Tiểu luận Giải pháp nâng cao an toàn, an ninh thông tin tại trung tâm dữ liệu thành phố Đà Nẵng

Tóm lại, phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận lợi cho đời sống xã hội, bên cạnh những thuận lợi, cũng có nhiều khó khăn để tìm ra giải pháp bảo mật thông tin dữ liệu. 1.2.2. Một số khái niệm về An ninh thông tin a. Đối tượng tấn công mạng: Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các đối tượng tấn công mạng: - Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống. - Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng - Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin. b. Các lỗ hổng trong bảo mật: Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập trái phép vào hệ thống. Thông thường các loại lỗ hổng được phân làm ba loại như sau: - Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá huỷ toàn bộ hệ thống. Lỗ hổng này thường có ở những hệ thống được quản trị yếu, không kiểm soát được cấu hình mạng máy tính. - Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ lọt thông tin. - Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đoạt được quyền truy cập hệ thống. c. Các hình thức tấn công mạng phổ biến: - Scanner: Là một chương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc ở xa. - Password Cracker: Là một chương trình có khả năng giải mã mật khẩu đã được mã hoá hoặc vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. - Sniffer: Là các công cụ bắt các thông tin trao đổi trên mạng máy tính. - Trojans: Là một chương trình thực hiện không hợp lệ được cài đặt trên một hệ thống. d. Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. Giải pháp nâng cao an toàn, an ninh thông tin Việc đảm bảo an ninh an toàn cho Trung tâm dữ liệu có ba giải pháp chủ yếu sau: - Giải pháp về phần cứng. - Giải pháp về phần mềm. - Giải pháp về con người. Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, thiết lập trong mô hình mạng... Giải pháp phần cứng thông thường đi kèm là hệ thống phần mềm điều khiển tương ứng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Như các giải pháp: xác thực, mã hoá dữ liệu, mạng riêng ảo, hệ thống tường lửa... Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố con người, do vậy cần phải đẩy mạnh công tác đào tạo, chế tài để định hướng người sử dụng trong khai thác, sử dụng thông tin. Chương 2 TÌM HIỂU VỀ TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG Trung tâm dữ liệu thành phố Đà Nẵng được xây dựng theo quyết định số 5180/QĐ-UBND ngày 28/6/2012 của UBND thành phố Đà Nẵng và được khánh thành đưa vào sử dụng từ tháng 8 năm 2013. Trung tâm dữ liệu hiện được đặt tại tầng 19, tòa số 02 Quang Trung thuộc Công viên phần mềm Đà Nẵng. Trung tâm dữ liệu Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế, với hạ tầng kỹ thuật hiện đại. Đây là Bộ não của toàn bộ hệ thống CNTT, là trung tâm tính toán, lưu trữ phục vụ cho các cơ quan tại Thành Phố Đà Nẵng. Nền tảng để triển khai các ứng dụng của Chính Quyền Điện Tử của Thành phố trên nền điện toán đám mây. Trung tâm dữ liệu trở thành một thành