Ứng dụng ACTIVE DIRECTORY CS cho doanh nghiệp

Thứ sáu, 29/4/2011 | 14:34 GMT+7
<p style="text-align: justify;">Khi nghe PKI (Public Key Infrastructure) dân IT thường nghĩ đến chứng chỉ hay mã hóa dữ liệu. Và định nghĩa đúng, đủ của PKI bao gồm một tập hợp phần cứng, phần mềm, con người, chính sách và các quy trình cần thiết để vận hành hệ thống chứng chỉ số (digital certificates).</p>
<p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">PKI tận dụng cơ chế mã hóa bất đối xứng theo dạng mã công khai (public key) và mã cá nhân (private key) kết hợp với các thuật toán hash hay MD-5. Nguy cơ dữ liệu mã hóa bị phá vỡ hầu như là bất khả thi vì cần rất nhiều thời gian để giải mã dữ liệu. Chẳng hạn khi áp dụng PKI SSL vào mã hóa dữ liệu thẻ tín dụng được truyền qua internet thì dù hacker có copy được dữ liệu cũng phải mất cả 1000 năm để giải mã trong khi thời hạn của thẻ tín dụng chỉ khoảng 2-3 năm. Do đó ngày nay PKI được ứng dụng rộng rãi trong vấn để bảo mật dữ liệu&#160; cho cả trong mạng nội bộ nơi kết nối an toàn và được kiểm soát bởi IT lẫn kết nối không tin cậy trên internet. Thành phần phần mềm đóng vai trò cung cấp quản lý chứng chỉ số được gọi là CA (Certificate Authority). CA Server sẽ cung cấp chứng chỉ (certificate) cho người dùng cuối, máy tính hay thiết bị. </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><strong><span style="font-size: small;">Lựa chọn mô hình PKI cho doanh nghiệp</span></strong></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">Để ứng dụng chứng chỉ số, doanh nghiệp có thể chọn lựa CA nội bộ hoặc sử dụng dịch vụ của đối tác thứ ba như Verisign chẳng hạn. Sử dụng một trong hai hình thức đều có điểm mạnh yếu khác nhau. Các chứng chỉ nội bội CA để mã hóa SSL cho website hay làm chữ kí điện tử sẽ không được người dùng ngoài mạng tin tưởng. Trường hợp này, nên dùng chứng chỉ được cấp bởi đối tác thứ 3, được tin cậy bởi tất cả tổ chức. Ngược lại để ứng dụng mã hóa dữ liệu, truy cập VPN hay đăng nhập máy tính bằng SmartCard hiện thời doanh nghiệp đầu tư ngân sách khá cao để mua chứng chỉ cho từng nhân viên, và phải tái đầu tư khi chứng chỉ đáo hạn. “Khoản ngân sách này sẽ được giảm đi&#160; đáng kể khi mã hóa dữ liệu trong nội bộ nếu doanh nghiệp sử dụng CA nội bộ, đặc biệt là CA nội bộ trên nền tảng Windows Server 2008 R2 có&#160; tên gọi là Active Directory Certificate Services (ADCS)”, bà Lê Thu Hằng, Phó giám đốc trung tâm Tích hợp hệ thống CMC nhận xét.&#160; Để sử dụng ADCS hiệu quả doanh nghiệp cần đầu tư máy chủ sử dụng phiên bản Windows Server 2008 R2 Enterprise. Ngoài ra ADCS có thể được triển khai ở dạng đôc lập (standalone CA) không nằm trong domain hoặc dạng tích hợp (Enterprise CA). Tuy nhiên ADCS ở dạng độc lập sẽ không thể cung cấp chứng chỉ tự động cho phía đầu cuối thông qua Group Policy AD cũng như không tận dụng được các template chứng nhận tạo sẵn. Chưa kể nếu dùng Enterprise CA doanh nghiệp có thể áp dụng hình thức xác thực và đăng nhập máy tính bằng Smartcard.