Live Mesh và những liên quan bảo mật

Deb Shinder

Quản trị mạng - Microsoft gần đây đã phát hành một bản xem trước về công nghệ dịch vụ mới Live Mesh của họ. Đây là một dịch vụ “điện toán đám mây” mà chúng ta đã đợi từ khi Ray Ozzie nói bóng gió về nó trong một bài phát biểu tại hội thảo của Microsoft vào cuối tháng Ba. Nó cho phép chia sẻ file và đồng bộ giữa các thiết bị PC (thậm chí cả Mac và Windows Mobile). Tuy nhiên với tất cả sự chia sẻ đó thì sự bảo mật đi kèm là gì? Bài viết này chúng tôi sẽ đề cập đến những vấn đề có liên quan đến bảo mật của “điện toán đám mây” nói chung và Live Mesh nói riêng, bên cạnh đó là những cơ chế mà Microsoft đã xây dựng để bảo vệ các thiết bị đã được “mesh” và dữ liệu của bạn.

Cách bảo vệ cho “Đám mây” như thế nào

Trước khi đi sâu vào Live Mesh, chúng ta cần làm sáng tỏ một số câu hỏi về bảo mật của “điện toán đám mây” nói chung. Trong một số báo cáo, các chuyên gia đã nhấn mạnh sự thật rằng, những rủi ro có thể được cải thiện tốt hơn bằng cách chọn đúng nhà cung cấp dịch vụ và thực hiện các bước đối kịp thời với các mối đe dọa.

Tuy nhiên các đặc điểm làm cho “điện toán đám mây” có ưu điểm cũng có thể làm cho nó là trở thành một yếu điểm. Việc tính toán dựa trên đám mây làm cho dữ liệu của bạn và trong nhiều trường hợp cũng như các ứng dụng của bạn, có thể truy cập từ bất cứ nơi đâu trên thế giới – nhưng điều đó cũng có nghĩa rằng, trừ khi bạn có các biện pháp mạnh để bảo mật cho chúng, bằng không điều này lại chính là “lợi bất cập hại” vì ai đó cũng có thể có sự truy cập này ngoài bạn. Trong thực tế, như một số tài liệu đã chỉ ra, bạn thậm chí còn có thể không biết dữ liệu của bạn được lưu ở đâu trên thế giới. Đối với hầu hết các chuyên gia bảo mật thì điều đó quả thực là một vấn đề.

“điện toán đám mây” có thể cũng có một số ưu điểm về bảo mật. Vì dữ liệu của bạn không “sống” trên một máy tính nội bộ nào, nó không bị ảnh hưởng bởi các hội chứng như việc mất laptop vì dữ liệu được lưu trữ cục bộ. Dù các laptop có thể được mã hóa, mã hóa ổ đĩa cứng, được trang bị nhiều phần mềm bảo mật hoặc phần mềm xóa bỏ dữ liệu từ xa – nhưng liệu các nhân viên trong công ty của bạn liệu có thể lúc nào cũng bảo đảm an toàn đúng cách cho các máy tính của họ? Chính vì vậy việc lưu dữ liệu ở một địa điểm nào đó trong “đám mây” có thể tránh được các vấn đề như vậy.

Tuy nhiên, sự lưu trữ tập trung này đôi khi lại có rủi ro do chính nó. Nếu một hacker nào đó truy cập được vào dữ liệu của bạn trên máy chủ của nhà cung cấp của bạn thì hacker này sẽ chiếm được tất cả. Nhưng nếu được triển khai đúng cách, việc lưu trữ kiểu này sẽ cho phép dễ dàng hơn trong việc bảo vệ tất cả dữ liệu trong một địa điểm thay cho thực hiện bảo vệ các file được lưu trên các máy tính khác nhau. Và chi phí cho bảo mật có thể sẽ giảm vì hãng cung cấp sẽ bỏ tiền đầu tư vào các cơ chế bảo mật của họ trên một loạt máy khách.

Tóm lại, khi nói đến bảo mật, “đám mây” có cả những ưu điểm lẫn nhược điểm của nó. Nhiều hay ít phụ thuộc vào cách nó được thực thi như thế nào.

Live Mesh làm việc như thế nào?

Trước khi chúng ta đi sâu vào các khía cạnh công nghệ, các bạn cần lưu ý rằng trong hiện thân hiện hành của nó, Microsoft đang marketing Live Mesh với tư cách là một dịch vụ khách hàng, không phải là một dịch vụ nhắm đến việc kinh doanh. Mặc dù vậy, công ty này đã phát hành rất nhiều sản phẩm và các dịch vụ của nó đối với những khách hàng đầu tiên và nhiều chuyên gia tin tưởng rằng nó có thể và sẽ được mở rộng cho cả lĩnh vực kinh doanh nếu trở lên nổi tiếng.

Vậy những khác biệt cơ bản giữa “đám mây” và “mesh” là gì? Sự khác biệt lớn nhất ở đây là: mesh là một mesh mang tính cá nhân (trái ngược với “đám mây” mà bạn chia sẻ với những người chưa từng được biết). Mesh gồm có các thiết bị khác các thiết bị mà bạn muốn truy cập dữ liệu và các chương trình: cho ví dụ máy trạm tại nhà của bạn, máy trạm đặt tại văn phòng, ; laptop và thiết bị di động (hiện bản preview về công nghệ của Live Mesh chỉ hỗ trợ các máy tính Windows nhưng Microsoft đang lên kế hoạch trong tương lai sẽ hỗ trợ các thiết bị di động Windows và các máy Mac OS X).