phần quan trọng trong hệ thống Egovernment trong việc chuyển tải thông tin tới người dân nhanh hơn, an toàn hơn, tiết kiệm hơn, giảm thiểu chi phí quản lý và điều hành cho các đơn vị. Là điểm trung gian giữa khối doanh nghiệp và chính phủ, cho phép các doanh nghiệp/tổ chức lưu trữ và triển khai các ứng dụng trên một hạ tầng chung nhằm đơn giản việc quản trị và tối ưu hóa được tài nguyên sử dụng. Bên cạnh đó, trung tâm dữ liệu cũng tạo điều kiện thuận lợi nhất cho việc triển khai hạ tầng, dịch vụ, ứng dụng như: Kho dữ liệu tập trung, Lưu trữ an toàn, triển khai dịch vụ trực tuyến, cổng thông tin điện tử cho người dân. Hình 1. Mô hình bố trí các khối chức năng tại TTDL Thành phố Đà Nẵng Với mô hình như trên, Trung tâm dữu liẹu Đà Nẵng được phân chia thành 8 khu vực với các chức năng khác nhau: 1. Entrance Room: là nơi tập trung toàn bộ các kết nối từ nhà cung cấp dịch vụ, đối tác. Tại đây được thiết kế đặt các Open RACK chủ yếu thực hiện đấu nối thiết bị. 2. MAN Room: Phòng Metropolitan Area Network (MAN) là nơi phục vụ riêng các kết nối từ MAN vào trung tâm dữ liệu. Toàn bộ các thao tác trong hệ thống mạng MAN không ảnh hưởng tới các kết nối tại Trung tâm dữ liệu. 3. Server Room : Đây là nơi chứa toàn bộ hệ thống Server được đầu tư trong giai đoạn này. Tổng dung lượng cho phép chứa tối thiểu 20 tủ RACK và 5 tủ Open RACK. 4. UPS Room: là nơi chứa hệ thống tủ UPScung cấp điện dự phòng cho Trung tâm dữ liệu 5. CRAC Room: là nơi chứa hệ thống Điều hòa chính xác cho toàn bộ trung tâm dữ liệu, cho phép đặt tối đa 6 điều hòa. 6. Staging Room: là phòng có chức năng kiểm nghiệm những thiết bị mới, các dịch vụ mới trước khi đưa vào sử dụng tại trung tâm dữ liệu. . NOC Room: là phòng giám sát, điều khiển mọi hoạt động tại Trung tâm dữ liệu. 2.1. Hạ tầng kỹ thuật của Trung tâm dữ liệu Đà Nẵng Trung tâm dữ liệu đặt tại Công viên Phần mềm Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế của TIA như TIA942, ANSI/TIA/EIA-568-B.1, ANSI/TIA/EIA-568-B.2, ANSI/TIA/EIA-J-STD-067, ASHRAE, IEEE STD 1100-1999, và tiêu chuẩn của Bộ Thông tin và Truyền thông về Trung tâm dữ liệu; đồng thời tuân theo các tiêu chuẩn nghiêm ngặt về xây dựng, điện, điều hòa chính xác, sàn nâng, các hệ thống phòng cháy chữa cháy, camera an ninh, hệ thống Công nghệ thông tin đảm bảo các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao. Hạ tầng kỹ thuật của Trung tâm dữ liệu bao gồm: - Hạ tầng truyền dẫn nội bộ mạng và năng lực đường truyền Internet - Hệ thống nguồn điện, máy phát, UPS: cung cấp điện dự phòng đảm bảo hệ thống hoạt động liên tục thông suốt. - Hệ thống điều hòa chính xác: Giữ nhiệt độ bên trong Trung tâm dữ liệu luôn đạt 23 độ C và độ ẩm là 45 phần trăm. - Hệ thống kiểm soát truy cập: giám sát mọi hoạt động xảy ra tại Trung tâm dữu liệu. - Hệ thống máy chủ - Hệ thống lưu trữ: Sử dụng hệ thống lưu trữ chuyên dụng, bảo đảm dữ liệu được lưu trữ dự phòng Hình 2: Hạ tầng truyền dẫn của Trung tâm dữ liệu Đà Nẵng Hệ thống nguồn điện, máy phát, UPS, và điều hòa: Hệ thống điện, máy phát, và UPS