Trong chương này, bạn sẽ:

• Kiểm tra các khái niệm quản lý cấu hình
• Nghiên cứu chủ quyền và phương pháp bảo vệ dữ liệu
• Kiểm tra một loạt các công nghệ được sử dụng trong kiến trúc để bảo vệ dữ liệu
• Kiểm tra các phương pháp được sử dụng để bảo vệ dữ liệu, bao gồm khả năng phục hồi trang web và các kỹ thuật đánh lừa dữ liệu

Doanh nghiệp khác với các máy tính đơn lẻ đơn giản. Khi bạn có nhiều hệ thống hoạt động cùng nhau, có những mối quan tâm về kiến trúc để đảm bảo rằng các phần tử có thể hoạt động cùng nhau một cách đáng tin cậy và an toàn. Kiến trúc sư doanh nghiệp là tất cả về việc thiết lập và tuân theo một biểu mẫu được tiêu chuẩn hóa cho hệ thống của họ, xác định cấu hình và giao diện để các hệ thống có thể hoạt động cùng nhau. Nhiều tùy chọn có sẵn cho nhiều thứ khi định cấu hình hệ thống và kiến trúc doanh nghiệp ở đó để hướng dẫn mọi người đưa ra các lựa chọn cấu hình hỗ trợ khả năng tương tác cũng như bảo mật

Certification Objective: Chương này bao gồm CompTIA Security + mục tiêu kỳ thi 2.1: Giải thích tầm quan trọng của các khái niệm bảo mật trong môi trường doanh nghiệp

Configuration Management

Cấu hình phù hợp là điều cần thiết trong doanh nghiệp. Quản lý cấu hình là điều cần thiết để bảo mật hệ thống bằng cách sử dụng cấu hình cụ thể mà việc triển khai dự kiến. Việc thay đổi cấu hình có thể thêm chức năng, xóa chức năng và thậm chí thay đổi hoàn toàn chức năng hệ thống bằng cách thay đổi các phần tử của chương trình để bao gồm mã bên ngoài. Giám sát và bảo vệ hệ thống khỏi những thay đổi cấu hình trái phép là điều quan trọng để bảo mật

Có rất nhiều tài nguyên để cung cấp hướng dẫn thiết lập và vận hành hệ thống máy tính ở mức độ an toàn được hiểu và lập thành văn bản. Bởi vì tất cả các doanh nghiệp đều khác nhau, điều cần thiết là mỗi doanh nghiệp phải xác định các tiêu chuẩn và khuôn khổ mà doanh nghiệp sử dụng để hướng dẫn quản lý cấu hình. Có rất nhiều nguồn cho các hướng dẫn này, nhưng có ba nguồn chính cho một số lượng lớn các hệ thống này. Bạn có thể nhận được hướng dẫn điểm chuẩn từ các nhà sản xuất phần mềm, từ chính phủ và từ một tổ chức độc lập có tên là Trung tâm An ninh Internet (CIS – Center for Internet Security). Không phải tất cả các hệ thống đều có điểm chuẩn, cũng không phải tất cả các nguồn đều bao gồm tất cả các hệ thống, nhưng việc xác định chúng cho doanh nghiệp và tuân theo các chỉ thị cấu hình và thiết lập chính xác có thể đi một chặng đường dài trong việc thiết lập bảo mật

Diagrams

Sơ đồ thường được sử dụng trong các đặc tả kiến trúc để truyền đạt cách cấu hình doanh nghiệp — từ sơ đồ mạng mô tả các kết nối vật lý và logic, đến sơ đồ có chú thích cung cấp các cài đặt thiết yếu. Sơ đồ đồ thị được sử dụng vì chúng có thể dễ theo dõi hơn vào đôi khi và hình ảnh có thể cung cấp khả năng truy cập sẵn sàng vào nhiều thông tin hơn trong hầu hết các tình huống. Ngoài ra, trong môi trường phong phú về nội dung của danh sách đặc tả, việc trình bày qua sơ đồ sẽ dễ hiểu và dễ hiểu hơn về các mối quan hệ.

