Nguyễn Ái Việt
Mạng LAN cùng với giao thức theo tiêu chuẩn IEEE 802-2001 hiện được sử dụng rộng rãi khắp nơi trong các cơ quan và doanh nghiệp vốn được thiết kế để chia sẻ tài nguyên nội bộ chứ không nhằm mục tiêu bảo đảm an toàn thông tin. Chính vì lẽ đó, việc sử dụng mạng LAN đã tiềm ẩn những vấn đề về đảm bảo an toàn thông tin. Khi một máy tính đã kết nối với một mạng LAN, cùng với việc được chia sẻ tài nguyên, về nguyên tắc máy tính đó đã phơi nhiễm đối với xâm nhập từ các máy tính trong toàn mạng. Đặc biệt khi mạng LAN có kết nối Internet, máy tính đó lại phơi nhiễm với khả năng thất thoát dữ liệu tài liệu và lây nhiễm mã độc từ ngoài vào.
Về nguyên tắc, mạng LAN được xây dựng rất giản đơn. Mạng LAN được quản trị nhờ một máy chủ (Linux hoặc Windows Server). Một switch có chức năng định tuyến sẽ kết nối các máy tính trong mạng với nhau và các phương tiện ngoại vi như máy in, máy quét. Các ứng dụng tập trung sẽ được cài đặt trên máy chủ để quản lý tập trung và tiết kiệm công nâng cấp. Dữ liệu có thể tách ra thành các máy chủ cơ sở dữ liệu để các ứng dụng có thể truy cập dễ dàng. Toàn bộ mạng LAN được bảo vệ bằng một tường lửa nằm sau một modem kết nối với Internet. Những người làm việc từ xa có thể truy cập vào mạng LAN nhờ một kết nối VPN (Mạng dùng riêng ảo). Khi đó, máy tính từ xa sẽ được cấp địa chi IP để trở thành một máy tính thành viên của mạng LAN, nhờ đó có thể làm việc dễ dàng như các máy tính khác. Tuy nhiên cấu trúc này có một nhược điểm là những người sử dụng mạng trong có thể dễ dàng gửi các số liệu, tài liệu từ mạng trong ra mạng ngoài nhờ một tài khoản Email miễn phí. Và ngược lại khi một máy tính trong mạng LAN bị nhiễm mã độc, mã độc này có thể lây nhiễm ra toàn mạng LAN. Đặc biệt là đối với máy làm việc từ xa, admin không có quyền và trách nhiệm quét mã độc, khả năng gây lây nhiễm không thể kiểm soát được.
Chính vì vậy năm 2004, Bộ Công An ban hành quyết định 71a/2004/QĐ-BCA quy định về việc sử dụng Internet, có mục nghiêm cấm việc kết nối các máy tính có tài liệu số liệu bí mật trực tiếp với Internet. Sau đó các cơ quan thường phân chia mạng LAN thành mạng trong không có kết nối Internet và mạng ngoài có kết nối với Internet theo mô hình sau
Như vậy, các máy làm việc ở mạng trong sẽ tuân thủ theo quy định của Bộ Công An. Tuy nhiên, việc sử dụng Internet từ các máy này sẽ hết sức khó khăn. Chính vì vậy, đa số các cơ quan và doanh nghiệp đều chưa thể tuân thủ quy định của Bộ Công An do chưa có giải pháp công nghệ vừa đảm bảo an toàn vừa tiện lợi.