đạt các tiêu chuẩn quốc tế về DC, bảo đảm độ ổn cho việc cấp điện và đảm bảo tải trong Trung tâm dữ liệu. Để duy trì chất lượng và độ sẵn sàng của các nguồn cung cấp năng lượng, điện áp đầu vào được cung cấp bởi 2 nguồn là điện lưới và máy phát, được duy trì với +/- 5% so với điện áp đánh giá và tần số sẽ không biến động nhiều hơn +/- 1Hz. UPS đảm bảo hệ thống trong vòng 15 phút hoạt động đủ tải và công suất đạt 80%, thời gian đó cũng đủ đảm bảo an toàn tuyệt đối hệ thống đối với các sự cố về điện. Hệ thống điều hòa chính xác được thiết kế dự phòng năng lực và khả năng mở rộng cao để phù hợp với sự tăng trưởng thiết bị CNTT. Tổng công suất của hệ thống điều hòa lên đến 144.8 kW với cơ chế dự phòng 1+1 đảm bảo môi trường ổn định cho các thiết bị hoạt động. Hệ thống kiểm soát truy cập và giám sát: Hệ thống kiểm soát truy cập được thực hiện thông qua cơ chế nhận dạng vân tay. Các camera giám sát được lắp đặt với độ phân giải cao, khả năng zoom lên đến 27X giám sát toàn bộ hoạt động của DC. Ngoài ra còn có các hệ thống giám sát, cảnh báo nhiệt độ, mức rò rỉ nước, và các KVM (Keyboard Video Mouse) để truy cập đến các máy chủ. Đường truyền Internet: Hệ thống đường truyền Internet với băng thông lớn, với khả năng mở rộng dung lượng linh hoạt lên đến hàng GB đường truyền trong nước và hàng trăm MB quốc tế ... Các đường truyền đều hoạt động đồng thời theo chế độ phân tải (Load Balancing) để đảm bảo khai thác các tài nguyên đường truyền và phục vụ dự phòng khi có ít hơn 3 đường truyền bị sự cố. Cơ chế dự phòng được thực hiện tự động để bảo đảm hệ thống luôn trong suốt đối với người dùng khi sự cố đường truyền xảy ra. Ngoài ra, hệ thống Internet tại Công viên Phần mềm đóng vai trò như một ISP với số AS number public và dải tài nguyên về IP public phong phú, chạy các giao thức định tuyến động trong đó có eBGP liên kết với các nhà mạng khác như VDC, FPT. Băng thông nội mạng: Hệ thống mạng nội bộ giữa các máy chủ được truy cập thông qua chuẩn CAT6 đạt dung lượng băng thông 1Gb. Đảm bảo băng thông liên lạc giữa các máy chủ với nhau trong hệ thống Data Center. Các đường truyền vật lý giữa các thiết bị lõi như router, core switch, access switch, firewall đều được thiết kế và xây dựng đạt chuẩn kết nối 10Gb. Một số kết nối quan trọng lên đến tối đa 20Gb băng thông rộng, đảm bảo không xảy ra các vấn đề về thắt cổ chai. Năng lực định tuyến và chuyển mạch: Hệ thống router định tuyến và core switch chuyển mạch đều có thiết bị dự phòng hoạt động ở chế độ active-active thực hiện chức năng phân chia tải và tăng độ sẵn sàng đáp ứng của hệ thống. Ngoài ra, các kết nối mạng quan trọng như giữa các core switch và internal firewall, external firewall đều được thiết kế dạng full-mesh, đảm bảo khai thác đường truyền 20GB và cơ chế dự phòng, phân tải cao.Trong đó, đặc biệt quan trọng là hệ thống core switch chuyển mạch được thiết kế riêng cho DC với tốc độ cao, lên đến 4.1 Tbps. Tại các phân hệ access cũng được thiết kế bởi các switch dòng Cisco Nexus chuyên dụng với kết nối 10 GB đến mỗi access