Baseline Configuration

Cấu hình đường cơ sở (baseline configuration) là điểm khởi đầu cho tất cả các đánh giá đường cơ sở trong tương lai. Đường cơ sở này ban đầu được tạo khi tạo hệ thống và là đại diện cho cách hệ thống được định cấu hình. Theo thời gian và các bản cập nhật được áp dụng, cấu hình này sẽ yêu cầu cập nhật, làm cho nó hiện hành với cấu hình hệ thống mong muốn. Baselining là việc đo lường trạng thái sẵn sàng bảo mật hiện tại của hệ thống. Có nhiều công cụ khác nhau mà bạn có thể sử dụng để kiểm tra hệ thống để xem liệu hệ thống có điểm yếu cụ thể nào khiến nó dễ bị tấn công hay không — các điểm yếu như mật khẩu mặc định, vấn đề với quyền, v.v. Cách cơ sở hoạt động rất đơn giản: bạn thiết lập hệ thống, đo đường cơ sở, khắc phục sự cố và khai báo cấu hình hệ thống kết quả làm đường cơ sở của bạn. Sau đó, trong tương lai, sau khi thay đổi các ứng dụng và như vậy, bạn có thể đo lại đường cơ sở và tìm kiếm bất kỳ sai lệch nào. Bất cứ khi nào bạn cập nhật, vá lỗi hoặc thêm ứng dụng, bạn có thể đo lường khoảng cách rủi ro bảo mật dựa trên các phép đo cơ bản trước và sau

Độ lệch đường cơ sở là sự thay đổi so với giá trị đường cơ sở ban đầu. Sự thay đổi này có thể tích cực, giảm rủi ro hoặc tiêu cực, làm tăng rủi ro. Nếu sự thay đổi làm tăng rủi ro, thì bạn cần đánh giá mức độ rủi ro mới này để có thể khắc phục. Thách thức lớn nhất là chạy quét đường cơ sở hoặc tự động hóa chúng để xác định thời điểm xảy ra sai lệch

Standard Naming Conventions

Các quy ước đặt tên tiêu chuẩn rất quan trọng trong một doanh nghiệp để thông tin liên lạc có thể rõ ràng và dễ hiểu. Các doanh nghiệp áp dụng các quy ước đặt tên tiêu chuẩn để giảm các nguồn lỗi và cải thiện sự rõ ràng của thông tin liên lạc. Việc có một bộ quy tắc cho cái mà người ta đặt tên cho mọi thứ — từ tệp, đến thiết bị, đối tượng, bao gồm cả người dùng — trong Active Directory cải thiện khả năng giao tiếp và nhận dạng các phần tử trong quá trình làm việc. Nếu tất cả các máy chủ được đặt tên ngẫu nhiên bằng cách sử dụng chuỗi ký tự chữ và số gồm 20 ký tự, thì việc nói về máy chủ nào cần sửa sẽ trở thành một việc vặt. Đặt tên chúng theo cách tạo điều kiện giao tiếp rõ ràng giúp loại bỏ sai sót.

Internet Protocol (IP) Schema

Địa chỉ Giao thức Internet (Internet Protocol addresses) trong phiên bản 4 là số 32 bit – hầu như không hữu ích cho một người nào đó hiểu được. Do đó, một ký hiệu chia số thành bốn bộ 8 bit, được biểu thị là xxx.xxx.xxx.xxx, trong đó x nằm trong khoảng từ 0 đến 255, đã được tạo ra. Địa chỉ thực bao gồm hai phần: phần mạng và phần máy chủ. Xác định cách phân chia những thứ này để tối đa hóa việc sử dụng không gian địa chỉ là quá trình phân chia mạng con. Có hai lược đồ địa chỉ chính: lược đồ Lớp A/B/C và phương pháp ký hiệu CIDR. Lược đồ Lớp A/B/C phá vỡ mạng và máy chủ lưu trữ ở các điểm thập phân của ký hiệu được liệt kê trước đó. Lược đồ CIDR chi tiết hơn, với địa chỉ của phần mạng được liệt kê theo từng bit trước ký hiệu /.

