Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010

Khi đề cập đến việc bảo mật hạ tầng SharePoint 2010, tôi có nhiều quan điểm cơ bản cần chia sẻ đến mọi người. Điều đầu tiên mà chúng ta cần nhận thức là không có cái gì được gọi là hoàn toàn hay thật sự an toàn. Chúng ta đã có một định nghĩa AN TOAN nhưng nó không bao giờ được gọi là AN TOÀN. Luôn có những rủi ro và chúng ta cần xem xét và hạn chế đến mức có thể.
Nội dung trích xuất từ tài liệu:
Các vấn đề cơ bản về việc bảo mật hạ tầng SharePoint 2010 Các v n cơ b n v vi c b o m t h t ng SharePoint 2010 Khi c p n vi c b o m t h t ng SharePoint 2010, tôi có nhi u quan i m cơ b n c n chia s n m i ngư i. i u u tiên mà chúng ta c n nh n th c là không có cái gì ư c g i là hoàn toàn hay th t s an toàn. Chúng ta ã có m t nh nghĩa AN TOAN nhưng nó không bao gi ư c g i là AN TOÀN. Luôn có nh ng r i ro và chúng ta c n xem xét và h n ch n m c có th . Và tôi cũng mu n nói là không có b t c m t s hoàn h o, m t k ch b n hoàn h o nào c . Chúng ta có th xem xét các v n cơ b n xây d ng m t h t ng có th gi m thi u các r i ro v b o m t. h n ch nh ng gì x u nh t, chúng ta có th th y có 3 nguyên tác trong b o m t thông tin: tin c y (Confidentiality), Tính toàn v n (Intergirty) và Tính s n sàng (Availability) B ng cách s d ng các khái ni m v tính b o m t, toàn v n và s n sàn cho d li u, ph n c ng, ph n m m và kênh thông tin có th h n ch r i ro có th x y ra. tin c y (Confidentiality) – ngăn ch n các thông tin rò r t m t ngư i nào ó. • b o m t d li u, các t ch c ph i tuân th các chính sách y quy n i v i các cá nhân có th m quy n. Ví d , khi b n s d ng th tín d ng giao d ch tr c tuy n, các con s c n ư c mã hóa v i m t thu t toán m nh nó không b gi i mã b i nh ng k t n công. l n s d ng th tín d ng ti p theo sau ó, hãy xem làm th nào mà các con s v n ti p t c ư c an toàn, không b rò r . Là m t chuyên gia b o m t, tính b o m t c n ư c ưu tiên s 1. Vi c b o m t d li u, b n có th gi m thi u ho c lo i b ư c các m i e d a, r i ro, các l h ng b o m t… Tính toàn v n (Integrity)– tính toàn v n th hi n i m ch ng th c. Ví d , n u • m t ngư i nào ó mu n xóa m t t p tin, cho dù là c tình ho c vô tình thì t p tin ó s b xóa, nói m t cách khác nó ã m t i tính toàn. Tính s n sàng (Availability) – các máy tính ho c h th ng luôn tr ng thái s n • sàng khi v n hành. Tính s n sàng có nghĩa r ng các d li u luôn tr ng thái n nh thông tin luôn luôn ư c s d ng, lưu tr ho c truy c p. Bên c nh ó, tính s n sàng còn th hi n vi c d li u luôn ư c b o v trư c nh ng cu c t n công. Ba nguyên t c trên, ư c g i là b ba CIA. Tuy nhiên nó không ph i là t ch c CIA – Central Intelligence Agency (Cơ quan tình báo TW USA) như b n bi t trên th gi i, b ba này luôn ư c áp d ng v i vi c b o m t ph n c ng, ph n m m ho c các kênh thông tin liên l c. Tùy thu c vào h t ng SharePoint 2010 c a b n, b n có th xem xét các y u t sau. Windows Server 2008 Domain Controller. Active Directory là trái tim c a h th ng Windows Server. T i sao b n l i ch n Active Directory mà không ch n Workgroup? Có l chúng ta u hi u ư c s cơ b n c a vi c l a ch n Active Directory. Trong Active