switch. Tại mỗi access switches được phân thành các phân vùng phục vụ cho các mục đích khác nhau như Application Zone, Secured Zone, Test & Development Zone, Management Zone. Hệ thống máy chủ: Hệ thống máy chủ cung cấp dịch vụ của Trung tâm dữ liệu với số lượng lớn, khả năng mở rộng dễ dàng và không giới hạn về số lượng máy chủ. Hiện tại các máy chủ dạng phiến chiếm 60% tổng số máy chủ. Các máy chủ này có năng lực xử lý mạnh, có khả năng cung cấp hàng ngàn máy ảo với các cấu hình khác nhau, đảm bảo được yêu cầu sử dụng của người dùng. Tổng dung lượng memory (RAM) hiện nay của DC gần 2.000GB với số lượng cores vật lý lên đến gần 700 cores, khả năng mở rộng cho hệ thống máy chủ cho hệ thống máy chủ hiện tại lên đến hơn 150 TB Memory, đảm bảo khả năng mở rộng năng lực cho các máy ảo cũng như tăng số lượng máy ảo. Với hệ thống máy chủ thế hệ mới nên việc nâng cấp lượng máy chủ vật lý cũng rất linh hoạt, không giới hạn số lượng. Hệ thống lưu trữ: Hệ thống lưu trữ tập trung SAN tại trung tâm dữ liệu được thiết kế với giải pháp SAN của Hitachi sử dụng các tủ đĩa VSP, đảm bảo năng lực lưu trữ cho hệ thống ảo, hỗ trợ nâng cao tính sẵn sàng. Năng lực hiện nay của hệ thống lưu trữ là 100 TB với khả năng mở rộng lên đến hơn 2.000 TB, đảm bảo được năng lực lưu trữ cho sự phát triển nhanh chóng của dữ liệu trong tương lai. Hình 3: Hệ thống lưu trữ của Trung tâm dữ liệu Đà Nẵng Nền tảng lưu trữ ảo Hitachi là cấu trúc lưu trữ duy nhất có quy mô ba chiều, đạt được hiệu suất, công suất và tận dụng được bộ lưu trữ đa phân phối. Khả năng di chuyển dữ liệu cũng giảm tối đa các trường hợp ngừng hoạt động do sụt tải. Tầng động cấp độ trang (page-level) tự động hoá sự di chuyển của các dữ liệu theo trang tới các phương tiện lưu trữ thích hợp nhất để đơn giản hoá và tối ưu hoá giá thành và hiệu suất của tầng. Tính sẵn sàng (Availability): có khả năng chịu lỗi về quạt, nguồn, RAID, đảm bảo storage luôn sẵn sàng cho những sự cố thảm họa. Tính linh hoạt (Flexibility): hệ thống được nâng cấp dung lượng lưu trữ hoàn toàn dễ dàng và được thực hiện ngay khi hệ thống đang chạy, hoàn toàn không ảnh hưởng đến các công việc khác và trong suốt đối với người dùng. Tiết kiệm các chi phi về điện, cho hiệu suất cao, các tủ đĩa VSP là sản phẩm có mật độ lưu trữ cao nhất hiện nay với lượng tiêu thụ điện thấp hơn 30% cùng khả năng lưu trữ lớn. Phần mềm quản lý Bộ điều khiển Hitachi - Hitachi Command Suite kết hợp chặt chẽ với phần cứng cho phép dễ dàng thay đổi quy mô một số lượng lớn các máy ảo và quản lý các cơ sở hạ tầng lớn và triển khai các ứng dụng, giúp tối đa hoá ứng dụng thiết bị CNTT trong các cơ sở hạ tầng phức tạp.Thông qua cách quản trị ba chiều, bộ điều khiển Hitachi giúp người dùng giảm chi phí và có thể quản lý mọi dạng dữ liệu. 2.2. Hạ tầng an ninh thông tin của Trung tâm dữ liệu Hệ thống quản trị và an ninh: Các hệ thống quản trị và an ninh trong Data Center quản trị toàn bộ các thiết bị mạng trong hệ thống được thiết kế và xây dựng theo tiêu chuẩn ISO/IEC 7498-4 đảm bảo được 5 tiêu chí: - Fault Management: khả năng phát hiện lỗi; - Configuration management: quản lý và theo dõi từ xa việc cấu hình toàn bộ thiết bị; - Accounting management: quản lý việc sử dụng tài nguyên mạng; - Performance management: quản lý năng lực, hiệu suất của từng thiết bị mạng và toàn hệ thống mạng; - Security management: đảm bảo an ninh mạng thông qua các cơ chế bảo mật, chính sách an ninh, đồng thời ghi lại toàn bộ diễn biến hệ thống (Logging). Hệ thống tường lửa (Firewall): Hệ thống Firewall trong Trung tâm dữ liệu bao gồm Internal Firewall và External Firewall với 2 thiết bị mỗi loại hoạt động theo cơ chế active - active để chia tải và nâng cao độ sẵn sàng, tổng khả năng xử lý lên đến 20Gb. Đây là loại firewall tích hợp IPS để bảo vệ các ứng dụng với cơ chế điều khiển luồng input, output và truy cập ứng dụng. Firewall sẽ tiến hành chặn các truy cập trái phép, tấn công DoS, DDoS thông qua chính sách của firewall và các mẫu signature trong tính năng IPS. Hình 4. Hạ tầng an ninh thông tin tại Trung tâm dữ liệu Đà Nẵng Hệ thống chống thâm nhập (IPS): Hệ thống IPS sử dụng giải pháp Juniper IDP 8200 được đặt nằm giữa External Firewall và Internet Router và triển khai ở chế độ Inline. Hệ thống sẽ làm nhiệm vụ phát hiện các traffic nguy hiểm, đưa ra các cảnh báo đồng thời loại bỏ gói tin và đánh dấu luồng traffic đó là xấu. Các gói tin của cùng phiên kết nối sau đó sẽ tự động bị loại bỏ khi đến hệ thống IPS. Do đó, ngay khi các gói tin độc hại bị phát hiện và trước khi chúng có khả năng gây ảnh hưởng tới hệ thống, các gói tin này sẽ bị loại bỏ ngay lập tức. Với khả năng xử lý lên đến 10Gb và 5.000.000 sessions, hệ thống IPS đảm bảo được khả năng chịu tải và những cuộc tấn công gây đột biến băng thông như DDoS. Cũng giống như tính năng IPS tích hợp trong firewall, Juniper IDP 8200 chuyên dụng hơn và thực hiện các cơ chế bảo mật, truy cản trái phép thông qua các signature được update tự động. Hệ thống IPS có thể kiểm tra tất cả các gói tin từ các nguồn bao gồm từ Internet cho đến các kết nối của người dùng từ xa thông qua VPN, người dùng trong hệ thống DC, hay phân vùng DMZ. Phần mềm an ninh: Hệ thống máy chủ vật lý trong Data Center đều được cài đặt phần mềm an ninh với các tính năng bảo mật theo thời gian thực và nhiều ưu điểm như: - Chống Virus, malware, ngăn chặn các phần mềm độc hại; tường lửa mềm - đóng vai trò là một stateful firewall, đảm bảo được một số tính năng như chống DDoS, các truy cập trái phép; tính năng IDS/IPS; - Hệ thống bảo mật email: Hệ thống bảo mật email đảm bảo an ninh cho các đe dọa đến từ email như: email phát tán Spyware, viruses, các mối đe dọa từ bên ngoài, mã độc và email spam có thể làm gián đoạn hoạt động của hệ thống. Trung tâm dữ liệu sử dụng Mail Security Gateway với giải pháp của Trend Micro, hoạt động như một MTA (Mail Tranfer Agent), để theo dõi hoạt động của ứng dụng dựa trên giao thức Simple Mail Transfer Protocol (SMTP); - Hệ thống bảo mật web: Hệ thống bảo mật web trong trung tâm dữ liệu được thiết kế bởi giải pháp của Trend Micro bảo