Đối với một địa chỉ IP được chia thành mạng Lớp A, bit đứng đầu theo định nghĩa là 0, tiếp theo là 7 bit cho không gian mạng và 24 bit cho máy chủ. Điều này cho phép 128 mạng gồm 16.777.216 máy chủ và được ký hiệu là / 8 trong ký hiệu CIDR. Mạng lớp B bắt đầu với 10 cho hai bit đầu tiên, sau đó là 14 bit cho mạng (tổng cộng 16,384) và 16 bit cho máy chủ (tổng cộng 65,536), hoặc /16 trong ký hiệu CIDR. Ký hiệu CIDR làm cho việc chú thích sơ đồ mạng trở nên dễ hiểu và dễ hiểu về cách mạng được bố trí. Chìa khóa để làm việc này là lập kế hoạch nâng cao và định nghĩa lược đồ địa chỉ, do đó ngăn chặn các lược đồ phân đoạn mạng phi logic gây lãng phí không gian

Exam Tip Quản lý cấu hình bao gồm phát triển các sơ đồ vật lý và logic, thiết lập các đường cơ sở an toàn, tạo các quy ước đặt tên tiêu chuẩn dễ hiểu và triển khai các lược đồ IP an toàn

Data Sovereignty

Chủ quyền dữ liệu (Data sovereignty) là một loại luật tương đối mới mà một số quốc gia đã ban hành gần đây quy định dữ liệu được lưu trữ trong biên giới của họ phải tuân theo luật của họ và trong một số trường hợp, dữ liệu có nguồn gốc trong biên giới của họ phải được lưu trữ ở đó. Trong nền kinh tế đa quốc gia ngày nay, với sự thiếu vắng biên giới của Internet, điều này đã trở thành một vấn đề. Một số công ty công nghệ cao đã thay đổi chiến lược kinh doanh và dịch vụ của họ để tuân thủ các quy tắc và quy định về chủ quyền dữ liệu. Ví dụ, LinkedIn, một trang mạng xã hội kinh doanh, gần đây đã bị chính quyền Nga thông báo rằng họ cần phải lưu trữ tất cả dữ liệu của mình về công dân Nga trên các máy chủ ở Nga. LinkedIn đã đưa ra quyết định kinh doanh rằng chi phí này không xứng đáng với lợi ích và kể từ đó đã từ bỏ thị trường Nga. Chủ quyền dữ liệu có thể thúc đẩy các quyết định về kiến ​​trúc trong các doanh nghiệp có nguồn gốc đa quốc gia. Một số quốc gia có quy định chặt chẽ về nơi có thể lưu trữ và xử lý dữ liệu về công dân của họ. Điều này sẽ thúc đẩy cơ sở dữ liệu và kiến ​​trúc ứng dụng dữ liệu và thiết kế

Exam Tip Hãy nhớ rằng luật chủ quyền dữ liệu áp dụng cho dữ liệu được lưu trữ ở một quốc gia cụ thể. Ví dụ: nếu dữ liệu được lưu trữ ở Liên minh Châu Âu, thì các luật và quy định về quyền riêng tư của Liên minh Châu Âu sẽ áp dụng cho cách dữ liệu đó được lưu trữ và xử lý

Data Protection

Bảo vệ dữ liệu (Data protection) là tập hợp các chính sách, thủ tục, công cụ và kiến trúc được sử dụng để đảm bảo kiểm soát thích hợp dữ liệu trong doanh nghiệp. Các phần tử dữ liệu khác nhau yêu cầu các mức độ bảo vệ khác nhau và vì những lý do khác nhau. Dữ liệu khách hàng phải tuân theo một loạt các quy tắc pháp lý và quy định được thiết kế để bảo vệ dữ liệu của khách hàng. Các dữ liệu nhạy cảm khác cũng cần được bảo vệ, chẳng hạn như các mục như tài sản trí tuệ có thể dẫn đến thiệt hại kinh doanh đáng kể nếu bị mất. Một loạt các kỹ thuật được sử dụng như một phần của sơ đồ bảo vệ dữ liệu và các kỹ thuật này được nêu bật trong các phần sau.

