Gửi lúc: 05/07/2008 15:02:34
Bookmark and Share

Giải pháp check point UTM – 1 Đơn giản mà hiệu quả

Những năm gần đây, các tấn công từ chối dịch vụ cùng với virus và sâu đã có sự phối hợp và liên kết với nhau tạo ra các hình thức tấn công hỗn hợp đồng thời. Giải pháp hay được sử dụng để đối phó là phối hợp nhiều công cụ độc lập, đơn chức năng - tức là mỗi sản phẩm chuyên về một chức năng bảo mật nào đó

Tuy nhiên giải pháp này có hạn chế là khó quản lý và chi phí cao vì phải duy trì nhiều sản phẩm riêng biệt từ các nhà sản xuất khác nhau. Ngoài ra, sự phức tạp trong quản trị và một giải pháp chắp vá như vậy sẽ tạo ra các kẽ hở khiến các tấn công có thể lợi dụng. Giải pháp khác đó là sử dụng sản phẩm UTM (unified threat management) tích hợp nhiều chức năng bảo mật – tất cả trong một.
Mục tiêu của giải pháp UTM là đơn giản hoá việc quản lý, giảm chi phí trong khi vẫn cân bằng các yếu tố bảo mật. Điểm dễ thấy nhất về phương diện vật lý của sự đơn giản hoá này đó là sự tụ hội của nhiều sản phẩm riêng lẻ trong một thiết bị duy nhất. Tuy nhiên, một số sản phẩm UTM còn những hạn chế về chất lượng trong từng chức năng bảo mật, khả năng tích hợp và quản trị thống nhất các mô-đun chức năng. Bài viết này phân tích các điểm mạnh và mặt hạn chế của một sản phẩm UTM, tiếp đến là giới thiệu giải pháp mới của Check Point có thể giải quyết các khó khăn mà nhiều sản phẩm UTM khác đang đối mặt, đồng thời đưa ra chiến lược tổng thể của Check Point dành cho bảo mật mức doanh nghiệp.
1. Sự phức tạp trong bảo mật thông tin
Phạm vi và sự phức tạp trong vấn đề bảo mật được quyết định bởi các yếu tố liên quan đến các đe dọa, các điểm yếu và khả năng áp dụng các công nghệ mới. Để hiểu rõ hơn vấn đề này, chúng ta sẽ phân tích về các mức độ hỗ trợ chức năng, logic và vật lý. Đây là các yếu tố cần xem xét đến khi xây dựng một giải pháp bảo mật UTM.
Mức độ hỗ trợ chức năng – hay sự bao phủ chức năng (functional coverage)
Xu hướng phát triển và bối cảnh xuất hiện các nguy cơ, đe dọa bao gồm các vấn đề sau:
- Thời gian cần thiết để tạo ra các đe doạ mới: bên cạnh các nhân tố khác, sự phổ biến các công cụ phát triển chương trình độc hại (malware) cũng góp phần rút ngắn thời gian giữa thời điểm công bố điểm yếu mới và thời điểm xuất hiện đe dọa mới khai thác điểm yếu đó.
- Sự đa dạng của các đe doạ: Giờ đây, cộng đồng không chỉ đương đầu chống lại virus và sâu, mà còn phải đối mặt với sự xuất hiện vô kể các chương trình gián điệp (spyware) đánh cắp thông tin, rootkit, trojan và phishing...
- Các đe dọa khó phát hiện: các đe dọa hỗn hợp ngày càng tinh vi, áp dụng nhiều kỹ thuật mới để lẩn tránh hệ thống an ninh.
Mức độ hỗ trợ logic– sự bao phủ logic (logical coverage)
Các vấn đề cần chú ý về tình hình các điểm yếu, lỗ hổng bảo mật sẽ giúp chúng ta hiểu rõ hơn về sự bao phủ logic:
- Có rất nhiều điểm yếu mà các công ty phải chú ý: riêng năm 2007 đã có gần 5.000 điểm yếu về an toàn thông tin được phát hiện. Đây chỉ là con số được báo cáo từ những ứng dụng phổ biến nhất. Rất nhiều trong số điểm yếu này bị lợi dụng bởi các chương trình độc hại mới.
- Các lỗ hổng chủ yếu là từ phần mềm ứng dụng nhiều hơn từ mức mạng và hệ điều hành.
- Số lượng các điểm yếu vẫn sẽ tăng, bất kể lúc nào khi có sự sửa đổi mã nguồn, phát triển ứng dụng mới, phát hành phiên bản mới, hay áp dụng công nghệ mới… thậm chí là ngay cả việc xây dựng bản vá cho điểm yếu cũ lại tạo ra các điểm yếu mới.
Hỗ trợ vật lý - sự bao phủ vật lý (physical coverage)
Số lượng người dùng di động tăng, sự phát triển các văn phòng chi nhánh, sự mở rộng liên kết với các đối tác, các khách hàng góp phần làm tăng nhiều vị trí sơ hở mà các đe doạ có thể thâm nhập. Các vị trí sơ hở này cũng làm cho dữ liệu và tài nguyên cần bảo vệ có nguy cơ bị rò rỉ, điều này càng đòi hỏi cần phải triển khai các biện pháp bảo vệ mang tính phân tán nhiều nơi. Chính vì vậy, các tổ chức không nên chỉ dựa chủ yếu vào các giải pháp bảo vệ trên đường kết nối Internet chính, mà cần triển khai các giải pháp cho mọi vị trí bảo vệ cần thiết để bao phủ vật lý một cách toàn diện. Và việc lưu ý đến phương tiện bảo vệ tại mỗi vị trí cũng là điều quan trọng, tốt nhất là cần giải pháp tích hợp đa chức năng và bảo mật nhiều lớp.