&#160; </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">“Đối với mô hình của doanh nghiệp vừa và nhỏ, ta có thể sử dụng ngay máy chủ Domain Controller để làm CA Server. Tuy nhiên với doanh nghiệp lớn để đảm bảo yếu tố an toàn, nên phân cách máy chủ CA gốc (Root CA) cần được bảo vệ tối đa vìđóng vai trò xác định độ tin cậy của chứng chỉ được cấp phát trên toàn hệ thống,&#160; với máy chủ CA nhánh (Sub CA) là máy đóng vai trò cung cấp chính sách và phân phối chứng chỉ”, Ông Nguyễn Vũ Cao Sơn, chuyên viên giải pháp Microsoft Việt Nam chia sẻ. Trong mô hình này Root CA sẽ được triển khai ở dạng Standalone không thuộc AD domain của doanh nghiệp và sau khi thiết lập sẽ được đặt ở chế độ offline và được bảo vệ về mặt truy cập vật lý cao nhất, giả sử như với các trường hợp cần truy cập bằng smartcard. Các máy chủ Sub CA sẽ đóng vai trò cung cấp và quản lý chứng chỉ cho toàn hệ thống. Để đảm bảo tính sẵn sàng doanh nghiệp có thể xây dựng nhiều máy chủ CA khác nhau.</span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><img height="334" width="429" alt="" src="/UserFile/Files/ICON2021/CMSUpload/2011/4/Nha Tai tro/Hinh1- Mo hinh ung dung CA.JPG" /><br /> &#160;<br /> Hình 1: Mô hình ứng dụng CA nội bộ theo 2 cấp.</span></span><span style="font-size: small;"><br /> </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><strong><span style="font-size: small;">ADCS là nền tảng an toàn thông tin cho doanh nghiệp</span></strong></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">Khi nói về PKI hay ADCS trên nền tảng Windows người ta thường nghĩ đến dịch vụ cung cấp chứng chỉ số nhưng lại không để ý hết tất cả những ứng dụng mà nó đem lại:</span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">-&#160;&#160;&#160; Mã hóa dữ liệu với EFS: dịch vụ mã hóa dữ liệu EFS đã có mặt trong Windows Client từ phiên bản 2000. Khi ứng dụng ADCS, doanh nghiệp cung cấp cho người dùng khả năng mã hóa số liệu và chỉ có họ mới giải mã dữ liệu. EFS hay hơn các hình thức mã hóa cá nhân (self-signed) ở chỗ dữ liệu được mã hóa sử dụng chứng chỉ số từ hệ thống tập trung nên khi người dùng có vấn đề về máy tính như hư HDD hay cài lại HĐH chẳng hạn thì không phải lo vấn đề không thể truy cập vào dữ liệu đã mã hóa. Chưa kể khi người dùng không thể khôi phục dữ liệu thì Admin của domain vẫn có thể khôi phục bằng cách sử dụng chứng chỉ EFS recovery agent. </span></p> <p style="text-align: center;"><span style="font-size: small;"> </span><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><img height="334" width="500" alt="" src="/UserFile/Files/ICON2021/CMSUpload/2011/4/Nha Tai tro/Hinh2- Ung dung ADCS.JPG" /><br /> </span></span></p> <p style="text-align: center;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;">Hình 2: Ứng dụng ADCS trong doanh nghiệp.</span></span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">-&#160;&#160;&#160; &#160;Mã hóa máy tính/USB bằng Bitlocker: Với Windows Vista trở lên, doanh nghiệp có thể tận dụng nền tảng mã hóa PKI để cung cấp chứng chỉ sổ phục vụ cho nhu cầu bảo vệ máy tính cá nhân và USB khỏi nguy cơ mất dữ liệu khi làm mất thiết bị. Bitlocker mã hóa toàn bộ dữ liệu trên máy tính bao gồm dữ liệu, HĐH, registry, dữ liệu ngủ đông (hibernation). Chứng chỉ số dùng để mã hóa dữ liệu được lưu vào chip TPM (Trusted Platform Module) chứ không nằm trên ổ cứng máy tính. Khi đó khi khởi động máy tính lên người dùng cần phải nhập chuỗi pin Bitlocker trước khi có thể đăng nhập máy tính. Với việc ứng dụng Bitlocker trong môi trường AD domain 2008 R2, IT cũng có thể khôi phục Recovery Key để truy cập vào HDD được mã hóa khi người dùng quên mất số pin của Bitlocker.