Dữ liệu là yếu tố quan trọng nhất cần bảo vệ trong doanh nghiệp. Thiết bị có thể được mua, thay thế và chia sẻ mà không có hậu quả; đó là thông tin đang được xử lý có giá trị. Bảo mật dữ liệu đề cập đến các hành động được thực hiện trong doanh nghiệp để bảo mật dữ liệu, bất cứ nơi nào nó cư trú: đang chuyển / chuyển động, ở trạng thái nghỉ hoặc đang xử lý

Data Loss Prevention (DLP)

Data loss prevention (DLP) các giải pháp ngăn chặn dữ liệu nhạy cảm rời khỏi mạng mà không cần thông báo. Chương 18, “Bảo mật Máy chủ và Ứng dụng,” đề cập đến các vấn đề kiểm tra mất mát dữ liệu ở các điểm cuối, nhưng doanh nghiệp cũng cần các biện pháp bảo vệ DLP. Vì dữ liệu được lưu trữ trong doanh nghiệp, thường là trong cơ sở dữ liệu, do đó, nó có thể bị mất trực tiếp từ những điểm này. Điều này đã dẫn đến giám sát DLP cấp doanh nghiệp, nơi hoạt động tệp được báo cáo tới các hệ thống tập trung và các dịch vụ DLP chuyên biệt như các thiết bị DLP nội dung được cung cấp bởi nhiều công ty bảo mật. Thiết kế các giải pháp bảo mật này thành kiến trúc doanh nghiệp là một phần của kiến trúc bảo mật của một doanh nghiệp hiện đại.

Exam Tip Các giải pháp DLP được thiết kế để bảo vệ dữ liệu trong quá trình truyền / chuyển động ( transit/motion),  ở trạng thái nghỉ, hoặc trong quá trình xử lý khỏi việc sử dụng trái phép hoặc xâm nhập

Masking

Data masking liên quan việc ẩn dữ liệu bằng cách thay thế các giá trị đã thay đổi. Một phiên bản phản chiếu của cơ sở dữ liệu được tạo và các kỹ thuật sửa đổi dữ liệu như xáo trộn ký tự, mã hóa và thay thế từ hoặc ký tự được áp dụng để thay đổi dữ liệu. Một hình thức khác là chỉnh sửa vật lý các phần tử bằng cách thay thế một ký hiệu như * hoặc x. Điều này được nhìn thấy trên biên lai thẻ tín dụng, nơi phần lớn các chữ số được xóa theo cách này. Việc che dữ liệu làm cho việc phát hiện hoặc thiết kế ngược không thể thực hiện được. Việc sử dụng mặt nạ dữ liệu để tạo tập dữ liệu để thử nghiệm và tải honeypots với dữ liệu có thể sử dụng được nhưng vẫn là giả mạo là một thực tế phổ biến.

Encryption

Mã hóa dữ liệu tiếp tục là giải pháp tốt nhất để bảo mật dữ liệu. Được mã hóa đúng cách, dữ liệu không thể đọc được bởi một bên không được phép. Có nhiều cách để ban hành mức độ bảo vệ này trong doanh nghiệp.