Sự hạn chế đối với giải pháp bảo mật sử dụng các công cụ độc lập
Trong vài năm gần đây, các tổ chức và doanh nghiệp đều hiểu rằng, việc áp dụng các giải pháp bảo mật chắp vá, sử dụng các sản phẩm độc lập có các hạn chế sau: Phải sử dụng đồng thời nhiều sản phẩm khác nhau, chi phí đầu tư cao, quản lý và vận hành phức tạp.
Hầu hết các tổ chức nhận ra rằng khi xây dựng một giải pháp bảo mật tổng thể, họ phải chú trọng đến tính đơn giản trong hạ tầng kiến trúc sản phẩm và trong việc quản trị.
2. UTM - cách tiếp cận đơn giản hơn
UTM là sự kết hợp các khả năng bảo mật đa chức năng vào trong một sản phẩm đơn. Thay vào đó, UTM xử lý các vấn đề bảo mật bằng việc áp dụng một tập hợp các công nghệ có thể hỗ trợ cho nhau, bao gồm tường lửa, VPN, chống virus và chống xâm nhập... UTM cũng không phải là giải pháp để thay thế hay loại bỏ các phương tiện bảo mật khác.
UTM có thể giảm chi phí và cải thiện bảo mật, không đơn thuần đó là sự tích hợp vật lý, mà còn bởi sự tích hợp và hợp nhất các dịch vụ cơ bản và cách thức quản trị. Tuy nhiên, trong thực tế nhiều sản phẩm UTM vẫn bộc lộ một hoặc nhiều thiếu sót như sau:
- Không sử dụng các mô-đun bảo mật đảm bảo chất lượng.
- Không hỗ trợ các chức năng cơ bản như chống virus.
- Không đủ hiệu năng, không có khả năng chạy tất cả dịch vụ trong các điều kiện thông thường hoặc tình huống “nóng” trong khi bị tấn công hoặc mạng hoạt động lúc cao điểm.
- Hỗ trợ ít hoặc không hỗ trợ khả năng quản trị thống nhất, tập trung xét trên phương diện thiết lập chính sách, xử lý sự kiện, ghi log và báo cáo.
3. GIẢI PHÁP CHECK POINT UTM-1 – ĐƠN GIẢN MÀ HIỆU QUẢ
UTM-1 là thiết bị của Check Point, cung cấp giải pháp UTM toàn diện về cả chức năng lẫn logic. UTM-1 khắc phục được các nhược điểm của một số sản phẩm UTM khác và cung cấp các chức năng bảo mật tích hợp đạt được mục tiêu đơn giản nhưng đảm bảo được hiệu quả an ninh cao.
Giải pháp UTM mở rộng chức năng
Thiết bị UTM-1 cho phép kiểm tra hàng trăm ứng dụng, giao thức và dịch vụ, đảm bảo gần như mọi truy cập vào và ra hệ thống được loại bỏ khỏi các đe dọa. Khả năng này áp dụng được với các ứng dụng quan trọng và khó bảo vệ như là Voice over IP (VoIP), IM, chia sẻ ngang hàng P2P… cụ thể như sau:
Tường lửa kiểm tra trạng thái (Stateful Inspection) và đa lớp: Dựa trên công nghệ FireWall-1 - công nghệ tường lửa nổi tiếng được phát triển trong hơn 10 năm qua, UTM-1 cung cấp kiểm soát truy cập và kiểm tra các truy cập trên các giao thức lớp mạng, các dịch vụ và các ứng dụng - đây là tính năng quan trọng của UTM bởi vì các tấn công chủ yếu tập trung khai thác các điểm yếu mức ứng dụng.
Phòng chống xâm nhập: UTM-1 bao gồm nhiều kỹ thuật để phát hiện và chống lại các đe dọa nhằm trực tiếp vào tầng mạng hoặc tầng ứng dụng. Ngoài ra các kỹ thuật phát hiện dựa theo mẫu (signature) hoặc theo đặc điểm, hành vi có thể ngăn chặn cả các tấn công đã biết lẫn chưa biết, UTM-1 luôn cập nhật kịp thời các tấn công mới nhất thông qua dịch vụ Check Point SmartDefense™ Services.