</span></p> <p style="text-align: justify;"><span style="font-size: small;"><br /> <br /> -&#160;&#160;&#160; Xác thực và đăng nhập máy tính bằng Smartcard: Khi ứng dụng AD để làm cơ chế đăng nhập một cửa cho tất cả ứng dụng trong doanh nghiệp. Sẽ rất rủi ro nếu người dùng để lộ mật khẩu AD. Do vậy việc dùng cơ chế xác thực hai yếu tố vào các tình huống đòi hỏi độ bảo mật cao là điều rất cần thiết. Chẳng khi người dùng VPN từ xa hoặc thực hiện kí email điện tử thì phải sử dụng Smartcard để tăng độ tin cậy. Sử dụng Smartcard tương tự như sử dụng thẻ ATM, người dùng sẽ phải có thẻ Smartcard lẫn phải biết số pin nên mức độ tin cậy sẽ cao hơn nhiều so với hình thức mật khẩu đăng nhập thông thường. Khi sử dụng Smartcard, chứng chỉ số và khóa cá nhân sẽ được lưu trực tiếp lên Smartcard chứ không phải ổ cứng máy tính. IT có thể sử dụng Group Policy trong domain để đảm bảo chứng chỉ nào sẽ được lưu trên máy tính và chứng chỉ nào sẽ được lưu vào Smartcard. </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><img height="308" width="500" alt="" src="/UserFile/Files/ICON2021/CMSUpload/2011/4/Nha Tai tro/Hinh3- Truy cap mang tu xa.JPG" /><br /> </span></span></p> <p style="text-align: center;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;">Hình 3: Truy cập mạng từ xa bằng Smartcard.</span></span></p> <p style="text-align: justify;"><span style="font-size: small;"><br /> -&#160;&#160;&#160; Bảo vệ dữ liệu mail: Có hai hình thức bảo vệ dữ liệu mail. Một là bảo vệ nội dung email bằng cơ chế thông dụng gọi là S/MIME (Secure/Multipurpose Internet Mail Extensions). Hai là bảo vệ dữ liệu email được truyền gửi giữa client và server bằng SSL hoặc TLS. Cả hai cơ chế đều sử dụng cơ chế chứng chỉ số để mã hóa dữ liệu. Trong đó S/MIME sẽ tạo ra một&#160; chữ kí số để đảm bảo nội dung email được toàn vẹn bằng cách tạo ra một digest sử dụng khóa cá nhân của người gửi và khi người nhận nhận được email kèm chữ kí số sẽ dùng khóa công khai của người nhận để tạo ra một digest tương ứng và so sánh với degist của người gửi. Nếu hai degist là giống nhau thì email nhận được vẫn toàn vẹn nếu không nghĩa là email được bị hiệu chỉnh hay bị lỗi trong quá trình truyền phát. </span></p> <p style="text-align: justify;"><span style="font-size: small;"><br /> <br /> -&#160;&#160;&#160; Chống thất thoát thông tin: Với việc ứng dụng chứng chỉ số để mã hóa dữ liệu kết hợp với dịch vụ chống thất thoát thông tin AD RMS (Righ Management Services). Doanh nghiệp đã nâng hệ thống bảo mật của mình lên một tầm cao mới khi có thể kiểm soát được quyền truy cập thông tin bất kể người nhận là ai, bất kể dữ liệu được lưu trên thiết bị gì và bị chuyển đi đâu. Với AD RMS, tác giả nội dung email/file dữ liệu văn phòng sẽ áp quyền truy cập nội dung cho người nhận như không được chuyển đi, không được chỉnh sửa, không được in ra. Khi đó phía bên dưới ứng dụng sẽ tự động mã hóa dữ liệu email hoặc dữ liệu