Bảo vệ hạ tầng truyền thông với PKI

Những tính năng mới trong phiên bản Windows Server 2003 và Windows XP giúp cho việc truyền các dữ liệu nhạy cảm thông qua PKI trở nên dễ dàng và bảo mật hơn bao giờ hết.

Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin kinh doanh nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi trong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với việc bạn phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin đó. Cấu trúc hạ tầng mã khoá công cộng (PKI - Public Key Infrastructure - hay còn gọi là Hạ tầng mã khoá bảo mật công cộng hoặc Hạ tầng mã khoá công khai) cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập mà bản có thể sử dụng để giải quyết vấn đề này.

PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử (digital certificate) cũng như các mã khoá công cộng và cá nhân. Sáng kiến PKI ra đời năm 1995, khi mà các tổ chức công nghiệp và các chính phủ xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một hạ tầng bảo mật trên mạng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây dựng một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dụng cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng.

Tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và quản lý. Tuy nhiên, hầu hết các công nghệ hình thành từ ý tưởng này đã trở nên chín muồi và một số đã bước vào giai đoạn "lão hoá". Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là kết quả của sáng kiến PKI. Một minh chứng là thuật toán mã hoá bất đối xứng được xây dựng dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai loại mã khoá: công cộng và cá nhân. Trong trường hợp này, một người sử dụng có thể mã hoá tài liệu của mình với mã khoá bí mật và sau đó giải mã thông tin đó bằng chìa khoá công cộng. Nếu một văn bản có chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo mật tới duy nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá riêng và người nhận sẽ giải mã sử dụng mã khoá công khai của người gửi. Mã khoá công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó.

Bởi sự tồn tại của khá nhiều thuật toán bất đối xứng, các chuẩn công cộng tồn tại và thường xuyên được nghiên cứu cải tiến để phù hợp các thuật toán đó. Có một minh chứng khá đơn giản: Nếu những người sử dụng làm việc ở các tổ chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cộng, chẳng hạn Internet, bạn sẽ cần phải xây dựng các tiêu chuẩn ở từng bước khác nhau. Trước tiên, bạn phải xác định phương thức các chứng thực được phát hành. Một người nhận được xác thực cần phải chấp nhận tính hợp lệ của chứng thực đó và tin tưởng bộ phận thẩm quyền phát hành chứng thực đó. Thứ hai, các chuẩn phải thiết lập phương thức các chứng thực được truyền thông giữa các chủ thể (đơn vị hoặc bộ phận) khác nhau. Email và các dạng truyền thông khác đều dựa trên các tiêu chuẩn công nghệ và thông thường các chuẩn này không nhất thiết phải hỗ trợ PKI. Để hiện thực hoá kịch bản mà chúng tôi vạch ra ở trên, bạn cần phải có các quy tắc và tiêu chuẩn hỗ trợ việc các chứng thực được phát hành bởi các chủ thể có thẩm quyền khác nhau có thể trao đổi và giao dịch giữa các tổ chức khác nhau. Thứ ba, các tiêu chuẩn phải định nghĩa rõ được các thuật toán có thể và phải bao gồm. Cuối cùng, các tiêu chuẩn phải chỉ ra được cách thức duy trì các hạ tầng cấu trúc truyền thông. Bên cạnh đó, chúng cũng phải xây dựng được danh sách người dùng được cấp chứng thực và danh sách những chứng thực bị huỷ bỏ. Hãy quyết định cách thức các thẩm quyền cấp chứng thực khác nhau sẽ được truyền thông với nhau và phương pháp tái lập lại một chứng thực trong trường hợp xảy ra mất mát.

Sự chấp nhận của người dùng tăng theo thời gian

Quá trình nghiên cứu và phát triển PKI là một quá trình lâu dài và cùng với nó, mức độ chấp nhận của người dùng cũng tăng lên một cách khá chậm chạp. Cũng giống như với nhiều tiêu chuẩn công cộng khác, tỷ lệ người dùng chấp nhận sẽ tăng lên chỉ khi các chuẩn đó trở nên hoàn thiện, chứng minh được khả năng thực sự của nó, và khả năng ứng dụng và hiện thực hoá của nó là khả thi (cả về khía cạnh chi phí lẫn thực hiện). Windows XP Professional và Windows Server 2003 đều được cải tiến hỗ trợ PKI. Bạn có thể dùng một trong hai hệ điều hành này để xây dựng một giải pháp PKI tổng hợp. Mặc dù Windows 2000 phiên bản dùng cho máy chủ và máy trạm có thể chấp nhận được môi trường này song với những khả năng hạn chế (xem thêm Phần Tài liệu tham khảo).