Các thông tin của bạn tự động được đồng bộ hóa trên các thiết bị mà bạn gia nhập vào mesh của mình bằng cách cài đặt phần mềm Mesh Operating Environment (MOE). Bạn cũng có thể sử dụng tính năng Live Mesh Remote Desktop để truy cập vào desktop của các máy tính – gồm có các máy tính chạy phiên bản XP Home và Vista Home không hỗ trợ các kết nối Remote Desktop gửi đến. Thêm vào đó, mesh cũng gồm thành phần “đám mây”, Live Desktop dựa trên nền Web để bạn có thể lưu các file (lên đến 5GB) trên các máy chủ của Microsoft.

Microsoft thực hiện những gì để bảo vệ cho mesh?

Đây là một câu hỏi lớn: Bảo mật ở đây là gì? Sự thẩm định Live Mesh được dựa trên Windows Live ID (trước đây được biế đến là Microsoft Passport). Passport được quan niệm như một dịch vụ đăng nhập một lần (single sign-on) cho thương mại điện tử. Vào năm 2007, một lỗ hổng đã được phát hiện trong Live ID, lỗ hổng này cho phép người dùng đăng ký một lỗi hoặc một địa chỉ email không tồn tại với dịch vụ như nó đã được sửa nay sau khi bị phát hiện.

Các tài khoản Live ID có thể được thẩm định theo nhiều cách khác nhau, các cách này gồm có:

• Username và password

• Sự kết hợp Password/PIN

• Thẻ thông minh Thẻ Cardspace của WindowsRADIUS (cho việc thẩm định từ điện thoại di động và Xbox)

• Thẩm định liên đoàn (WS-Trust)

Do hầu hết người dùng Live ID đều phụ thuộc vào phương pháp đầu tiên (ít an toàn nhất) nên sự bảo mật của tài khoản phụ thuộc vào việc chọn một mật khẩu mạnh. Live ID hỗ trợ các mật khẩu có chiều dài (lên đến 16 ký tự) gồm có cả các symbol cũng các ký tự chữ số. khi bạn tạo các thông tin ủy nhiệm của mình, giao diện Live ID sẽ xét và báo cáo về độ dài mật khẩu của bạn.

Live ID phải trải qua việc kiểm định bảo mật định kỳ bởi các nhà thẩm định độc lập. Kim Cameron một chuyên gia về Passport đã gia nhập Microsoft với tư cách là một kiến trúc sư về Identity và Access và đã có nhiều công lao trong việc phát triển Live ID.

Sau khi người dùng hoặc thiết bị được thẩm định, các thẻ Security Assertion Markup Language (SAML) được sử dụng cho việc truy cập tài nguyên trên mesh, SAML chính là một chuẩn dựa trên XML.

Các thẻ được phân biệt bằng một khóa riêng và có thiết lập ngày hết hạn sau một thời gian nào đó. Dịch vụ Live Mesh kiểm tra các thẻ, nếu các thẻ này hợp lệ khi đó sẽ cho phép truy cập. Nhìn chung, sự truy cập được cho phép giữa hai thiết bị nếu thẻ thể hiện rằng cả hai thiết bị thuộc về cùng một người dùng hoặc trong trường hợp các thư mục chia sẻ, nếu thẻ hiển thị rằng cả hai thiết bị đều có cùng thư mục Live Mesh đã được bản đồ hóa.

Lưu lượng giữa máy chủ và máy khách được mã hóa bằng HTTPS. Mã hóa này nhằm tránh một số tình trạng tấn công. Các thiết bị bạn cho gia nhập vào mesh đều phải có khóa riêng của nó. Chỉ máy khách mới được biết khóa riêng này, như vậy lưu lượng không thể bị chặn và đọc trong “đám mây”. Khi bạn kết nối một thiết bị này với một thiết bị khác thông qua mesh, khi đó sự mã hóa bất đối xứng được sử dụng để trao đổi khóa còn dữ liệu và các file được truyền tải bằng cách sử dụng AES 128 bit. Tính nguyên vẹn của dữ liệu được thẩm định thông qua mã thẩm định thông báo (HMAC - Hash Message Authentication Code) có khóa mã, mã này sử dụng một hàm hash với một khóa an toàn.

Các file được lưu trên các máy chủ của Microsoft trong “đám mây” (5GB cho lưu trữ Live Desktop đối với mỗi người dùng) được bảo vệ bằng các điều khiển truy cập nhưng không được mã hóa.

Một vấn đề khác liên quan đến ở đây là tính năng Remote Desktop. Dịch vụ cho phép Remote Desktop, wlcrasvc.exe, được cấu hình khởi chạy hoàn toàn tự động. Nếu bạn kết thúc một quá trình thì một quá trình khác sẽ bắt đầu. Nếu bạn muốn vô hiệu hóa dịch vụ này để tăng độ bảo mật, hãy mở nhắc lệnh với quyền truy cập quản trị viên và đánh net stop wlcrasvc. Bạn cũng có thể vô hiệu hóa dịch vụ trong cột Startup Type trong giao diện điều khiển các dịch vụ.

Cuối cùng: với mục đích như hiện nay – cho phép các khách hàng có thể dễ dàng tích hợp nhiều thiết bị của họ và cung cấp sự truy cập một cách dễ dàng thì sự bảo mật lúc này có thể đủ tốt. Tuy nhiên để trở thành một tùy chọn có thể sống sót đối với thế giới doanh nghiệp, nơi hệ quả của sự thỏa hiệp dữ liệu liên quan chặt chẽ với vấn đề tài chính thì chúng ta cần xem xét đến một tùy chọn “bảo mật cao”.