnh vực này, trước tiên cần nghiên cứu áp dụng cả ba vẫn đề đã đề cập ở trên: bảo vệ mạng, bảo vệ ổ đĩa và bảo vệ tài nguyên máy tính. Điều này sẽ mang đến một tương lai an toàn hơn cho ảo hóa.
Theo ước tính của Cisco Global Cloud, vào năm 2019, khoảng 86% khối lượng công việc sẽ được xử lý bởi các trung tâm dữ liệu đám mây (ảo). Do vậy, vấn đề an toàn cho các trung tâm dữ liệu này luôn là một khía cạnh quan trọng, quyết định sự thành công của quá trình ứng dụng công nghệ thông tin. Tuy nhiên, do sự tăng trưởng đáng kinh ngạc của không gian mạng và các tấn công đám mây ngày càng phát triển, nên giờ đây an toàn đã trở thành vấn đề cần quan tâm hàng đầu của các tổ chức.
An toàn cho ảo hóa được xử lý khác với bảo đảm an toàn thông tin cho các thiết bị đầu cuối truyền thống, vì môi trường ảo hóa thường xuyên thay đổi. Trước đây, các trung tâm dữ liệu thường được lưu trong một số máy chủ tĩnh cố định, ít thay đổi, vì thế việc bố trí nhân viên làm nhiệm vụ bảo đảm an toàn dữ liệu cho các máy chủ này là một biện pháp khả thi. Tuy nhiên, ngày nay các trung tâm dữ liệu ảo luôn thay đổi một cách linh hoạt, các máy ảo (VM) mới thường xuyên được tạo ra để thay thế máy cũ và việc triển khai các máy tính ảo (VDI) đang ngày càng phát triển.
Ảo hóa cung cấp khả năng linh hoạt và tính sẵn sàng cao, nhưng cần phải xây dựng nó thành một môi trường an toàn và có quy tắc. Các máy ảo được thay đổi liên tục, chúng có thể được nhân bản từ một thư viện các máy ảo ẩn và chưa được cập nhật nào trong thời gian dài, hoặc thậm chí được triển khai bởi người dùng cuối mà không cần sự can thiệp của người quản trị đám mây. Do đó, để đảm bảo an toàn, chúng cần phải được cập nhật thường xuyên để có thể chủ động đối phó khi gặp sự cố.
Xây dựng kế hoạch cho an toàn ảo hóa
An toàn ảo hóa cũng quan trọng như cho các thành phần vật lý cần bảo vệ trong môi trường của các tổ chức. Mỗi tổ chức cần có sự chủ động để chống lại được các cuộc tấn công có chủ đích. Họ sẽ chịu nhiều thiệt hại nếu họ chậm phát hiện các cuộc tấn công này, vì khi đó sẽ làm mất dữ liệu và sự tin cậy của khách hàng. Ngày nay, các tổ chức, doanh nghiệp cần phải chấp nhận thực tế không mong muốn là, hệ thống thông tin luôn phải chịu sự xâm nhập của các mã độc. Để bảo đảm an toàn trước các nguy cơ này, cần có những cách thức giải quyết mới, có cơ chế giám sát thích hợp và các hành động ưu tiên để theo kịp các mối đe dọa luôn thay đổi.
Bên cạnh đó, các tổ chức vẫn phải tiếp tục duy trì các hoạt động an toàn truyền thống ở mức tốt nhất, như an toàn vật lý, duy trì hệ thống quản lý mật khẩu, chống virus.... Ngoài ra, cần có thêm các hoạt động an toàn cho ảo hóa, như phát hiện xâm nhập và phân tích bất thường của mạng, biện pháp bảo đảm an toàn cho trung tâm dữ liệu và cần được kiểm soát bởi cơ quan quản lý và giám sát các máy ảo của tổ chức. Trong thực tế, nhiều tổ chức vẫn sử dụng nhân viên làm nhiệm vụ bảo đảm an toàn dữ liệu (thường là người dùng cuối của mỗi máy ảo) để quét đĩa, nhận dạng virus... nhưng, việc này không được thực hiện một cách thường xuyên. Nhân viên này cần có một giải pháp tập trung để bảo vệ mọi tài nguyên ảo hóa, bao gồm cả các mạng ảo, ổ đĩa, bộ nhớ, CPU và phải thường xuyên kiểm tra việc thực hiện các công việc này. Cuối cùng, vì mỗi máy ảo có một cấu trúc khác nhau nên mỗi tổ chức cần chọn một giải pháp đã được tối ưu hóa cho nền tảng của mình để giảm chi phí hoạt động trên các nền tảng khác nhau, từ đó giảm các chi phí hoạt động trên các hệ thống an toàn.