Mã hóa là việc sử dụng các kỹ thuật toán học phức tạp để ngăn những người có quyền truy cập trái phép vào dữ liệu thực sự đọc dữ liệu. Tin tốt là điều này có thể được thực hiện với các phương pháp và ứng dụng được chuẩn hóa, bao gồm các chức năng tích hợp sẵn trong máy chủ cơ sở dữ liệu. Việc mã hóa các trường khóa trong bộ nhớ ngăn chặn việc mất chúng, vì mọi thông tin tiết lộ đều không thể đọc được. Việc phát triển các chính sách và thủ tục để đảm bảo rằng các trường dữ liệu chính xác được mã hóa đúng cách và các ứng dụng kinh doanh cần sử dụng dữ liệu được định cấu hình để đọc dữ liệu là một phần của sơ đồ kiến ​​trúc doanh nghiệp tổng thể. Sử dụng mã hóa là một trong những yếu tố mà doanh nghiệp có thể thực hiện, khi được triển khai đúng cách, việc mất dữ liệu không phải là sự kiện. Tuy nhiên, điều này đòi hỏi các yếu tố kiến ​​trúc cụ thể để sử dụng.

Mã hóa, bao gồm việc sử dụng và khoa học, được đề cập chi tiết trong Chương 16, “Các khái niệm về mật mã”.

At Rest

Dữ liệu ở trạng thái nghỉ đề cập đến dữ liệu đang được lưu trữ. Dữ liệu được lưu trữ ở nhiều định dạng khác nhau: trong tệp, trong cơ sở dữ liệu và dưới dạng các phần tử có cấu trúc. Cho dù trong ASCII, XML, JavaScript Object Notation (JSON) hay cơ sở dữ liệu, và bất kể nó được lưu trữ trên phương tiện nào, dữ liệu vẫn yêu cầu sự bảo vệ tương xứng với giá trị của nó. Một lần nữa, cũng như với dữ liệu đang chuyển, mã hóa là phương tiện bảo vệ tốt nhất chống lại sự truy cập hoặc thay đổi trái phép

In Transit/Motion

Dữ liệu có giá trị trong doanh nghiệp, nhưng để doanh nghiệp phát huy hết giá trị, các yếu tố dữ liệu cần được chia sẻ và di chuyển giữa các hệ thống. Bất cứ khi nào dữ liệu đang chuyển / chuyển động, được di chuyển từ hệ thống này sang hệ thống khác, nó cần được bảo vệ. Phương pháp phổ biến nhất của bảo vệ này là thông qua mã hóa. Điều quan trọng là đảm bảo rằng dữ liệu luôn được bảo vệ tương ứng với mức độ rủi ro liên quan đến lỗi bảo mật dữ liệu

In Processing

Dữ liệu được xử lý trong các ứng dụng, được sử dụng cho các chức năng khác nhau và có thể gặp rủi ro khi ở trong bộ nhớ hệ thống hoặc thậm chí trong quá trình xử lý. Dữ liệu đang xử lý là dữ liệu đang được sử dụng tích cực, trong bộ xử lý hoặc phần tử tính toán khác. Bảo vệ dữ liệu khi đang sử dụng là một đề xuất phức tạp hơn nhiều so với việc bảo vệ dữ liệu trong quá trình vận chuyển hoặc lưu trữ. Mặc dù mã hóa có thể được sử dụng trong những trường hợp khác này, nhưng việc thực hiện các thao tác trên dữ liệu được mã hóa là không thực tế. Điều này có nghĩa là cần phải thực hiện các phương tiện khác để bảo vệ dữ liệu. Các lược đồ bộ nhớ được bảo vệ và ngẫu nhiên hóa bố cục không gian địa chỉ là hai công cụ có thể được sử dụng để ngăn chặn các lỗi bảo mật dữ liệu trong quá trình xử lý. Các nguyên tắc mã hóa an toàn, bao gồm xóa sạch dứt điểm các phần tử dữ liệu quan trọng khi chúng không còn cần thiết nữa, có thể hỗ trợ bảo vệ dữ liệu đang được xử lý.

Exam Tip Hãy nhớ ba trạng thái quan trọng của dữ liệu và cách nó được bảo vệ ở trạng thái nghỉ, khi truyền / chuyển động và trong quá trình xử lý (rest, transit/motion,            processing)

Còn tiếp

Bản full trong sách in Comptia Security+