Chống virus: Quét virus ngay tại cổng mạng (gateway) là cách thức hiệu quả bổ sung cho chương trình quét virus trên máy tính cá nhân (desktop). UTM-1 bao gồm engine quét virus được chứng nhận bởi ICSA, có thể quét trong thời gian thực để phát hiện các đe dọa tinh vi được che giấu trong các nội dung hợp lệ, khả năng hỗ trợ quét các luồng như email (POP3 và SMTP), truyền file (FTP) và HTTP.
Bảo vệ hệ thống thư điện tử và lọc spam: Giải pháp Check Point cung cấp 6 mức bảo vệ bao gồm lọc email theo địa chỉ IP được biết đến như nguồn spam (IP reputation), quét theo mẫu nhận dạng, lọc email theo danh sách cấm được thiết lập bởi người quản trị, quét virus, chống tấn công zero-hour và chống tấn công xâm nhập.
Chống Spyware: UTM-1 bao gồm 2 thành phần là: SmartDefense - chống spyware dựa trên mẫu nhận dạng (signature) và Web filtering – ngăn chặn các truy cập vào website chứa spyware.
Tường lửa ứng dụng Web: Web Intelligence™ - một mô-đun tuỳ chọn của UTM-1 có chức năng chuyên bảo vệ ứng dụng web chống lại các tấn công như Cross-Site Scripting, Directory Traversal và SQL injection. Với thành phần Malicious Code Protector™ được cấp bằng sáng chế, UTM-1 còn có khả năng phát hiện và ngăn chặn các tấn công tràn bộ đệm và tấn công của mã độc nhằm vào máy chủ web.
Thiết lập nhanh VPN (One-Click VPNs): Việc thiết lập mạng riêng ảo VPN site-to-site và truy cập từ xa (remote access) có thể được thực hiện dễ dàng bằng thao tác đơn giản trong sản phẩm UTM-1. Hầu hết các tham số cấu hình VPN được thực hiện tự động, khả năng VPN IPSec, SSL được dễ dàng kích hoạt bởi việc mua thêm license mà không cần phải mua thêm phần cứng riêng rẽ.
Lọc Web (Web filtering): Với thành phần lọc web được tích hợp sẵn, UTM-1 cho phép kiểm soát truy cập tới các web site thông qua CSDL phân loại trang web có độ chính xác cao và đầy đủ nhất.
Tích hợp bảo vệ máy trạm: Mô-đun tuỳ chọn của UTM-1 - Check Point Endpoint Security On Demand kiểm soát các máy tính chưa được quản lý, thậm chí là các máy ngoài tầm kiểm soát của quản trị, không cho các máy này gây ra các nguy cơ mất an toàn bảo mật đối với hệ thống mạng công ty.
UTM-1 Total Security bổ sung các giá trị mới cho UTM: Dòng sản phẩm UTM-1 Total Security của Check Point bổ sung thêm giá trị mới cho giải pháp UTM bằng việc cung cấp sản phẩm toàn diện để bảo vệ hệ thống mạng theo cách thức đơn giản, hiệu quả cao. Sản phẩm bao gồm đẩy đủ mọi tính năng bảo mật đi kèm với dịch vụ cập nhật, bảo hành phần cứng và hỗ trợ kỹ thuật.
Phạm vi cung cấp an ninh của UTM-1 rất ấn tượng. Tuy nhiên cần xác định là không có thiếu sót nào được tạo ra trong giải pháp tích hợp các chức năng bảo mật. Các điểm sau thể hiện những nỗ lực để làm tăng tối đa các ưu điểm của UTM-1:
1. Mỗi chức năng bảo mật được tích hợp trong UTM-1 đều được đánh giá cao về hiệu quả, bởi các sản phẩm của Check Point luôn  được đổi mới, sáng tạo.
2. Dòng UTM-1 có nhiều model thiết bị có hiệu năng phù hợp với mọi kích thước hệ thống mạng. Hiệu năng thiết bị hỗ trợ tốc độ tường lửa VPN từ 400 Mbps/100 Mbps lên tới 4,5 Gpbs/1,1 Gbps.
3. Sản phẩm được đánh giá cao về khả năng quản trị, dễ sử dụng. Trình hỗ trợ cài đặt – wizard giúp việc cài đặt và cấu hình thiết bị ban đầu chỉ chưa tới 10 phút. Thiết bị UTM-1 có thể được quản trị bởi thành phần quản trị SmartCenter được tích hợp sẵn trong sản phẩm hoặc được quản trị bởi SmartCenter khác đã có trong hệ thống. 