Giải pháp V-AZUR (Bầu trời xanh Việt) được phát triển trên cơ sở một giải pháp đã được triển khai và nâng cấp thành công tại một VP UBND Tỉnh từ năm 2014 đến nay. Năm 2012, việc phát triển đã thành công, đã được đăng ký sở hữu trí tuệ và được một số cơ quan chức năng giám định và chứng nhận là "không thể chọc thủng bằng những phương pháp đã biết". Giải pháp này kết hợp công nghệ ảo hóa (Virtualization) và máy chủ đầu cuối (Terminal Server) được tổ chức như hình sau đây
Giải pháp này hoàn toàn không thay đổi tổ chức mạng LAN mà chỉ lắp thêm vào mạng trong và mạng ngoài các máy chủ được gọi là VIE-P0 và VIE-P3 cho phép truy cập Internet an toàn từ mạng trong và làm việc từ xa. Trên tường lửa trong giải pháp cũng kết hợp một phần mềm kiểm soát chặt chẽ các kết nối, trước hết là đóng tất cả các kết nối với Internet và mạng ngoài, duy chỉ mở một cổng cho một giao thức đặc biệt. Khi kích hoạt một ứng dụng chạy trên máy tính bên mạng trong, ứng dụng này sẽ thông qua cổng kết nối nhờ một giao thức VIE-RDP đặc biệt nối với máy chủ VIE-P0 ở mạng ngoài. Trên máy chủ này sẽ sinh ra một máy ảo, trên máy ảo sẽ có một trình duyệt nối với Internet. Giao thức VIE-RDP sẽ nối bàn phím và màn hình với máy tính ở mạng trong. Nói một cách khác màn hình và bàn phím của máy ở mạng trong sẽ kết nối với 2 máy tính, một máy ảo ở mạng ngoài và máy ở mạng trong. Nhưng giao thức này đảm bảo giữa hai máy không hề có một liên kết nào về dữ liệu và thông tin. Do đó, mã độc không thể thẩm thấu vào trong, tài liệu không thể lọt ra ngoài dù người dùng vô tình hay cố ý. Người dùng sẽ có cảm giác các ứng dụng nằm trên cùng một máy tính, nhờ công nghệ ảo hóa ứng dụng. Ở chiều ngược lại, người làm việc từ xa sẽ tiến hành 2 bước, để truy nhập vào mạng ngoài nhờ một giao thức VPN đặc biệt, sau đó lại nhờ VIE-RDP kết nối màn hình và bàn phím tới máy ảo trên VIE-P3, qua đó truy cập tới các ứng dụng và dữ liệu ở mạng trong. Tương tự, người dùng không thể lấy dữ liệu ra ngoài cũng như không thể làm lây mã độc vào mạng trong dù vô tình hay hữu ý.
Cho đến nay, giải pháp này đã được thử nghiệm và triển khai thành công ở nhiều nơi, kể cả những cơ quan có yêu cầu rất cao về bảo mật. Về mặt hiệu năng, giải pháp cho phép tốc độ gần như tức thời, nếu tổ chức mạng LAN hợp lý, cho phép nghe nhạc trên youtube, dùng Skype, Yahoo Messenger,... Bên cạnh đó giải pháp còn tích hợp các ứng dụng văn phòng và nhiều ứng dụng đảm bảo tiện lợi cho người dùng. Về chi phí giải pháp này chỉ bằng 20% chi phí so với một giải pháp có mục tiêu tương tự
Về tính năng, giải pháp này có thể so sánh và vượt trội so với Zero-Client, RDS, VDI (MS, IBM hay Oracle), XEN-Citrix hoặc VMWARE với chi phí hợp lý và hỗ trợ luôn trong vòng 48 tiếng. Giải pháp này đã được báo cáo tại hội nghị quốc gia về CNTT tại Huế 2013 và là báo cáo mời hội nghị FAIR Thái Nguyên Tháng 6, 2014. Thông tin thêm có thể tìm thấy trên www.viegrid.com hoặc liên hệ với tác giả.
Trong tương lai, giải pháp này có thể hoàn thiện để giải quyết vấn đề an toàn cho mạng tính toán đám mây (Cloud Computing), là vấn đề nóng trên thế giới hiện này, nên có khả năng đầu tư thêm, hợp chuẩn để đi ra thị trường quốc tế.
Không có nhận xét nào:
Đăng nhận xét