Các vn đề cơ bn v vic bo mt h tng SharePoint 2010
Khi đề cp đến vic bo mt h tng SharePoint 2010, tôi có nhiu quan đim cơ
bn cn chia s đến mi người. Điu đầu tiên mà chúng ta cn nhn thc là không
có cái gì được gi là hoàn toàn hay tht s an toàn. Chúng ta đã có mt định nghĩa
AN TOAN nhưng nó không bao gi được gi là AN TOÀN. Luôn có nhng ri ro
chúng ta cn xem xét và hn chế đến mc có th.
Và tôi cũng mun nói là không có bt c mt s hoàn ho, mt kch bn hoàn ho nào c.
Chúng ta có th xem xét các vn đề cơ bn đểy dng mt h tng có th gim thiu
các ri ro v bo mt.
Để hn chế nhng gì xu nht, chúng ta có th thy có 3 nguyên tác trong bo mt thông
tin: Độ tin cy (Confidentiality), Tính toàn vn (Intergirty) và Tính sn sàng
(Availability)
Bng cách s dng các khái nim v tính bo mt, toàn vn và sn sàn cho d liu, phn
cng, phn mm và kênh thông tin để có th hn chế ri ro có th xy ra.
Độ tin cy (Confidentiality) – ngăn chn các thông tin rò r t mt ngưi nào đó.
Để bo mt d liu, các t chc phi tuân th các chính sách y quyn đối vi các
cá nhân có thm quyn. Ví d, khi bn s dng th tín dng để giao dch trc
tuyến, các con s cn đưc mã hóa vi mt thut toán đủ mnh để không b gii
mã bi nhng k tn công. ln s dng thn dng tiếp theo sau đó, hãy xem
làm thế nào mà các con s vn tiếp tc được an toàn, không b r. Là mt
chuyên gia bo mt, tính bo mt cn đưc ưu tiên s 1. Vic bo mt d liu, bn
có th gim thiu hoc loi b đưc các mi đe da, ri ro, các l hng bo mt…
Tính toàn vn (Integrity)– tính toàn vn th hin đim chng thc. Ví d, nếu
mt người nào đó mun xóa mt tp tin, cho dù là c tình hoc vô tình thì tp tin
đó s b xóa, nói mt cách khác nó đã mt đi tính toàn.
Tính sn sàng (Availability) – các máy tính hoc h thng luôn trng thái sn
sàng khi vn hành. Tính sn sàng có nghĩa rng các d liu luôn trng thái n
định để thông tin luôn luôn được s dng, lưu tr hoc truy cp. Bên cnh đó, tính
sn sàng còn th hin vic d liu luôn được bo v trước nhng cuc tn công.
Ba nguyên tc trên, đưc gi là b ba CIA. Tuy nhiên nó không phi là t chc CIA –
Central Intelligence Agency (Cơ quan tình báo TW USA) như bn biết trên thế gii, b
ba này luôn được áp dng vi vic bo mt phn cng, phn mm hoc các kênh thông
tin liên lc.
y thuc vào h tng SharePoint 2010 ca bn, bn có th xem xét các yếu t sau.
Windows Server 2008 Domain Controller.
Active Directory là trái tim ca h thng Windows Server. Ti sao bn li chn Active
Directory mà không chn Workgroup? Có l chúng ta đều hiu đưc s cơ bn ca vic
la chn Active Directory. Trong Active Directory, bn có th s dng giao thc chng
thc NTLM hoc Kerberos. Kerberos có nhiu ưu đim hơn NTML. Vi NTML, chng
thc ch mt chiu t server đến client. Vi Kerberos, client có th chng thc ngưc li
đến server đ đảm bo rng client đã request đến đúng server. Đómt trong nhng ưu
đim giúp bn nâng cao kh năng bo mt.
Khi bn xem xét Kerberos, bn cũng có th s dng Claim-Based. Bn có th tìm đọc cơ
bn v Claim-Based trong mc lchttp://www.diendantinhoc.vn/tags.php?tag=sharepoint
Chúng ta vn tiếp tc trong Windows Server 2008, bn cũng rt cn phi xem xét v
Windows Firewall with Advance Security. Mc dù chúng ta cn mt sn phm firewall
khác nhưng vi Windows Firewall with Advance Security vn giúp bn trong mt s
trường hp. Ví d, khi bn mun đổi port 1433 trong SQL Serer để ngăn chn virus SQL
Slammer. Hoc bn mun chn người dùng s dng trình duyt Firefox vì bn mun h
s dng Internet Explorer cho SharePoint. Vi nhng ví dy, Windows Firewall with
Advance Security s giúp bn.
Tóm li, bn cn phi bo mt Domain Controller hay nói cách khác, Active Directory
phi được bo mt.
Web Server IIS 7
Khi bn trin khai theo mô hình n-tier, Web server cũng là mt thành phn quan trng.
Bn cn xem xét các chc năng sau:
IP and Domain restrictions: thường được s dng để chn các request đến t
mt IP c th nào đó bên ngoài h thng mng ca bn. Tính năng này cho phép
bn ngăn chn các tn công t Internet, chng hn Ddos hoc các kĩ thut exploit.
Request filtering: thưng được s dng để gii hn các request đến Web server
ca bn.
Authentication: IIS 7 cung cp cho bn nhiu chc năng chng thc chng hn
Windows Authentication (NTLM và Kerberos), Basic Authentication, Digest
Authentication .v.v.
Giao thc SSL (Secure Socket Layer) và TLS (Transport Layer Security) là nhng giao
thc mã hóa cung cp kh năng bo mt khi làm vic qua Internet.
Áp dng tính sn sàng trong CIA mà tôi đã đề cp đầu, chúng ta cn xem xét v
Application Pool. Nếu bn chưa biêt v Application pool có thm đọc
ti http://www.diendantinhoc.vn/tags.php?tag=sharepoint. Vic cô lp Application pool
giúp bn ngăn chn mt s li xy ra trong đó li 503 error Service Available thưng hay
xy ra nht.
SQL Server
SQL Server được s dng để lưu tr, x lý content database, configuration database và
service application database. Vì tôi không phi là chuyên gia DBA SQL Server nên tôi
ch có th nghĩ đên mt s vn đề cơ bn như Permission database, Encrypting data,
Auditing SQL Server and các vn đ v Instance SQL Server.
DMZ
DMZ (Demilitarized Zone) đưc xem như khu vc phi quân s cha các server đưc cho
là trng yếu và ch có th truy cp trong LAN. Trên thc tế, vùng DMZ được cho là nơi
d tn công nhưng hin ti tôi chưa biết ti sao như thế.
Hardware
Chúng ta li nói v CIA, v tính sn sàng, bn cn xem xét và chn các thiết b như
switch, router, load balancer, SAN v..v.Ngoài ra, hãy xem xét v các thiết b IPS/IDS nếu
bn cn trin khai SharePoint ra Internet.
Firewall
Tôi có đềp v Windows Firewall with Advance Security nhưng tt hơn hết là bn cn
có thêm ng dng firewall khác. Bn có thm hiu Microsoft Forefront TMG vì tôi
nghĩ các sn phm gia đình Microsoft s làm vic vi nhau tt và hiu qu hơn. Ngoài ra,
bn cũng cn xem xét và trin khai firewall cng nếu có đủ điu kin chi phí, chng hn