4. UTM-1 hỗ trợ chạy dự phòng và chia tải, mang đến độ tin cậy và sẵn sàng cao cho hệ thống.
5. Được hỗ trợ bởi dịch vụ SmartDefense Services, UTM-1 thường xuyên cập nhật các biện pháp phòng thủ, đảm bảo hệ thống luôn được bảo vệ an toàn trước các tấn công mới.
Giải pháp Check Point - mở rộng hỗ trợ vật lý
Sự hỗ trợ vật lý là mục tiêu rất quan trọng đối với chiến lược xây dựng giải pháp an ninh tổng thể. Nhận thức rằng, nếu chỉ với một giải pháp UTM-1 thì không đủ để bảo vệ trong mọi phạm vi của hệ thống nên Check Point cũng cung cấp thiết bị UTM-1 Edge với hiệu năng thấp hơn phù hợp cho các doanh nghiệp nhỏ và các văn phòng chi nhánh. Ngoài ra phần mềm VPN-1 UTM của Check Point có thể được cài đặt linh hoạt trên các nền phần cứng khác nhau tuỳ theo vị trí triển khai và yêu cầu hiệu năng của khách hàng. Khách hàng có thể triển khai phần mềm Check Point trên máy chủ, trên thiết bị riêng của Check Point, hoặc trên các thiết bị chuyên dụng của đối tác như Nokia và Crossbeam.

Kết luận
Đối với hầu hết tổ chức, sự phức tạp trong hạ tầng an toàn thông tin kéo theo sự phức tạp trong việc phòng chống tấn công cũng như trong hệ thống thông tin nói chung và hệ quả là làm chi phí tăng, hiệu quả đầu tư giảm. Các sản phẩm UTM có thể giúp giải quyết vấn đề này bằng việc đơn giản hoá hệ thống an ninh, đồng thời giảm chi phí đầu tư trong khi vẫn nâng cao khả năng phòng thủ của hệ thốngl

Nguyễn Như Bằng

Bài viết khác