đảm an ninh cho các máy chủ web với môi trường Internet. Trong đó chú trọng đến tính năng về Malware Content Filtering để kiểm tra dữ liệu, phát hiện virus, malware, spyware trên luồng dữ liệu giao thức web (http, https) vào ra hệ thống. Đồng thời cũng hỗ trợ việc quản lý, thống kê, báo cáo cho các tham số liên quan như băng thông sử dụng, các URL được truy cập hay bị chặn nhiều nhất, - Hệ thống chống DDoS: Khi các phương thức khai thác lỗi không còn hiệu quả bởi việc ngăn chặn xâm nhập và phá hoại của các thiết bị và phần mềm an ninh, tấn công từ chối dịch vụ (DoS, DDoS) là một trong những phương thức phổ biến của các hackers. Chương 3 GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG Với sự phát triển nhanh chóng của ngành công nghệ thông ngày nay, việc đảm bảo an toàn thông tin được coi là nhiệm vụ đặc biệt quan trọng và sẽ trở thành ngành có nhu cầu nhân lực rất lớn trong tương lai. Đảm bảo an toàn thông tin không chỉ là việc bảo vệ hệ thống khỏi những tấn công của hacker, mà còn là đảm bảo các gói tin chạy an toàn, không mất mát khi truyền dữ liệu. Để nâng cao an toàn an ninh thông tin cho hệ thống công nghệ thông tin nói chung và Trung tâm dữu liệu nói riêng cần phải kết hợp đồng bộ nhiều giải pháp về phần cứng, phần mềm, đặc biệt là yếu tố con người và cơ chế chính sách. Trung tâm dữ liệu thành phố Đà Nẵng là Trung tâm dữ liệu hiện đại, đáp ứng các tiêu chuẩn của Bộ thông tin truyền thông, phục vụ quá trình xây dựng Chính quyền điện tử của thành phố. Do đó, yếu tố an toàn, an ninh thông tin đã được xem xét trước khi xây dựng Trung tâm dữ liệu. Trong khuôn khổ tiểu luận này, học viên chỉ xin phép đề xuất các giải pháp nhằm nâng cao hơn nữa công tác an toàn an ninh thông tin cho Trung tâm dữ liệu thành phố Đà Nẵng. 3.1. Giải pháp bổ sung thiết bị an ninh thông tin 3.1.1. Một số tồn tại trong mô hình mạng tại Trung tâm dữ liệu: Mô hình mạng trung tâm dữ liệu Thành phố Đà Nẵng được thiết kế bao gồm hai Module chính: Module Internet, Module Data Center. Hình 5. Sơ đồ hiện trạng Module Internet Module Internet: Là module kết nối internet, Module này cung cấp dịch vụ truy cập Internet cho Hệ thống Server ứng dụng cũng như người sử dụng. Chi tiết mô hình thiết kế của Module Internet : Sử dụng 2 thiết bị Router kết nối tới 2 nhà cung cấp dịch vụ Sử dụng thiết bị IPS của Junipe và Firewall Cisco Sử dụng giao thức định tuyến BGP (Border Gateway Protocal) Một số tồn tại đối với Module Internet: Firewall hay IPS đang sử dụng chỉ hoạt động dựa trên mô hình phòng thủ bị động – Tức là các thiết bị bảo mật này sẽ được hoạt động theo các chính sách mà người quản trị đã định nghĩa từ trước. Khi có sự thay đổi trong hệ thống, thiết bị không thể tự điều chỉnh lại các chính sách, mà khi đó người quản trị sẽ phải theo dõi, phân tích lại các ứng dụng, các thay đổi trong hệ thốngmđể đưa ra một chính sách mới phù hợp cho các thiết bị thực thi. Ngoài ra, các giải pháp firewall và IPS không đọc và hiểu được các phiên dữ liệu SSL đã được mã hóa. Do đó, rất hạn chế trong việc chặn