Bất chấp việc bạn có nhận thức được hay không, có nhiều khả năng bạn đã có phần nào đó cấu trúc PKI trong các hạ tầng IT của bạn. Nếu bạn có website sử dụng SSL/TLS, nếu bạn cho phép nhân viên của mình kết nối và làm việc trong mạng nội bộ sử dụng chuẩn VPN và Point To Point Tunneling Protocol (PPTP), hoặc nếu bạn đang dùng các tính năng mã hoá của IPSec, bạn thực tế đang ứng dụng PKI. Cũng như vậy, nếu bạn sử dụng Exchange Server và Outlook có nghĩa là bạn đang dùng các mã chứng thực và các mã khoá công cộng. Nếu thực sự bạn đã dùng một hoặc một số trong những chuẩn kể trên, việc cân nhắc sử dụng một giải pháp PKI toàn diện sẽ trở nên dễ dàng hơn.

PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ của công ty bạn, cả trong và ngoài phạm vi công ty. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng. Trước tiên, tôi sẽ nêu ra những vấn đề phức tạp. Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng, chính quyền và các đối tác khác đều được diễn ra một cách điện tử. Nếu bạn nhận thức được tất cả các kênh khác nhau trong các giao dịch đó, bạn là một trong số ít các chuyên gia IT giỏi nhất. Một khi bạn mở cánh cửa đối với email, bạn phải thừa nhận rằng mọi thứ có thể gửi đi sẽ được gửi đi, không kể đó là giữa các đối tác, trong nội bộ công ty hay thậm chí vượt qua “ranh giới” công ty. Một ví dụ trong số đó là một người nhận "bên ngoàI" có tên trong dòng CC có thể nhận được một tài liệu mật và gửi nó trên các kênh không an toàn khác. Khi bạn có ý định giải quyết vấn đề này hoặc các vấn đề khác tương tự, bạn cần phải quyết định về mức độ mở rộng của “biên giới" bảo mật, những tài sản"bạn phải bảo vệ, và mức độ bất hợp lý bạn sẽ phải áp dụng đối với những người dùng.

Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI, song nếu bạn đã từng đầu tư cho các công nghệ của Microsoft trong doanh nghiệp của mình, bạn có thể sẽ tận dụng được những lợi thế mà tập đoàn khổng lồ này đã có được. Với những cải tiến lớn với PKI trong Windows XP Professional (dành cho máy trạm) và Windows Server (dành cho máy chủ) Microsoft đưa ra giải pháp có thể giải quyết được các vấn đề chính liên quan tới một chính sách bảo mật PKI. Những tính năng này, cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các ứng dụng có liên quan.

PKI cho phép bạn tạo ra một quan hệ tin cậy giữa các chứng thực của các tổ chức khác nhau và giải pháp PKI của Windows Server 2003 cũng bao gồm tính năng này. Nó giúp bạn bắt đầu với một phạm vi quan hệ tin cậy không lớn và cho phép bạn mở rộng phạm vi này trong tương lai.

Vạch kế hoạch cho giải pháp của riêng bạn

Nếu bạn quyết định thiết kế một giải pháp PKI, bạn cần phải vạch ra một kịch bản toàn diện về các nguy cơ bảo mật để xác định những tài sản"nào cần được bảo vệ và các biện pháp bảo vệ hợp lý và phù hợp nhất. Hãy vạch ra một danh sách tất cả các tài sản giá trị đối với bọn tội phạm và các đối thủ cạnh tranh. Chẳng hạn, như trong ví dụ tôi đã nêu ra ở phần trước liên quan tới thuật toán mã hoá bất đối xứng, bạn có thể cấu hình Outlook để mã hoá tất cả các thông điệp và tệp đính kèm hoặc bạn có thể thiết lập chế độ mã hoá nội dung các email riêng rẽ trước khi bạn gửi chúng đi. Giải pháp sau có thể cho người dùng biết được những vấn đề mà bạn đang phải đối mặt còn giải pháp đầu tiên lại gây ra khả năng mã hoá mọi thứ. Nếu bạn gửi nhiều thông tin nhạy cảm như tệp đính kèm theo email trên Internet trong khi ý thức bảo mật của các thành viên doanh nghiệp của bạn ở mức độ hạn chế, tốt nhất là bạn chọn giải pháp mã hoá tất cả mọi lúc. Nếu người sử dụng gửi một số tài liệu quan trọng, bạn có thể giải mã thông tin trong từng trường hợp cụ thể. Bạn cần lưu ý rằng thuật toán mã hoá bị ảnh hưởng bởi sức mạnh của CPU. Hãy cân nhắc trước khi đưa ra quyết định. Điều đó có nghĩa là, bất cứ phương pháp nào bạn dùng, hãy xây dựng một chính sách cụ thể để áp dụng nó trong nội bộ doanh nghiệp. Hãy công bố một danh sách các tài sản tương ứng cho từng nhân viên và nêu ra những "hành động" nào mà người nhân viên đó được áp dụng trên các tài sản đó. Với mỗi công cụ ứng dụng liên quan tới các hành động đó (chẳng hạn Outlook đối với email), hãy đưa ra những hướng dẫn cụ thể để đảm bảo khả năng bảo mật cao nhất.

