About Me

header ads

CÁC THÀNH PHẦN BẢO MẬT TOÀN DIỆN CHO DOANH NGHIỆP

MrTech.VN tháng 7 11, 2022


Bảo mật toàn diện cho Doanh Nghiệp

 Để xây dựng được một hệ thống công nghệ thông tin cho doanh nghiệp, tổ chức đảm bảo được yêu cầu về bảo mật, an toàn thông tin thì chúng ta cần hiểu rõ một hệ thống công nghệ thông tin cơ bản sẽ bao gồm các thành phần gì và các thành phần có tác dụng như thế nào trong hệ thống. Về cơ bản, Trung tâm Dữ liệu và Mạng của một doanh nghiệp, cơ quan, tổ chức sẽ được xây dựng theo mô hình tiêu biểu như dưới đây và bao gồm các thành phần:

  • Trung tâm Dữ liệu (Data Center): Phân vùng chứa máy chủ dịch vụ và lưu trữ dữ liệu của tổ chức/doanh nghiệp. Được chia thành 02 phân vùng nhỏ là:
    • Vùng Phi quân sự (DMZ): là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ FTP,…
    • Vùng Máy chủ (Server Farm): là nơi đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet. Các máy chủ triển khai ở vùng mạng này thường là Database Server, LDAP Server, Máy chủ Ứng dụng nội bộ… Đây là phân vùng tối mật và quan trọng bậc nhất của doanh nghiệp/tổ chức.
  • Vùng mạng nội bộ (LAN Campus): bao gồm hệ thống chuyển mạch truy cập, hệ thống wifi, các máy trạm người dùng và mạng lõi. Cho phép người dùng của doanh nghiệp/tổ chức truy cập Internet cũng như các ứng dụng trong Data Center.
  • Các Chi nhánh (Branch Office): Các chi nhánh của doanh nghiệp/tổ chức kết nối về trung tâm theo các kênh kết nối khác nhau như: VPN qua Internet, WAN MPLS VPN, Leased Line kênh trắng …
  • Người dùng Di động (Mobile Users): Bao gồm nhân viên, đối tác, khách hàng của doanh nghiệp/tổ chức, kết nối về trung tâm dữ liệu thông qua Internet.
  • Trung tâm Điều hành (Operations Center): Bao gồm các thành phần quản trị tập trung, giám sát, thu thập và phân tích sự kiện, xuất báo cáo, kiểm soát truy cập đặc quyền. Thông thường, Trung tâm Điều hành được bố trí vật lý gần với Trung tâm Dữ liệu và tách biệt mặt phẳng mạng với các Vùng mạng còn lại.
  • Kết nối mạng: Bao gồm các kết nối Internet, kết nối WAN hoặc Leased Line kênh trắng được cung cấp bởi các Nhà cung cấp dịch vụ (ISP)

Tương ứng với thiết kế tiêu biểu trên, Giải pháp An toàn Thông tin, bảo mật toàn diện cho tổ chức, doanh nghiệp được Nam Trường Sơn Hà Nội xây dựng bao gồm nhiều lớp thành phần như:

  • Lớp 1: Gồm các Tường lửa Thế hệ mới (Nextgen Firewall) được đặt tại các cửa ngõ mạng, phân cách giữa mạng nội bộ của tổ chức với hệ thống mạng bên ngoài. Các Nextgen Firewall (NGFW) có nhiệm vụ bảo vệ an ninh mạng vành đai ngoài của tổ chức, phòng vệ trước các mối nguy hiểm nâng cao trên không gian mạng ngày nay. Các luồng dữ liệu trao đổi từ mạng bên ngoài đến mạng nội bộ của tổ chức được lọc qua Firewall, chỉ các dữ liệu hợp lệ, đến từ các nguồn địa chỉ tin cậy mới được đi qua Firewall để vào trong mạng.
  • Lớp 2: Gồm các Thiết bị bảo mật ứng dụng chuyên dụng chủ yếu được đặt tại vùng DMZ trong Trung tâm Dữ liệu, bảo vệ chuyên sâu cho các ứng dụng đặc thù của doanh nghiệp/tổ chức như: hệ thống Email, hệ thống Portal. Ngoài ra vùng lớp 2 còn thường bao gồm 1 số giải pháp khác như Web Proxy (Web Gateway) hay Cân bằng tải ứng dụng (Application Delivery Controller)
  • Lớp 3: Giải pháp bảo mật điểm cuối (Endpoint Protection) được cài đặt trên các máy chủ và máy trạm của tổ chức/doanh nghiệp, có nhiệm vụ quét và loại bỏ các đoạn mã độc hại (virus, spyware, trojan, adware, rootkit, ransomware…), các email spam ra khỏi máy chủ và máy tính của người dùng, đảm bảo các dữ liệu lưu trữ trên máy chủ và máy tính trạm là được an toàn và bảo mật.
  • Lớp 4Giải pháp Sao lưu và Phục hồi dữ liệu (Backup and Recovery Solution): Đảm bảo tính sẵn sàng của hệ thống, cho phép khôi phục dữ liệu và dịch vụ sau thảm họa hoặc sự cố Công nghệ Thông tin (CNTT).
  • Lớp 5: Lớp bảo mật phụ trợ: Bao gồm các giải pháp quản trị tập trung, giải pháp kiểm soát truy cập đặc quyền, giải pháp giám sát tập trung. Được bố trí tại vùng mạng Trung tâm Điều hành. Các giải pháp phụ trợ này cung cấp cái nhìn đầy đủ bao quát toàn bộ hệ thống, cho phép thiết lập chính sách bảo mật tập trung xuyên suốt và hỗ trợ nhà quản trị phản ứng kịp thời theo thời gian thực trước các mối đe dọa An toàn Thông tin.

Ngoài ra, chúng tôi khuyến khích trang bị Giải pháp chuyển mạch và truy cập không dây đồng bộ, hiệu năng và độ ổn định cao, đồng thời có tích hợp khả năng phòng chống xâm nhập trong Access point, để tạo nên một lớp phòng thủ nữa ngay tại giao diện vô tuyến của mạng doanh nghiệp.

bao-mat-toan-dien

MÔ TẢ HOẠT ĐỘNG CỦA CÁC GIẢI PHÁP THÀNH PHẦN

  • Hệ thống Tường lửa Thế hệ mới (Nextgen Firewall) trang bị tại trụ sở chính và các chi nhánh tạo thành một vành đai an ninh bên ngoài, phân cách mạng nội bộ của tổ chức/doanh nghiệp với hệ thống internet bên ngoài, bảo vệ người dùng, máy tính và các tài nguyên công nghệ thông tin được an toàn trước các hành động truy nhập trái phép đã biết, các mối nguy hiểm nâng cao và tấn công chưa biết từ không gian mạng Internet. Ngoài ra, các firewall cũng đóng vai trò làm các VPN Server (mạng riêng ảo), cho phép các chi nhánh kết nối về cũng như các cán bộ, nhân viên của tổ chức/doanh nghiệp khi đi công tác, từ bên ngoài có thể kết nối một cách an toàn vào hệ thống CNTT để làm việc và trao đổi thông tin.

Hệ thống tường lửa (firewall) được xây dựng theo mô hình quản lý tập trung. Toàn bộ firewall  đặt tại trụ sở chính và các chi nhánh được quản lý, giám sát trên một thiết bị hoặc giải pháp quản lý tập trung – Firewall Management Center. Các cấu hình trên thiết bị tuân theo các quy định/chuẩn do cấp có thẩm quyền của tổ chức/doanh nghiệp đưa ra và có khả năng thao tác cấu hình từ xa. Mọi thay đổi trên cấu hình đều phải được xem xét và phê duyệt của cấp có thẩm quyền, nhằm đảm bảo hệ thống hoạt động, vận hành tối ưu và thống nhất trong toàn tổ chức/doanh nghiệp.