Directory, b n có th s d ng giao th c ch ng th c NTLM ho c Kerberos. Kerberos có nhi u ưu i m hơn NTML. V i NTML, ch ng th c ch m t chi u t server n client. V i Kerberos, client có th ch ng th c ngư c l i n server m b o r ng client ã request n úng server. ó là m t trong nh ng ưu i m giúp b n nâng cao kh năng b o m t. Khi b n xem xét Kerberos, b n cũng có th s d ng Claim-Based. B n có th tìm c cơ b n v Claim-Based trong m c l chttp://www.diendantinhoc.vn/tags.php?tag=sharepoint Chúng ta v n ti p t c trong Windows Server 2008, b n cũng r t c n ph i xem xét v Windows Firewall with Advance Security. M c dù chúng ta c n m t s n ph m firewall khác nhưng v i Windows Firewall with Advance Security v n giúp b n trong m t s trư ng h p. Ví d , khi b n mu n i port 1433 trong SQL Serer ngăn ch n virus SQL Slammer. Ho c b n mu n ch n ngư i dùng s d ng trình duy t Firefox vì b n mu n h s d ng Internet Explorer cho SharePoint. V i nh ng ví d này, Windows Firewall with Advance Security s giúp b n. Tóm l i, b n c n ph i b o m t Domain Controller hay nói cách khác, Active Directory p h i ư c b o m t. Web Server IIS 7 Khi b n tri n khai theo mô hình n-tier, Web server cũng là m t thành ph n quan tr ng. B n c n xem xét các ch c năng sau: IP and Domain restrictions: thư ng ư c s d ng ch n các request n t • m t IP c th nào ó bên ngoài h th ng m ng c a b n. Tính năng này cho phép b n ngăn ch n các t n công t Internet, ch ng h n Ddos ho c các kĩ thu t exploit. • Request filtering: thư ng ư c s d ng gi i h n các request n Web server c a b n. • Authentication: IIS 7 cung c p cho b n nhi u ch c năng ch ng th c ch ng h n Windows Authentication (NTLM và Kerberos), Basic Authentication, Digest Authentication .v.v. Giao th c SSL (Secure Socket Layer) và TLS (Transport Layer Security) là nh ng giao th c mã hóa cung c p kh năng b o m t khi làm vi c qua Internet. Áp d ng tính s n sàng trong CIA mà tôi ã c p u, chúng ta c n xem xét v Application Pool. N u b n chưa biêt v Application pool có th tìm c t i http://www.diendantinhoc.vn/tags.php?tag=sharepoint. Vi c cô l p Application pool giúp b n ngăn ch n m t s l i x y ra trong ó l i 503 error Service Available thư ng hay x y ra nh t. SQL Server SQL Server ư c s d ng lưu tr , x lý content database, configuration database và service application database. Vì tôi không ph i là chuyên gia DBA SQL Server nên tôi ch có th nghĩ ên m t s v n cơ b n như Permission database, Encrypting data, Auditing SQL Server and các v n v Instance SQL Server. DMZ DMZ (Demilitarized Zone) ư c xem như khu v c phi quân s ch a các server ư c cho là tr ng y u và ch có th truy c p trong LAN. Trên th c t , vùng DMZ ư c cho là nơi d t n công nhưng hi n t i tôi chưa bi t t i sao như th . Hardware Chúng ta l i nói v CIA, v tính s n sàng, b n c n xem xét và ch n các thi t b như switch, router, load balancer, SAN v..v.Ngoài ra, hãy xem xét v các thi t b IPS/IDS n u b n c n tri n khai SharePoint ra Internet. Firewall Tôi có câp v Windows Firewall with Advance Security nhưng t t hơn h t là b n c n có thêm ng d ng firewall khác. B n có th tìm hi u Microsoft Forefront TMG vì tôi ...