Việc phát hành các chứng thực điện tử với Windows Server 2003 là khá đơn giản và tính năng nạp danh sách tự động trong phiên bản hệ điều hành mới này cho phép bạn khởi tạo và phân phối các chứng thực cá nhân một cách tự động khi người dùng đăng nhập mà không gây ra bất cứ sự cản trở nào với họ.

Mặc dù trong bài viết này, chúng tôi không bàn tới vấn đề lợi ích thu được từ PKI, tuy nhiên, bạn vẫn có thể tính toán được chi phí dành cho nó dựa trên một số giả thiết là công ty của bạn đang giao dịch điện tử và mức độ giao dịch ngày càng tăng trong tương lai. Lấy ví dụ, nếu doanh nghiệp của bạn tập trung vào việc giao dịch trên Internet và có ý định mở rộng phạm vi sang cả các dịch vụ trên Web, bạn cần phải hiểu rằng các chứng thực kỹ thuật số và quá trình mã hoá là một phần quan trọng của hạ tầng dịch vụ Web. Thậm chí nếu bạn có thể tìm thấy một giải pháp bảo mật nào khác với chi phí thấp hơn, các chuyên gia khuyến cáo bạn hãy cân nhắc lại bởi tất cả các công nghệ quan trọng nhất, bao gồm Internet, truyền thông vô tuyến, các thiết bị bảo mật sinh học và công nghệ Thẻ Thông minh (Smart Card), đều có thể quy về PKI.

Những tính năng mới trong Windows Server 2003 và Windows XP chính là những bước đầu tiên ứng dụng ở quy mô rộng rãi các chuẩn công nghệ của PKI. Windows Server 2003 tích hợp một module mã hoá nhân hoàn toàn mới có thể thực hiện chuẩn FIPS (Federal Information Processing Standard) - một thuật toán mã hoá cải tiến. Thông qua việc sử dụng hệ thống dịch vụ thư mục động (Active Directory - AD), bạn có thể điều chỉnh phạm vi ứng dụng PKI đối với từng doanh nghiệp cụ thể. Windows Server 2003 và Windows XP Professional hỗ trợ quan hệ tin cậy PKI liên kết giữa các doanh nghiệp khác nhau và gần đây, các sản phẩm của hãng Microsoft đã vượt qua chương trình thử nghiệm cầu tin cậy cấp liên bang. Chính phủ Mỹ đã thiết lập chương trình kiểm nghiệm này và coi đó là một phương pháp đánh giá mức độ thích hợp về hợp tác công nghệ giữa các tổ chức khác nhau. Chương trình này cung cấp một tính năng kết hợp cần thiết cho việc kết nối giữa các tổ chức khác nhau mà không dựa trên việc họ sử dụng các hệ điều hành và sản phẩm gì.

Bên cạnh đó, sự tích hợp PKI vào các ứng dụng đầu cuối, chẳng hạn Outlook, đặt các công cụ bảo mật quan trọng vào tay người sử dụng đầu cuối. Sự tăng cường tích hợp PKI vào Windows XP cho phép bạn tận dụng tối đa những tính năng tiên tiến về bảo mật, trong đó có Thẻ Thông minh (Smart Card) hoặc thậm chí cả các thiết bị quét vân tròng mắt. Điều này cũng giúp bạn thiết lập Hệ thống giải mã tệp (Encrypting File System) và các tính năng mới của Windows Update cho phép bạn phân phối các phiên bản cập nhật chứng thực gốc. Tất cả các đặc tính mới này chứng minh rằng tại sao đã đến thời điểm để chúng ta bắt đầu lên kế hoạch và bắt tay triển khai PKI.