văn phòng. Và khi người nhận truy cập dữ liệu sẽ phải xác định danh tính của mình với máy chủ AD RMS và dựa trên quyền hạn mới giải mã được nội dung. </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><img height="417" width="500" alt="" src="/UserFile/Files/ICON2021/CMSUpload/2011/4/Nha Tai tro/Hinh4- Chong that thoat du lieu.JPG" /><br /> </span></span></p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><br /> </span></span><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;">Hình 4: Chống thất thoát dữ liệu trên Email bằng ADRMS và ADCS.</span></span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">-&#160;&#160;&#160; Kiểm soát truy cập mạng NAP ở hình thức IPSec: Việc kiểm soát truy cập mạng dựa trên tình trạng sức khỏe của máy cuối như phải có Antivirus/phải bật Windows Automatic Update/phải bật Windows Firewall chẳng hạn thông thường hay đòi hỏi những thiết bị Switch 802.1x. Tuy nhiên ở Việt Nam để đầu tư một hệ thống hoàn toàn với switch dot1x sẽ rất tốn kém. Do đó để ứng dụng giải pháp NAC mềm, doanh nghiệp có thể sử dụng tính năng NAP có trên Windows Server 2008 theo phương thức IPSec. Phương thức IPSec được là phương phức uyển chuyển và bảo vệ tốt nhất cũng như rất hiệu quả về mặt chi phí vì khi đó doanh nghiệp không phải tốn nhiều tiền để thay thế hệ thống switch sang nhóm switch hỗ trợ dot1x. Để sử dụng NAP với IPSec doanh nghiệp cần phải có hạ tầng PKI để cung cấp chứng chỉ số cho các máy tính trong hệ thống. Khi đó các máy tính trong mạng sẽ tương tác với nhau qua giao thức IPSec được mã hóa và hệ thống mạng được phân ra thành 3 nhóm gồm mạng an tin cậy, mạng cách ly và vùng mạng ngoài. Khi đó chỉ có những máy tính nằm trong domain có chứng chỉ số an toàn và đáp ứng nhu cầu chính sách an toàn mới được tương tác với các máy chủ ứng dụng và dịch vụ.</span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><img height="360" width="500" alt="" src="/UserFile/Files/ICON2021/CMSUpload/2011/4/Nha Tai tro/Hinh5- KSot truy cap mang.JPG" /><br /> </span></span></p> <p style="text-align: center;"><span style="color: rgb(0, 0, 128);"><span style="font-size: x-small;"><br /> &#160;<br /> Hình 5: Kiểm soát truy cập mạng với NAP theo hình thức IPSec.</span></span><span style="font-size: small;"><br /> </span></p> <p style="text-align: justify;">&#160;</p> <p style="text-align: justify;"><span style="font-size: small;">“Thông qua các đặc tính sơ bộ kể trên, có thể thấy rằng, việc đảm bảo an toàn và bảo mật của người sử dụng trong hệ thống thông thường sẽ được nhiều lợi ích hơn thông qua các giải pháp của Microsoft”, ông Trần Văn Huệ, giám đốc công ty Nhất Nghệ chia sẻ. </span></p> <p style="text-align: justify;"><span style="font-size: small;"><br /> Thông tin chi tiết hơn về giải pháp Active Directory Certificate Services của Microsoft có thể tham khảo tại: <a href="http://technet.microsoft.com/en-us/windowsserver/dd448615 ">http://technet.microsoft.com/en-us/windowsserver/dd448615&#160;</a> hoặc<br /> <a href="http://www.microsoft.com/windowsserver2008/en/us/product-documentation.aspx ">http://www.microsoft.com/windowsserver2008/en/us/product-documentation.aspx </a><br /> </span></p> Microsoft