các tấn công được thực hiện trên phiên SSL. Trong khi SSL được ứng dụng sử dụng rộng rãi đối với các phiên làm việc an toàn. Điều này đòi hỏi phải có thiết bị chuyên dụng có khả năng kết hợp cả mô hình phòng thủ bị động dựa trên các dấu hiệu nhận biết và mô hình phòng thủ chủ động dựa trên việc học các dữ liệu ứng dụng theo thời gian thực để cho phép người quản trị phân loại dữ liệu tốt/xấu. Module Data Center Là thành phần bên trong kết nối trực tiếp đến hệ thống Server, cung cấp kết nối tốc độ cao 1Gbps/ 10Gbps cho hệ thống Server/ Blade Server ứng dụng nghiệp vụ. Hình 6. Sơ đồ kết nối Logic vùng Trung tâm dữ liệu Chi tiết mô hình thiết kế của Module Data Center bao gồm các thiết bị như sau: - Thiết bị tại lớp Core/Aggregation: là cặp thiết bị Nexus 7010 với Module F2 48 Port 10GE, đảm bảo cung cấp kết nối 10GE đến toàn bộ các phân vùng khác trong hệ thống. Thiết bị với thiết kế cấu trúc module và năng lực chuyển mạch lên đến Tetrabits cho phép chúng ta dễ dàng đầu tư mở rộng và phát triển thêm vùng mạng tại Trung tâm dữ liệu trong tương lai. - Thiết bị tại lớp Services: là cặp thiết bị Firewall Fortigate 3040B với năng lực chuyển mạch lên đến 40Gbps, tích hợp các tính năng IPS. Cho phép thiết lập chính sách truy cập mạng và giám sát phòng chống tấn công vào hệ thống. - Thiết bị tại lớp Access: Là thiết bị Nexus 2048 Fabric Extender cho phép kết nối Uplink 10GE tới lớp Core và được quản lý cấu hình tập trung tại lớp Core. Một số tồn tại đối với Module Data Center: Module Data Center được trang bị thiết bị Firewall Fortigate 3040B có năng lực xử lý lên đến 40Gbps, đảm bảo cung cấp khả năng xử lý bảo mật và thiết lập chính sách truy cập an toàn cho hệ thống. Ngoài ra thiết bị còn tích hợp sẵn tính năng IPS cho phép bảo vệ một số ứng dụng quan trọng khỏi bị tấn công từ bên ngoài. Tuy nhiên cũng như vấn đề đặt ra ở Module Internet về những thiếu sót mà IPS và Firewall chưa giải quyết được, tại lớp Services của Module DataCenter cần trang bị thêm thiết bị bảo mật chuyên dụng cho các ứng dụng, để đảm bảo yếu tố bảo mật ở mức cao nhất. 3.1.2. Đề xuất giải pháp nâng cao bảo mật cho Module Internet Để tăng cường tính bảo mật cho hệ thống, tại module internet cần trang bị thiết bị F5 Link Controller. Mô hình kết nối được thể hiện ở hình 7 Khi bổ sung thiết bị F5 Link Controler, Module ASM (Application Secuirty Module) trên thiết bị này hoạt động với cơ chế kết hợp giữa bị động và chủ động giúp phân tích lưu lượng để tự học cấu trúc của toàn bộ ứng dụng web, các URL, các tham số, các miền giá trị hợp lệ từ đó có thể phát hiện các yêu cầu hay hành động bất thường. ASM theo dõi liên tục và so sánh mọi sự thay đổi của ứng dụng web theo thời gian để từ đó giúp giám sát và phát hiện các thay đổi bất thường, ngoại lệ. Hình 7. Sơ đồ lắp đặt thiết bị F5 Link Controller Khác với chế độ so sánh mẫu bị động, nhằm phát hiện và ngăn chặn các lưu lượng vi phạm mẫu có sẵn – ngăn chặn các hành động không tấn công phổ biến, cơ chế học dữ liệu (traffic learning) cho phép ASM chủ động kiểm