Đưa PKI vào cuộc

PKI là công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phương pháp mã hoá dựa trên khoá bí mật và khoá công cộng. Tuy nhiên, PKI cũng bao gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác, bao gồm dịch vụ dữ liệu tin cậy, thống nhất dữ liệu về tổng thể và quản lý mã khoá. Để có thể hiểu được phương pháp hoạt động và bản chất của PKI, bạn cần phải nắm được các thành phần chính của nó (xem Hình 1).

Khả năng làm mất hoặc sai các mã khoá riêng của người dùng là rất lớn, do đó bạn cần phải có một cơ chế lưu trữ dự phòng và khôi phục mã khoá. Hãy tưởng tượng một người sử dụng mã hoá toàn bộ các văn bản mà họ tốn công sức tạo ra trong một năm trời với một mã khoá duy nhất và sau đó đánh mất nó. Không có khoá riêng, việc khôi phục tài liệu là không thể được xét trên thực tế. Bằng việc sử dụng tính năng khôi phục mã khoá trong Windows Server 2003, bạn có thể tìm lại và sử dụng được mã khoá của mình và mọi việc sẽ trở nên tuyệt vời.

Danh sách huỷ bỏ chứng thực điện tử bao gồm các chứng thực đã hết hạn hoặc đã bị thu hồi. Tất cả các xác thực đều có thời hạn. Đây là một quy định mang tính thiết kế, tuy nhiên trước đây, rất khó thực hiện quy định này bởi việc gia hạn chứng thực thường phải được thông báo tới tất cả người dùng sử dụng chứng thực đó. Windows Server 2003 và Windows XP đều hỗ trợ việc tự động cập nhật thời hạn chứng thực. Tính năng này bảo đảm rằng các chứng thực hết hạn sẽ được gia hạn tự động khi đến thời hạn.

Nếu một nhân viên của bạn thôi việc, điều cần thiết mà bạn phải làm là huỷ bỏ chứng thực của nhân viên đó chứ không chỉ đơn thuần là làm cho nó hết hạn. Công việc này có thể được thực hiện thông qua cơ chế danh sách huỷ bỏ chứng thực tự động. Các chủ thể có thẩm quyền cấp phép chứng thực (CA) thông thường sẽ làm công việc gửi các danh sách này tới người dùng, tuy nhiên họ cũng có thể uỷ nhiệm cho một bộ phận khác.

Nếu bạn đã sẵn sàng bắt đầu ứng dụng PKI trong doanh nghiệp của mình, chúng tôi kiến nghị rằng bạn nên bắt đầu bằng việc xác định xem những thành phần PKI nào bạn đã sử dụng. Tiếp theo, hãy định nghĩa những vùng bạn muốn sử dụng nó trong tương lai. Nếu bạn nằm trong một tổ chức lớn, có nhiều hoạt động quản lý ở các khu vực vật lý khác nhau, bạn có thể sẽ cần thiết lập một cấu trúc hạ tầng với một CA gốc cho tổng thể và các CA thứ cấp cho từng đơn vị.

Windows Server 2003 hỗ trợ một tính năng mới được gọi là Thẩm quyền thứ cấp (Qualified Subordination), cho phép CA gốc hạn chế tính năng của các CA thứ cấp. Bạn có thể sử dụng tính năng này để quyết định dạng CA được phát hành và các dịch vụ khác mà CA đó có thể tạo ra cho khách hàng. Một khi bạn đã có một cơ chế phân cấp trong tổ chức của mình, hãy xác định các đối tác kinh doanh chính của mình và bắt đầu đưa họ vào cấu trúc bảo mật của bạn. Tạo ra các chính sách bảo mật trong nội bộ tổ chức của bạn trong đó định nghĩa các tài sản cần bảo vệ và những cách thức và công cụ mà nhân viên của bạn sẽ sử dụng để thực hiện điều này. Thảo ra các quy trình hỗ trợ người sử dụng trong các vấn đề liên quan tới phát hành, gia hạn và phục hồi các chứng thực và mã khoá, sau đó phân công trách nhiệm phát triển và duy trì tổng thể hệ thống PKI cho những bộ phận có chức năng. Một giải pháp PKI hoàn chỉnh và phù hợp sẽ đảm bảo khả năng bảo mật cao nhất cho các tài sản kỹ thuật số trong doanh nghiệp của bạn.

Thứ Hai, 09/02/2004 01:43
31 👨 1.142
0 Bình luận
Sắp xếp theo