Bảo vệ mạng
Lớp đầu tiên cần bảo vệ trong an toàn ảo hóa chính là bảo vệ hệ thống mạng thông qua một tường lửa, vì đây chính là biện pháp tốt nhất để tránh các mối đe dọa bên ngoài xâm nhập vào máy ảo. Cách thức cấu hình tường lửa ảo dựa trên các máy chủ tập trung có thể sẽ chặn được các gói tin trước khi chúng vào máy ảo, từ đó thiết lập các chính sách để tự động bảo vệ. Hơn nữa, ngay khi máy ảo mới được triển khai trên máy chủ này, nó cũng sẽ hoạt động phía sau tường lửa và sẽ được bảo vệ kịp thời. Điều này cho phép tổ chức có thể áp dụng giải pháp agentless (là một giải pháp an toàn ảo hóa cung cấp lợi thế lớn về hiệu suất cho máy ảo bằng cách chuyển đổi toàn bộ các hoạt động an toàn cho các máy ảo sang điều khiển từ xa bởi một thiết bị ảo chuyên dụng) và các giải pháp mở rộng khác.
Tiếp theo, các tổ chức cần giám sát các mạng ảo của mình để đảm bảo rằng, virus và phần mềm độc hại khác không thể lây lan trong đó. Nếu không giám sát và phát hiện kịp thời, các loại virus này có thể dễ dàng được chuyển từ máy ảo này đến một máy ảo khác trên cùng một máy chủ thông qua mạng ảo, hay bất kỳ tập tin nào được máy chủ chia sẻ. Một trong những hạn chế của các thiết bị hay công cụ an toàn mạng truyền thống là chúng chỉ quét các mạng vật lý, vì vậy, nhiều công cụ trong số đó có các “điểm mù” và có thể bị qua mặt khi các dữ liệu được truyền qua các mạng ảo trong cùng một máy chủ.
Đây đồng thời cũng là giải pháp thực tiễn tốt nhất để có thể xây dựng hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) hoặc hệ thống phòng chống xâm nhập (Intrusion Prevention System - IPS) trên mạng để có thể đảm bảo việc truy cập các gói tin nội bộ không bị gián đoạn. Nếu có điều gì bất thường trong môi trường này, hệ thống IDS dựa trên chữ ký số sẽ ngay lập tức cảnh báo về các hoạt động này và tìm cách giải quyết chúng. Chức năng dự đoán bất thường của mạng thường được nhà cung cấp thiết lập sẵn, chúng có thể nhận biết được mô hình, lưu lượng cơ sở dữ liệu, tiêu chuẩn dựa trên thời gian trong ngày, nơi nhận hay các giao thức... và cảnh báo cho tổ chức khi có sự bất thường xảy ra. Nhưng các tổ chức cũng cần tùy chỉnh các giải pháp giám sát mạng cho phù hợp với môi trường của tổ chức mình để xác định được các cuộc tấn công tiên tiến trên hệ thống khi mà chữ ký chưa được tích hợp sẵn trong hệ thống IDS chuẩn.
Bảo vệ ổ đĩa
Lớp bảo vệ thứ hai là bảo vệ ổ đĩa. Nhiều tổ chức sẽ quét virus lần đầu tiên khi các tập tin được ghi vào đĩa, nhưng phương pháp này thường bỏ qua các mối đe dọa mới mà các phần mềm diệt virus chưa phát hiện được. Do đó, điều quan trọng là phải có một chính sách tự động và thường xuyên quét các ổ đĩa. Tuy nhiên, thách thức lớn nhất trong việc này chính là hiệu suất, khi máy chủ vận hành thường sẽ chạy hết công suất, vì thế việc nhiều ổ đĩa đồng thời được quét virus sẽ gây ra vấn đề “bão quét”.