soát và cho phép các hành động hợp lệ được thực hiện, các hành động khác sẽ bị chặn hoặc cần sự chấp nhận của người quản trị. ASM liên tục phân tích, giám sát và học thêm để bổ sung vào hồ sơ của ứng dụng web tương ứng được bảo vệ, yêu cầu người quản trị phản hồi đối với các thay đổi, các hoạt động không bình thường và các tấn công. Hoạt động này giúp cả người quản trị và ASM tương tác, bổ sung cho nhau và cập nhật liên tục các thay đổi của đối tượng bảo vệ và các tác động vào đối tượng. Do vậy hệ thống ngày càng hoạt động chính xác và hiệu quả hơn. Việc học hỏi và đưa ra các khuyến nghị ứng dụng web còn cho phép cán bộ quản trị bảo mật và những người khác có trách nhiệm có thể dễ dàng quan sát mà không cần thiết phải là người thiết kế hoặc chuyên sâu về CNTT có cái nhìn đầy đủ, xuyên suốt về ứng dụng web, sự an toàn và theo dõi sự thay đổi của ứng dụng web, cũng như có thể làm việc nhanh chóng và tường minh với đội ngũ phát triển ứng dụng về các nguy cơ bảo mật của hệ thống. Việc điều chỉnh các tham số của việc học ứng dụng cho phép cán bộ quản trị có thể thiết lập thêm các chính sách và cơ chế cho ứng dụng web mà không cần phải viết lại ứng dụng. Đây thực sự là công cụ giúp tuỳ biến, hiệu chỉnh ứng dụng cực mạnh với phương pháp đơn giản và chi phí thấp. Ngoài ra, dựa trên các mẫu thu thập và được phân tích trên toàn cầu từ sự cung cấp và phản hồi của hàng nghìn thiết bị và hệ thống tạo ra một CSDL chứa các thông tin các địa chỉ IP nguy hiểm. Giống như hồ sơ lịch sử của các tội phạm, IP Intelligent sử dụng CSDL này để ngăn không cho các kết nối từ các nguồn, máy tính, anonymous proxy, botnets, địa chỉ nguy hiểm, có lịch sử thường hay tấn công gửi truy cập tới ứng dụng. Từ đó ngăn chặn những kẻ nguy hiểm tấn công vào hệ thống. Phương án tích hợp thiết bị vào hệ thống Trung tâm dữ liệu: Thiết bị F5 Link Controller sẽ được lắp đặt vào hệ thống theo mô hình One Arm Mode, đối với mô hình này, người dùng Internet từ bên trong trung tâm dữ liệu khi đi ra internet sẽ được thiết bị F5 lựa chọn đường kết nối ngắn nhất dựa trên các tham số về tải, tốc độ và các tham số ưu tiên khác. Mô hình logic lắp đặt như sau: Hình 8. Mô hình logic hoạt động khi trang bị thiết bị F5 Link Controller Đối với mô hình này thiết bị F5 Link Controller sẽ thực hiện vai trò giám sát và cân bằng tải các đường Internet, cung cấp khả năng khai thác tối ưu hóa đường truyền mà không gây ảnh hưởng cũng như làm thay đổi kiến trúc hiện tại. Đồng thời, ASM cũng được thiết kế chạy mô hình One Arm Mode cho phép khai thác ở nhiều phân lớp mạng khác nhau. 3.1.3. Đề xuất giải pháp nâng cao bảo mật cho Module Data Center: Giải pháp nâng cáo tính bảo mật cũng như khả năng khai thác của các ứng dụng cao nhất tại Module Data Center là trang bị thiết bị trang bị thiết bị F5 BIG-IP Switch cho module Data Center. Khi bổ sung thiết bị F5 BIG-IP Switch vào hệ thống, thành phần LTM-Local Traffic Manager thực hiện theo dõi các Server và Application trong các VLAN khác nhau để biết được trạng thái từng Server, trạng thái