  • Giải pháp bảo mật ứng dụng chuyên dụng kiểm soát truy cập đến các máy chủ ứng dụng được public ra Internet như Máy chủ Email, Máy chủ Web Portal cũng. Khác với các giải pháp Nextgen Firewall sẽ chủ yếu kiểm soát mức mạng, các giải pháp như Email Security Gateway hay Web Application Firewall cho phép kiểm soát chuyên sâu đối với những truy cập đến ứng dụng đặc thù, cung cấp khả năng phòng vệ tối ưu đối với những kiểu tấn công đặc thù vào ứng dụng cụ thể của doanh nghiệp.
  • Giải pháp cân bằng tải ứng dụng tăng cường tính sẵn sàng và cải thiện hiệu năng của ứng dụng, cung cấp tính năng fail-over linh động phòng trường hợp máy chủ trong hệ thống bị hỏng hóc, điều phối lưu thông tải truy cập vào hệ thống máy chủ, và tích hợp chức năng phòng chống xâm nhập ứng dụng.
  • Giải pháp bảo mật điểm cuối (Endpoint Protection) được triển khai trong toàn tổ chức/doanh nghiệp, cài đặt từ máy chủ đến máy trạm của người dùng, bảo vệ máy chủ và máy trạm trước các nguy cơ do mã độc (malware) gây ra. Giải pháp được triển khai theo mô hình quản lý tập trung phân cấp, trong đó tại Trụ sở chính, triển khai chương trình quản lý chính (Master Server), tại các chi nhánh, triển khai chương trình quản lý phụ (Slave Server). Mỗi Slave Server thực hiện quản lý việc cài đặt, triển khai và giám sát tình hình trạng thái các máy tính trong mạng, đồng thời báo cáo đến Master Server. Nhà quản trị mạng tại Master Server có thể nắm bắt được toàn bộ bức tranh bảo mật điểm cuối trên mạng, đưa ra những chính sách xử lý kịp thời nhằm đảm bảo các máy chủ, máy tính của người dùng được bảo vệ an toàn trước sự lây nhiễm của mã độc.
  • Giải pháp Sao lưu và Phục hồi dữ liệu (Backup and Recovery Solution): Cho phép sao lưu ứng dụng, hệ điều hành cũng như cơ sở dữ liệu của doanh nghiệp/tổ chức lên các hạ tầng lưu trữ (SAN/NAS/Tape). Mô hình triển khai quản trị tập trung, trong đó máy chủ quản trị tập trung có chức năng thiết lập chính sách sao lưu, lập lịch và quản lý các phiên bản sao lưu thông qua giao diện trực quan. Khi xảy ra bất kỳ sự cố nào của hệ thống CNTT, nhà quản trị có thể khôi phục dễ dàng máy chủ hay dịch vụ bị sự cố, đảm bảo tính sẵn sàng của hệ thống nói chung.
  • Giải pháp Quản trị tài khoản đặc quyền (Privileged Access Management): ) là giải pháp để loại trừ các vi phạm từ việc lạm dụng truy cập đặc quyền từ bên trong và bên ngoài tổ chức. Giải pháp đóng vai trò như một proxy cho toàn bộ lưu lượng quản trị, khởi tạo từ quản trị viên và kết cuối trên các hạng mục CNTT của hệ thống. Nó sẽ định danh tài khoản quản trị, áp đặt chính sách và ghi hình hành vi. Ngoài ra, mật khẩu của tài khoản quản trị cũng được quản lý, lưu trữ và mã hóa tập trung, độc lập với quản trị viên (Tức là quản trị viên không biết và cũng không cần biết mật khẩu để có thể truy cập quản trị hệ thống mình được giao trách nhiệm)

Đăng nhận xét

0 Nhận xét