Việc “bão quét” này làm trì trệ hiệu suất của hệ thống một cách đáng kể trên mỗi máy chủ, làm giảm tốc độ xử lý các máy ảo trong khi chúng đang phải cố gắng tối ưu bộ nhớ, CPU, băng thông mạng và sử dụng các ổ đĩa. Để khắc phục điều này, bộ phận an toàn thông tin của tổ chức có thể sắp xếp thứ tự quét cho các ổ đĩa, hoặc tìm một giải pháp tối ưu cho môi trường ảo hóa mà đã được công nhận, như sử dụng công nghệ theo dõi sự thay đổi khối (change block tracking - CBT), để chỉ quét các phần đĩa đang hoạt động. Bằng cách này, các hoạt động của hệ thống sẽ diễn ra nhanh hơn và có thể đảm bảo được hiệu suất. Điều này cũng cho phép một số cơ sở dữ liệu có thể chạy trực tiếp trên máy ảo của mỗi máy chủ và có thể giúp giảm chi phí tổng thể cho tổ chức.
Bảo vệ các tài nguyên máy tính
Các mối đe dọa cho máy ảo có rất nhiều dạng khác nhau, chúng có thể chọn mục tiêu là chu kỳ tiêu thụ bộ nhớ hoặc CPU để làm chậm các máy ảo. Một trong những phương pháp tốt nhất để phòng chống điều này là áp dụng lớp bảo vệ thứ ba, bảo vệ các tài nguyên máy tính. Điều này sẽ cho phép điều tiết nguồn tài nguyên (hay còn gọi là chất lượng dịch vụ) để đảm bảo mỗi máy ảo có một nguồn tài nguyên tích lũy được cung cấp bởi máy tính khi vận hành. Nhưng sự điều tiết này không được vượt quá mức tối đa cho phép để không làm ảnh hưởng đến hiệu suất của các máy ảo khác trên cùng máy chủ.
Giải pháp thực tiễn tốt nhất hiện nay là sử dụng giải pháp agentless nêu trên, khi đó sẽ không phải cài đặt bất cứ thứ gì bên trong máy ảo. Điều này không chỉ giúp các máy ảo tiêu thụ ít tài nguyên hơn mà còn giúp loại bỏ nguy cơ tiêm virus vào bộ nhớ máy ảo khi nó đang khởi động. Hơn nữa, tổ chức cũng sẽ không cần sử dụng một người quản trị để quản lý việc truy cập hệ thống quản lý khách hàng, ngăn ngừa được khả năng tin tặc có thể lợi dụng người đó để cài đặt phần mềm độc hại hoặc truy cập thông tin mật của khách hàng. Sử dụng chiến lược này sẽ giúp tổ chức đạt được mức an toàn cao hơn khi đáp ứng được các quy định và tiêu chuẩn phù hợp hơn.
Kết luận
Trong kỷ nguyên công nghệ hiện nay, ảo hóa và điện toán đám mây đang dần trở nên phổ biến và là thành phần quan trọng đối với các tổ chức, doanh nghiệp. Việc bảo vệ các cơ sở hạ tầng ảo đã trở nên cần thiết hơn bao giờ hết. Đối với các tổ chức sử dụng ảo hóa, để thành công trong lĩnh vực này, trước tiên cần nghiên cứu áp dụng cả ba vẫn đề đã đề cập ở trên: bảo vệ mạng, bảo vệ ổ đĩa và bảo vệ tài nguyên máy tính. Điều này sẽ mang đến một tương lai an toàn hơn cho ảo hóa.
Nhật Minh lược dịch (Từ “Cybersecurity: Best Practices for Virtualization” - Symon Perriman, Tạp chí CyberDefense số 1/2016)